نحوه انتخاب رمز عبور مناسب

نحوه انتخاب رمز عبور مناسب

نحوه انتخاب رمز عبور مناسب

یکی از مسایلی که بسیار اهمیت دارد. انتخاب و نحوه انتخاب رمز عبور مناسب برای موارد مختلفی مثل : سرور مجازی. ایمیل. سایت ها. برنامه ها. لپتاپ و غیره میباشد.

به این ترتیب که اگر رمز عبور شما امنیت مناسب را نداشته باشد براحتی میتوانید به دردسر افتاده و حتی خسارات جبران ناپذیری را متحمل بشوید.

تیم فنی مبین هاست به شما در این مقاله آموزش میدهد که چگونه رمز عبور های بسیار قوی و مناسب را برای خود انتخاب کنید  و نکات بسیار مهم امنیتی در این حوزه را به شما آموزش میدهد.

یک رمز عبور قوی دارای خصوصیاتی میباشد که در زیر به تک تک آنها بصورت دقیق اشاره خواهیم نمود.

ابتدا به ۸ مورد اول اشاره میکنیم:

1. برای چندین سایت و برنامه مهم از رمز عبور. سوال و جواب امنیتی مشابه استفاده نکنید.
2. از رمز عبور حداقل 16 کاراکتر استفاده کنید. حداقل از یک عدد. یک حرف بزرگ. یک حرف کوچک و یک نماد خاص استفاده کنید.

یعنی از حروف کوچک استفاده کنید [a-z].  از حروف بزرگ استفاده کنید [A-Z]. از عدد استفاده کنید [0-9]. شامل حداقل یک علامت (# $ ! % & و…)3. از نام خانواده. دوستان یا حیوانات خانگی در رمزهای عبور خود استفاده نکنید.
4. از رمزهای پستی. شماره پلاک و خانه. شماره تلفن ثابت و همراه. روز و تاریخ تولد. کارت شناسایی و شماره کارت ملی و غیره در رمز عبور خود استفاده نکنید.
5. از کلمات دیکشنری در رمزهای عبور خود استفاده نکنید.

چند نمونه:

نمونه هایی از رمزهای عبور قوی: ePYHc ~ dS *) 8 $ + V- ‘. qzRtC {6rXN3N \ RgL. zbfUMZPE6`FC٪) sZ.

نمونه هایی از رمزهای عبور ضعیف: qwert12345. Gbt3fC79ZmMEFUFJ. 1234567890. 987654321. nortonpassword.

6. از دو یا چند رمز عبور یکسان که بیشتر کاراکترهای آنها یکسان است. استفاده نکنید مثلا ilovefreshflowersMac. ilovefreshflowersDropBox.

به این دلیل اگر یکی از این رمزهای عبور لو رود. تمام این رمزهای عبور نیز لو رفته و دچار دردسر میشوید.

7. مواردی را که می توان کپی و همانند سازی کنند (اما نمی توانید تغییر دهید) برای رمز عبور خود استفاده نکنید. مثل اثر انگشت.
8. نگذارید مرورگرهای اینترنت (FireFox. Chrome. Safari. Opera. IE) رمزهای عبور شما را ذخیره کنند. به این دلیل همه رمز عبور های ذخیره شده در مرورگرهای وب براحتی قابل تشخیص هستند.

در ادامه به ۸ مورد دوم اشاره میکنیم:

9. در لپتاپ و کامپیوتر های دیگران یا هنگام وصل شدن به Wi-Fi عمومی. Tor. VPN رایگان یا پراکسی ها. هرگز وارد حسابهای مهمتان نشوید.
10. اطلاعات مهم را از روش اتصالات رمزنگاری نشده (به عنوان مثال HTTP یا FTP) به صورت آنلاین ارسال نکنید. به این دلیل پیام های موجود در این اتصالات براحتی قابل شناسایی اند. در صورت امکان بایستی از اتصالات رمزگذاری شده مثل HTTPS. SFTP. FTPS. SMTPS. IPSec استفاده شود.
11. در موقع سفر. می توانید اتصالات اینترنتی خود را قبل از اینکه لپ تاپ. کامپیوتر. تلفن همراه یا روتر شما را ترک کنند. رمزگذاری کنید. به عنوان مثال. می توانید VPN خصوصی (با MS-CHAP v2 یا پروتکل های قوی تر) را بر روی سرور خود (لپتاپ و کامپیوتر خانگی. سرور اختصاصی یا VPS) تنظیم کرده و به آن متصل شوید.

روش دیگر. شما می توانید یک تونل رمزگذاری شده SSH بین روتر و لپتاپ و کامپیوتر خود (یا یک سرور از راه دور خود) با PuTTY تنظیم کنید و برنامه های خود را (به عنوان مثال FireFox) به PuTTY متصل کنید. سپس حتی اگر کسی داده های شما را موقع انتقال بین دستگاه (مثلاً لپ تاپ. آیفون. آیپد) و سرور شما با یک بسته اسکنر ضبط کند. نمی تواند داده ها و رمزهای عبور شما را از داده های جریان رمزگذاری شده بدزدد.

در ادامه مقاله نحوه انتخاب پسورد مناسب میپردازیم به این مورد که رمز عبور من چقدر ایمن است؟

12. شاید شما باور داشته باشید که رمزهای عبور شما بسیار قوی هستند و هک کردن آنها سخت است.

اما اگر یک هکر نام کاربری و مقدار هش MD5 رمز عبور شما را از سرور یک شرکت به دزدیده باشد. و جدول رنگین کمان هکر شامل این هش MD5 باشد. پسورد شما سریعا شکسته می شود.

برای بررسی قدرت رمزهای عبور خود و دانستن اینکه آیا آنها داخل جدول محبوب رنگین کمان هستند. می توانید رمز عبور های خود را به هش MD5 موجود در یک مولد هش MD5 تبدیل کنید. سپس با ارسال این هش ها به یک سرویس آنلاین رمزگشایی MD5 رمزهای عبور خود را رمزگشایی کنید.

به عنوان مثال:

رمز عبور شما “0123456789A” است. با استفاده از روش brute-force. ممکن است تقریباً یک سال طول میکشد تا رمز عبور شما شکسته شود. اما اگر با ارسال هش MD5 – C8E7279CD035B23BB9C0F1F954DFF5B3 آن به وب سایت رمزگشایی MD5. رمزگشایی کنید. چگونه طول می کشد تا آن را بشکنم؟ خودتان می توانید تست را انجام دهید.

آیا رمز عبور را هر چند وقت یکبار عوض کنیم؟

13. توصیه شده است رمزهای عبور خودتان را ۱۰ هفته یکبار تغییر بدهید.
14. بهتر است که چندین رمز عبور مهم و اصلی را در ذهن بسپارید. باقی رمزعبور ها را در یک فایل متنی تکست ساده ذخیره کنید و این فایل را با 7-Zip. GPG و یا یک نرم افزار رمزگذاری دیسک مثل BitLocker رمزگذاری کنید یا رمزهای عبور خود را با یک نرم افزار مدیریت رمز عبور مدیریت کنید.
15. رمزهای عبور خود را در مکان های مختلف رمزگذاری و پشتیبان گیری کنید. سپس اگر دسترسی به لپتاپ و کامپیوتر یا حساب خود را از دست دادید. می توانید رمزعبور های خود را به سرعت بازیابی کنید.
16. احراز هویت ۲ مرحله ای برای برنامه ها و سایت هایی که چنین امکانی فراهم کرده اند. سریعا فعال کنید.

سپس به ۸ مورد سوم اشاره میکنیم:

17. رمزهای عبور مهم خود را در فضای ابری و کلود  به هیچ وجه ذخیره نکنید.
18. از بوک مارک ها مستقیماً به وب سایت های مهم (به عنوان مثال Paypal) دسترسی پیدا کنید.چون ممکن است سایت هایی مشابه بصورت فیشینگ برای دسترسی به اطلاعات شما موجود باشد. که اگر اینکار را انجام نمیدید لطفاً نام دامنه آن را به دقت بررسی کنید. این سایت ها دارای SSL معتبر هستند. بهتر است قبل از وارد کردن رمز عبور. محبوبیت یک وب سایت را با نوار ابزار الکسا چک کنید.

19. از کامپیوتر خود با فایروال و نرم افزار آنتی ویروس محافظت کنید. تمام اتصالات ورودی و تمام اتصالات خروجی غیرضروری را با فایروال مسدود کنید و جلوی آنها را بگیرید.

فقط از سایت های معتبر نرم افزار را دانلود کنید و در صورت امکان امضای MD5 / SHA1 / SHA256 یا امضای GPG بسته نصب را تأیید کنید
20. سیستم عامل ها (به عنوان مثال ویندوز 7. ویندوز 10. Mac OS X. iOS. Linux) و مرورگرهای وب (به عنوان مثال FireFox. Chrome. IE. Microsoft Edge) دیوایس های خود  (به عنوان مثال Windows PC. Mac PC. iPhone. iPad. Android) را به آخرین ورژن بروزرسانی کنید.

در ادامه به نکات ریزی در مورد انتخاب رمز عبور مناسب میپردازیم که بسیار مهم هستند:

21. اگر اطلاعات مهمی در لپتاپ و کامپیوتر شما وجود دارد و افراد دیگر می توانند به آنها دسترسی داشته باشند.

در بهتر است بررسی کنید که آیا keylogger های سخت افزاری (به عنوان مثال sniffer صفحه کلید بی سیم). keylogger های نرم افزاری و دوربین های مخفی وجود دارد.
22– از صفحه کلید های مجازی که بصورت نرم افزار هستند استفاده کنید.  اگر این صفحه کلید مجازی هر بار اعداد و حروف را تغییر دهد امنیت بیشتری خواهد داشت.
23. وقتی کامپیوتر و تلفن همراه خود را ترک می کنید از قفل شدن آن اطمینان پیدا کنید.
24. قبل از دور انداختن هارد دیسک. کل دیسک سخت را با LUKS یا ابزارهای یکسان رمزگذاری کنید و در صورت لزوم. هارد دیسک دستگاه های قدیمی خود را از نظر فیزیکی از بین ببرید.

در ادامه به ۸ مورد چهارم اشاره میکنیم:

25. به وب سایت های مهم در حالت خصوصی یا حالت ناشناس دسترسی پیدا کنید. از وب سایت دیگری برای دسترسی به سایت های دیگر استفاده کنید.

26. دست کم از ۳ آدرس ایمیل مختلف استفاده کنید. از آدرس اول برای دریافت ایمیل از سایت ها و برنامه های مهم مثل Paypal و Amazon استفاده کنید. از آدرس ایمل دوم برای دریافت ایمیل از سایت ها و برنامه های غیر مهم استفاده کنید. و از آدرس سوم نیز (از دیگری ارائه دهنده ایمیل. مثل Outlook و Yahoo) برای دریافت ایمیل تنظیم مجدد رمز عبور خود در ایمیل اول (به عنوان مثال Gmail ) استفاده کنید.
27. حداقل از ۲ شماره تلفن همراه گوناگون استفاده کنید. و آن شماره تلفنی را که برای دریافت پیام های متنی کد تأیید احراز هویت استفاده می کنید تا به دیگران نگویید.

کلیک نکنید!

28. روی پیوند موجود در ایمیل یا پیام کوتاه که نمیشناسید و معتبر نیستند هرگز کلیک نکنید. و  رمز عبور های خود را با کلیک روی آنها مجدداً تنظیم نکنید چون احتمالا رمز عبورتان را براحتی تقدیمشان کردید.
29. رمز عبور های خود را در ایمیل به کسی ارسال نکنید.
30. ممکن است یکی از نرم افزارها یا برنامه هایی که آپدیت کرده اید توسط هکرها دستکاری شده باشد. حتما از نصب برنامه هایی که اطمینان ندارید و یا از جاهای معتبر نیستند خودداری کنید. در عوض می توانید از برنامه های مبتنی بر وب استفاده کنید که از امنیت و قابلیت حمل بیشتری برخوردار هستند.

31. موقع استفاده از نرم افزار های آنلاین و نرم افزار های ضبط صفحه مراقب باشید. اجازه ندهید رمزهای عبور شما را در cloud بارگذاری کنند.

در ادامه مقاله نحوه انتخاب رمز عبور مناسب به مدیران وب سایت ها هم چند نکته اشاره میکنیم که:

32. اگر مدیر وب سایت هستید. رمز عبور ها.  پاسخ های امنیتی کاربران را به عنوان متن ساده در پایگاه داده ذخیره نکنید. بایستی مقادیر هش (SHA1. SHA256 یا SHA512) این رشته ها را ذخیره کنید. توصیه می شود یک رشته تصادفی منحصر به فرد برای هر کاربر ایجاد کنید.

علاوه بر این. بهتر است اطلاعات دستگاه کاربر (به عنوان مثال نسخه سیستم عامل. وضوح صفحه و غیره) را وارد کنید. و مقادیر هش آنها را ذخیره کنید. سپس موقعی که کاربر تلاش می کند با رمز عبور صحیح اما دستگاه خود وارد سیستم شود. که اگر اطلاعات با اطلاعات ذخیره شده قبلی مطابقت نداشت. اجازه دهید این کاربر با وارد کردن کد تأیید دیگری که از طریق پیام کوتاه یا ایمیل ارسال شده است. هویت خود را تأیید کند.

33. اگر شما دولوپر نرم افزار هستید. بایستی بسته به روزرسانی را که با استفاده از GnuPG با کلید خصوصی امضا شده منتشر کنید. و امضای آن را با کلید عمومی که قبلاً منتشر شده تأیید کنید.

در آخر به ۶ مورد پایانی اشاره میکنیم:

34. برای امن نگه داشتن تجارت آنلاین خود. بایستی ابتدا یک دامنه برای خود ثبت کنید. و یک حساب ایمیل با این نام دامنه ایجاد کنید. در این صورت حساب ایمیل و تمام مخاطبین خود را از دست نخواهید داد. به این دلیل می توانید ایمیل خود را میزبانی کنید. سرور در هر مکان. حساب ایمیل شما توسط ارائه دهنده ایمیل غیرفعال نمی شود.
35. اگر سایت خرید آنلاین فقط امکان پرداخت با کارت های اعتباری را دارد. بایستی بشدت نکات امنیتی را رعایت کنید.

36. موقع خارج شدن از لپتاپ و کامپیوتر. مرورگر وب خود را کامل ببندید. اگر اینکار را انجام ندید. کوکی ها با یک USB  به راحتی قابل رهگیری است.

و اجازه  می دهد که تأیید صحت دو مرحله ای را پشت سر بگذارید. و با کوکی های دزدیده شده در سیستم و لپ تاپ های دیگر به حساب مربوطه وارد شوید.
37. به گواهینامه های نا امن SSL  در مرورگر وب اعتماد نکنید و آنها را حذف کنید. که اگر اعتماد کنید نمی توانید از محرمانه بودن و یکپارچگی اتصالات HTTPS که از این گواهینامه ها استفاده می کنند اطمینان حاصل کنید.
38. تمام پارتیشن سیستمتان را رمزگذاری کنید. اگر اینکار را انجام ندادید. لطفاً توابع pagefile و hibernation را غیرفعال کنید. به این دلیل پیداکردن سند های مهم شما در پرونده های pagefile.sys و hiberfil.sys بسیار ساده میباشد.
39. برای مانع شدن از حملات ورود brute force به سرورهای اختصاصی. سرورهای مجازی خود. می توانید از نرم افزار شناسایی و پیشگیری از نفوذ مثل LFD یا Fail2Ban استفاده کنید.

پایان

یکی از سایت هایی که میتوانید برای نحوه انتخاب رمز عبور مناسب از آن استفاده کنید. سایت passwordsgenerator.net میباشد.