چهارشنبه ۲۱ آذر ۱۳۸۶ - ۱۹:۳۴
۰ نفر

همشهری آنلاین - محمد رسولی: حتما شما هم این جمله را از مسئول کامپیوتر یا شبکه یا افراد متخصص در کامپیوتر شنیده‌اید: "کلمه عبور (password) خود را به دیگران ندهید" یا جمله‌هایی شبیه به این مبنی بر حفظ و نگهداری از کلمه عبور. دلیل این همه اصرار و جمله‌های تکراری چیست؟ و چرا ما باید کلمه عبور خود را از همکار یا هر فرد دیگری پنهان نگهداریم؟

password secure

بدون شک، تمام کاربرانی که تا به حال با کامپیوتر کار کرده‌اند،می‌دانند که فایل‌ها، تنها اجزاء دارای ارزش در کامپیوتر هستند  که در صورت از بین رفتن، شاید هرگز قابل برگشت نباشند.

به طور کل، انواع مختلف فایل‌هایی که یک کاربر در طول ماه‌ها و سال‌های گذشته برای خود تولید یا جمع‌آوری می‌کند، به عنوان سرمایه‌ایی برای او محسوب می‌شود. چنانچه این فایل‌ها مربوط به محیط کار یا پروژه‌های کاربر باشد، ادامه کار او به آنها بستگی دارد و چنانچه مربوط به مسائل شخصی  باشد، می‌تواند زندگی و آرامش شخص را به خطر بیاندازد. همانطور که اکنون حفظ رمز کارت‌های اعتباری برای همه افراد ضروری است (به دلیل ارتباط مستقیم با سرمایه) بدیهی است با بالا رفتن ارزش اطلاعات دیجیتال، لزوم حفظ و نگهداری از رمز نیز امری واجب خواهد شد.

با توجه به مسائل فوق، نگهداری، حفظ و انتخاب یک رمز خوب برای هر کاربر امری لازم و ضروری به نظر می‌رسد و با توجه به افزایش دستگاه های دیجیتال و لزوم انتخاب رمز برای هر کدام از آنها به نظر می‌رسد در آینده تمامی افراد، تمایل به حفظ و نگهداری رمز را در خود احساس می‌کنند. به همین منظور لازم است که اطلاعاتی هرچند کم در این زمینه دارشته باشیم.

اهمیت حفظ رمزها توسط صاحبان آنها به حدی است که اکنون توصیه‌های بسیاری در این زمینه می‌شود تا کاربران را مجاب به دقت بیشتر در این راستا و همچنین فراگیری ریزه‌کاری‌های این امر ‌کند. اکتشاف رمز و به دست آوردن رمز دیگران یکی از دغدغه‌های هکرها بوده تا با استفاده از آن بتوانند به اطلاعات شخصی یا کاری یک کاربر دست یافته یا از طریق آن وارد یک شبکه محلی شوند. اصولا چهار روش شناخته شده برای به دست آوردن رمز دیگران وجود دارد که در صورت آشنایی کاربران با آنها، می‌شود درصد بسیار زیادی از آن را کاهش داد. این چهار روش به شرح زیر هستند:

1- Passive Online Attacks: در این روش هکرها از نرم‌افزار یا سخت‌افزارهای جاسوسی یا Sniffer ها استفاده می‌کنند. به این ترتیب که این نرم‌افزار یا سخت‌افزار با قرار گرفتن بر روی شبکه، اطلاعات در حال انتقال بر روی سیم‌ها را Sniff  کرده و برای هکر ارسال می‌کنند.(سخت‌افزارهای Sniffer در کنار کابل شبکه (کابل‌های سیمی)  قرار گرفته و اطلاعات داخل آن را می‌خوانند ولی نرم‌افزارها با نصب بر روی یک کامپیوتر شبکه این کار را انجام می‌دهند). طبق آخرین اخبار غیر رسمی، سخت‌افزار Sniffer کابل‌ فیبر نوری با قیمت 45000 دلار در آمریکا ساخته شده است.

2- Active Online Attacks: این روش در واقع حدس زدن رمز کاربران است که روش تجربی و با توجه به فرهنگ و ذهنیات فرد است. به طور معمول کاربران از مبتدی تا حرفه‌ای سعی می‌کنند رمزی را برای خود در نظر بگیرند که به راحتی بتوانند آن را در خاطر نگهدارند. به همین دلیل اکثر کاربران از موارد آشنا نظیر شماره شناسنامه، نام فرزند، نام همسر  و ... که همگی قابل حدس زدن می‌باشند را به عنوان رمز خود در نظر می‌گیرند. کاربران زرنگ‌تر از ترکیب آنها استفاده می‌کنند که یافتن و حدس زدن آن کمی مشکل‌تر خواهد بود. هکرها نیز با توجه به این اصل که کارایی بسیاری نیز برای آنها دارد، ابتدا اطلاعات پرسنلی افراد را یافته و با آنها به حدس‌زنی رمز می‌پردازند.

3- Offline Attacks: در این روش از ابزار نرم‌افزاری برای یافتن رمز استفاده می‌شود. این ابزارها معمولا بر دو نوع هستند:
الف - Dictionary Attack: ابزارهای این روش، با کمک گرفتن از ذهن هکر، به یافتن رمز در کلمات لغت‌نامه می‌پردازند. برای این کار حتی از لغت‌نامه‌های غیر انگلیسی نیز استفاده می‌شود (لغت‌نامه فارسی نیز برای این موضوع درست شده است)
ب - Brute Force: در این روش نرم‌فزار ابتدا تعداد حروف رمز را با کمک هکر (یا بدون کمک) یافته و با استفاده از حروف و کلمات پیشنهادی هکر، به صورت منظم و یک به یک با جای‌گذاری آنها ، سعی در یافتن رمز می‌کند( در این روش به دلیل تعداد بسیار بالای حروف و اعداد، ممکن است زمان بسیاری نیاز داشته باشد و هرچه رمز قوی‌تر و پیچیده‌تر باشد، زمان بیشتری لازم دارد). در این روش بدیهی است که انتخاب رمز مناسب و قوی می‌تواند به شکست این نرم‌افزار بیانجامد. در مواردی که رمز قوی و مناسب است برای پیدا کردن آن،حتی ممکن است کامپیوتر احتیاج به چندین سال زمان برای یافتن آن داشته باشد که عملا غیر قابل استفاده خواهد بود.

4- Non Electronic Attacks:  در این روش از راه‌های غیر معمول و غیرکامپیوتری برای یافتن رمز دیگران استفاده می‌شود. برخی از این روش‌ها عبارتند از:
الف- نگاه کردن به کی‌بورد هنگام تایپ کاربر بدون اینکه او متوجه شود (معمولا افرادی که از تبحر خاص در تایپ برخوردارند یا چشمان تیزی دارند به راحتی می‌توانند حروفی که تایپ می‌شوند را ببینند)

ب - از پشت سر فرد نگاه کردن
ج-کاغذ فسفری: با دادن یک کاغذ مخصوص فسفری به کاربر بدون اینکه او متوجه شود، دستانش به فسفر آغشته شده، سپس بر روی کی‌بورد اثر کلماتی که تایپ می‌کند، برجا خواهد ماند. البته این اثرات در حالت عادی غیر قابل رویت هستند و با نور مخصوصی که به آنها تابیده می‌شود، قابل رویت خواهند بود. به این ترتیب فرد می‌تواند متوجه رمز کاربر شود  یا حداقل بخش عمده‌ای از آن را به دست آورد.

د - مهندسی اجتماعی: هکرها اعتقاد بسیاری به این مهندسی دارند. در این روش با استفاده از فرهنگ، ذهنیات، کمبودهای روحی  و ... افراد مختلف، اطلاعات مهمی را به دست می‌آورند. به واقع در این روش که بسیار نیز موثر است، با ترفندهای مختلف، اطلاعات فرد را از خود او یا اطرافیانش به دست می‌آورند. در این روش بیشتر که بر روی مسئول شبکه یا افراد مهم انجام می‌شود و به جای استفاده از ابزار، سعی می‌شود با روش‌های مختلف گفتاری، رمز یا اطلاعاتی که منجر به لو رفتن رمز می‌شود را از زبان خود فرد بیرون کشید.

علاوه بر روش‌های فوق که به صورت دسته‌بندی شده وجود دارد، چند روش که هنوز دسته بندی نشده نیز وجود دارد که به معرفی آنها می‌پردازیم:

1- Key Loggers: این نوع نرم‌افزارها با قرارگیری بر روی یک سیستم، کلیه استفاده‌های کاربر از ماوس و کی‌بورد را ضبط کرده و برای هکر ایمیل می‌کند. در این روش حتما می‌بایست نرم‌افزار بر روی کامپیوتر شما نصب شود پس دقت کنید هیچ نرم‌افزاری را بدون شناسایی و نوع عملکرد بر روی کامپیوتر خود نصب نکنید.

2- Fishing: در این روش، صفحه‌ای مشابه یکی از سایت‌های معتبر جهان ساخته و برای شما ارسال می‌شود یا اینکه شما را تشویق به ثبت نام برای شرکت کردن در یک قرعه‌کشی بزرگ می‌کند و شما نیز بدون توجه،تمام اطلاعات خود را وارد می‌کنید. توجه داشته باشید حتی اگر این کار را انجام می‌دهید، از رمز ایمیل یا رمزهای مهم خود در این صفحات استفاده نکنید و به صفحاتی که از شما اطلاعات می‌خواهند به راحتی پاسخ ندهید.

در ادامه چند پیشنهاد برای حفظ رمز و نهایتا حفظ اطلاعات به شما پیشنهاد می‌کنم، امیدوارم که مفید باشد:

1- انتخاب رمز قوی: به راستی چه رمزی قوی و مناسب است؟ پیشنهاد من به شما انتخاب رمزی حداقل 8 حرفی با ترکیبی از حرف، عدد و یکی از کاراکترهای خاص (@-$=% و ...) است. کاراکتر خاص را فراموش نکنید زیرا باعث می‌شود نرم‌افزارهای Brute Force  از یافتن رمز شما عاجز شوند.
2- استفاده از دو روش برای شناسایی: در سیستم خود و برای ورود از دو روش شناسایی استفاده کنید مثلا استفاده از کارت هوشمند و رمز معمولی به صورت سری که باعث می‌شود ورود به محوطه شخصی شما بسیار سخت شود. این روش معمولا هزینه چندانی نیز برای شما ندارد.

3- استفاده از تجهیزات بیومتریک: تجهیزات بیومتریک، تجهیزاتی هستند که از مشخصات منحصر به فرد فیزیک شما استفاده می‌کنند مانند اثر انگشت، اثر شبکیه چشم صدا یا ... . این موارد چون تقریبا در جهان منحصر به فرد است، غیر قابل تقلب و سوء استفاده است. در حال حاضر بهترین روش شناسایی افراد در جهان همین روش است و تنها ضعف وارده به آن، قیمت بالای آن است ولی به نظر می‌رسد آینده از آن این تکنولوژی است.

با توجه به موارد ذکر شده فوق، با کمی دقت می‌توانیم علاوه بر حفظ اطلاعات شخصی و کاری خود، از عواقب خطرناک لو رفتن آن نیز جلوگیری کنیم.

کد خبر 38627

برچسب‌ها

دیدگاه خوانندگان امروز

پر بیننده‌ترین خبر امروز