آیا رمز من در حملات امنیتی به سرقت رفته؟

به دنبال خبر انتشار لیستی از میلیون ها نام کاربری و رمز عبور سرقت شده در اینترنت، در اینجا می­ خواهیم به برخی از روش­هایی که می ­توان فهمید رمزی در این حمله یا حملات دیگر به سرقت رفته را برایتان شرح دهیم.

تروی هانت در اوایل ماه ژانویه، در MEGA Cloud و چندین انجمن متعلق به هکرها ، لیستی به نام Collection#1 مشاهده کرد. این فایل بزرگترین فایل سازمان یافته از رمزهای سرقت شده بود که بیش از ۷۰۰ ملیون آدرس ایمیل و بیش از ۲۰ میلیون رمز در آن قرار داشت.

به محض شنیدن این چنین خبری، طبیعتاً این سوال برایمان پیش می ­آید که آیا آدرس ایمیل یا رمزی که برای دسترسی به حساب های خود استفاده می­ کنیم در آن لیست قرار دارد؟ یا در حملات دیگر به دست کسی افتاده است؟ همچنین ، این سوال را هم در ذهنمان ایجاد می ­کند که آیا رمزی که برای ثبت نام در جایی جدید یا برای تغییر رمز حسابی قدیمی از آن استفاده می­ کنیم، به حد کافی امنیت ما را تامین می­ کند؟ در این مقاله ما به شما خواهیم گفت چطور بفهمید که رمز یا ایمیل تان به سرقت رفته و یا رمزی استفاده می­ کنید امنیت شما را تامین می­ کند.

سرویسی که  بررسی خواهیم کرد،  Have I Been Pwned نام دارد. با استفاده از این سرویس می توانید از دزدیده شدن ایمیل یا رمزتان آگاه شده و حتی لیست ایمیل ها و رمزهای هک شده را در آن ببینید. بانک اطلاعاتی آنها همیشه به روز است و حتی ایمیل ها و رمزهایی که به تازگی به سرقت رفته هم در بانک اطلاعاتی آن وارد می ­شود.

با ورود به سایت می­ توانید ۶ میلیارد اکانتی که تا به حال در این لیست قرار گرفته­ اند را مشاهده کنید.

در اینجا ایمیلی را چک کردیم و همانطور که مشاهده می­ کنید متأسفانه ایمیل وارد شده جزو لیست ایمیل های سرقت شده قرار دارد.  در پایین صفحه اطلاعات بیشتری از نوع سرقت اتفاق افتاده در اختیار ما قرار داده شده است.

در صفحه اطلاعات به ترتیب زمان لیست شده­ و نوشته شده اطلاعات ما در کدام حمله دزدیده شده است. برای مثال، موارد مشهوری همچون LinkedIn و Taringa  یا سایت های مختلفی که مورد حمله قرار گرفته و اطلاعات آنها به سرقت رفته، در این لیست به چشم خواهد خورد.

خوب حالا که فهمیدیم اطلاعات ما به سرقت رفته قدم بعدی چیست؟ واضح است که باید رمز خود در سایت های ذکر شده را به سرعت عوض کنیم، اما از آنجایی که استفاده از یک رمز برای تمامی حساب ­ها بین کاربران بسیار متداول است، باید تمامی حساب­ هایی که برای آنها از همان رمز استفاده کرده­ایم را هم تغییر دهیم، چون وقتی رمز ما در دست فرد دیگری افتاده باشد، فهمیدن اینکه او  با اطلاعات ما به چند سایت خواسته وارد شود غیر ممکن است.

وقتی می ­خواهید رمز جدیدی انتخاب کنید، توصیه می­ کنیم از ابزاری که در همین سایت قرار دارد، استفاده کنید.

این بار، وب­سایت به شما خواهد گفت رمزی که می ­خواهید انتخاب کنید تا به حال چند بار استفاده شده یا چند بار به سرقت رفته است.

اگر بخواهیم برخی از  رمزهایی که در بین رمز های متداول استفاده شده قرار دارد را در سایت وارد کنیم با این چنین چیزی مواجه خواهیم شد:

همانطور که مشاهده می­ کنید اگر از رمزی کاملا تصادفی استفاده کنیم، به احتمال زیاد در هیچ یک از حملات به سرقت نرفته و به همین علت احتمالا کسی هم از آن استفاده نکرده است.

علاوه بر اینکه به هنگام انتخاب رمزی امن، باید آن را چک کنید تا در بانک اطلاعاتی مربوط به رمزهای هک شده قرار نداشته باشد، چند نکته دیگر را هم به یاد داشته باشید:

• حروف و اعداد را باهم ترکیب کنید.
• از کاراکتر های خاص استفاده کنید.
• رمزتان باید حداقل ۸ کاراکتر داشته باشد (اگر بیشتر از ۱۰ کاراکتر باشد، امنیت بیشتری در برابر حملات خواهید داشت).
• علاوه بر موارد یاد شده، احراز هویت دو مرحله­ ای را هم فعال کنید.

اما مهمترین کار این است که باید رمز را طوری انتخاب کنید که به راحتی بتوان به خاطر سپرد، چرا که سختی زیاد در به یاد آوردن رمز نهایتا ما را مجبور می­ کند آن را روی کاغذی بنویسیم یا آن را روی مانیتور خود بچسبانیم( یا یکی از بیشمار روشی که به ذهنمان خطور می­ کند)، در این صورت هر کاری که برای تامین امنیت خود به کار گرفتیم، بی فایده خواهد بود.

کاربرانی که از برنامه­ های مدیریت رمز استفاده می­ کنند، مثل KeePass که می­ تواند رمزهای تصادفی و مطمئن تولید کرده و آنها را به حالت رمزگذاری شده در خود ذخیره کند، می ­توانند با استفاده از ابزاری که در GitHub عرضه شده می ­توانند رمزهای ذخیره شده خودشان را با لیست وب­سایت Have I Been Pwned مقایسه کنند.

نام این برنامه kdbxpasswordpwned است و به طور خودکار رمزهای ذخیره شده در KeePass را با بانک اطلاعاتی موجود از رمزهای سرقت شده مقایسه می ­کند.

نکته آخر این است که باید نسبت به ایمیل ­هایی که در آن فرستنده ادعا می­ کند رمز ما را در اختیار دارد و تقاضای پول کرده، محتاط باشیم. به گزارش ESET هنوز هم جنبش های کلاهبرداری جنسی در حال رخ دادن هستند که در آنها ایمیلی حاوی رمز فرد به او ارسال شده و از او پول درخواست می­ کنند.

نتیجه گیری:

رمزتان را دائما تغییر دهید، حتی اگر از برنامه ها یا خدماتی که از آنها استفاده می ­کنید چنین هشداری به شما ندهند. همچنین در هر جا که ممکن بود، احراز هویت دو مرحله ­ای را فعال کنید. با این کار اطلاعات شخصی شما امن تر ­مانده و احتمال دسترسی افراد به آنها را کاهش می­ دهد.

پشتیبانی فنی رایگان

نظرات

نظر (به‌وسیله فیس‌بوک)