از کجا بفهمیم که یک سایت رمزها را به صورت متن آشکار ذخیره می‌کند؟

   
نام نویسنده:
 سه شنبه 21 اسفند 97 ساعت: 10:00:00
هرگاه که در یک سایت ثبت‌نام می‌کنید به آن‌ها اعتماد می‌کنید تا اطلاعات شخصیتان را به آن‌ها دهید. این سایت‌ها در کمترین حالت به ایمیل شما و یا حتی چیزهایی مثل رمزتان دسترسی دارند. اما از کجا می‌توانیم بفهمیم که این سایت‌ها از اطلاعات خصوصی ما محافظت می‌کنند؟ مشکل سایت‌هایی که رمز را به صورت متن آشکار ذخیره می‌کنند کجاست؟ چه کار می‌توانیم برای آن بکنیم؟
 
 

متن آشکار چیست؟ چرا مشکل‌ساز است؟

 
متن آشکار همانطور که از نامش پیداست رمزی است که به همان صورتی که آن را می‌نویسید ذخیره می‌شود. فرض کنید که سایتی که از آن استفاده می‌کنید هک شود. هکر خیلی راحت به حساب‌های کاربری و رمزهایی که در جایی نوشته شده‌اند دسترسی خواهد داشت. فرض کنید رمز شما « Pa$$w0rd» است ( البته امیداوریم که نباشد). هکر می‌تواند لیست را ببیند، آدرس ایمیل شما را پیدا کند و خیلی راحت ببیند که رمز آن « Pa$$w0rd» است.
پسورد
 
 
مشکل اینجاست که مهم نیست رمز شما چقدر دشوار باشد. زیرا هرکسی که به حساب شما دسترسی پیدا کند خیلی راحت می‌تواند رمز را نیز بخواند. نگرانی وقتی بیشتر می‌شود که شما از یک رمز در چندین پلتفرم استفاده کنید. محققان امنیتی همیشه تأکید می‌کنند که هیچ‌گاه این کار را نکنید حتی اگر داشتن یک رمز کلی ساده وسوسه انگیز باشد. اگر این کار را بکنید هکرها می‌توانند به راحتی به رمز حساب بانکی، فیسبوک و هرچه که در آن از همین رمز استفاده شده سر دربیاورند.
متأسفانه 30 درصد فروشگاه‌های اینترنتی رمزها را به صورت متن آشکار ذخیره می‌کنند و این موضوع چیزی نیست که بتوان آن را نادیده گرفت. البته این موضوع فقط به سایت‌های کوچک محدود نمی‌شود بلکه بعضی از سایت‌های مشهور مثلNHL, Match.com, LinkedIn و Vodafone نیز از همین روش استفاده می‌کردند. خوشبختانه از آن زمان این سایت‌ها امنیت خود را بسیار بهبود بخشیده‌اند.
 
 

راه حل ذخیره رمزها به صورت امن چیست؟

 
جایگزین متن آشکار چیست؟ چند روش برای ذخیره‌ی رمزها وجود دارد اما همه‌ی آن‌ها آنطور که باید امن نیستند. بسیاری از سایت‌ها از تابع درهم سازی «hash function» استفاده می‌کنند که رمزها را به یک سری اعداد دیگر تبدیل می‌کند. اگر یک هکر به آن‌ها دسترسی پیدا کند تنها می‌تواند چند کاراکتر درهم ببیند. اما یک مشکل بزرگ در این الگوریتم وجود دارد چرا که هرگاه شما رمز خود را وارد می‌کنید همان تابع درهم سازی ایجاد می‌شود. سپس سیستم برای این که به شما اجازه‎ی دسترسی دهد از صحیح بودن اعداد اطمینان حاصل می‎کند. متأسفانه برای دستیابی به رمزها هکرها از حمله جست‌وجوی فراگیر«brute-force attacks» استفاده می‌کنند.
اگر شما یک سایت تجارت اینترنتی دارید باید از درهم سازی نمکی « salted hashes» استفاده کنید. در این روش از همان روش استفاده شده اما پیش از ورود الگوریتم درهم چند رقم به آن اضافه می‎شود. درهم سازی آرام «Slow hashes » یک روش بهتر است. در این روش تعداد دفعاتی که هکر می‌تواند در ثانیه به یک دیتا حمله کند محدود می‌شود. اگر یک هکر بداند که زمان بیشتری برای باز کردن رمز احتیاج دارد کمتر پیش می‌آید که آن حساب کاربری را مورد حمله قرار دهد.
 
 

از کجا بفهمیم که یک سایت رمزها را به صورت متن آشکار ذخیره می‌کند؟

 
جواب به این سوال بسیار مشکل است مگر این که خودتان در آن شرکت کار کنید. اگر اینطور است باید حتماً به تیم آی‌تی که داده‌های خصوصی را به صورت متن آشکار ذخیره می‌کنند هشدار دهید. اما روش‌هایی برای فهم این موضوع وجود دارد. برای مثال اگر یک حساب کاربری در سایتی باز کردید و آن‌ها برایتان ایمیلی فرستادند که شامل رمزتان هم می‌شد به احتمال زیاد آن را به صورت متن آشکار ذخیره کرده‌اند.
 

پسورد 

 
اگر شما گزینه‎ی فراموشی رمز را انتخاب کنید و آن را برایتان بفرستند باید بفهمید که آن سایت ناامن است زیرا اگر رمزگذاری شده بود قادر به انجام چنین کاری نبودند و شما مجبور بودید حساب کاربری خود را تأیید کنید و رمز خود را به طور کامل ریست کنید. البته ایمیل به طور کلی امن نیست و ممکن است هک شود. حتی اگر یک سایت اطلاعات شما را به صورت متن آشکار ذخیره نکند فرستادن یک پیام با جزئیات امنیتی کار امنی نیست.
اگر می‌خواهید ببینید که یک سایت چقدر امن است وقتی که وارد سایت می‌شوید از یک رمز موقتی استفاده کنید. سپس گزینه‌ی «فراموشی رمز» را انتخاب کرده و ایمیل خود را چک کنید. اگر تنها گزینه ریست بود این کار را انجام دهید و با خیال راحت از سایت استفده کنید اما اگر رمز قبلی خود را در ایمیلتان دیدید بهتر است که از آن سایت استفاده نکنید. شما همچنین می‌توانید از سایت Plaintext Offenders استفاده کنید که به شما می‌گوید کدام شرکت‌ها امنیت سایت خود را جدی نمی‌گیرند.
 
 

در این زمینه چه کار می‌توان کرد؟

 
اگر شک دارید که یک سایت رمز شما را به صورت متن آشکار ذخیره می‌کند به آن‌ها ایمیل دهید و نگرانی خود را به آن‌ها اطلاع دهید. اگر پاسخ دادند و به شما گفتند که رمز شما را کدگذاری می‌کنند نگرانی کمتر می‌شود اما به خاطر داشته باشید که رمز کدگذاری شده نیز قابل هک شدن است. به همین دلیل هیچ‌گاه نباید از یک رمز برای همه‌ی سایت‌ها استفاده کرد. درضمن به خاطر داشته باشید که سایت‌های معتبری مثل مای‌اسپیس، دراپ باکس و تامبلر نیز تا به حال هک شده‌اند و به احتمال زیاد ایمیل شما نیز در بین آن‌ها بوده است.
 
 

آیا پسورد منیجرها از متن آشکار محافظت می‌کنند؟

 
پسورد منیجر یک راه خیلی خوب برای امن نگاه داشتن همه‌ی رمزها بدون نیاز به به خاطر سپردن آن‌هاست. شما از یک رمز امن کلی برای دست یافتن به کل رمزهای خود استفاده می‌کنید. اما این نرم‌افزارها درمورد متن آشکار هیچ کمکی نمی‌تواند به شما بکند. منیجر یک سیستم ذخیره سازی برای امنیت شماست نه سایت‌هایی که در آن‌ها عضو می‌شوید.
 
 

رمزهایی که در متن اشکار هستند امن نیستند

 
متن آشکار به این معنی است که رمز شما دقیقاً همانطور که نوشته می‌شود ذخیره شده و هکرها خیلی راحت به آن دسترسی پیدا خواهند کرد. وقتی که از سایت مورد نظر یک ایمیل دریافت می‌کنید نباید شامل رمز باشد اگر اینطور بود به این معنی است که آن‌ها از متن آشکار برای ذخیره سازی رمزها استفاده می‌کنند. اگر روی «فراموشی رمز» کلیک کردید و رمزتان برایتان به صورت ایمیل فرستاده شد باید بدانید که اطلاعات شخصی خود را در دستان افراد غیرقابل اعتماد قرار داده‌اید و بهتر است که از آن سایت استفاده نکنید.
 
بیشتر بخوانید:
 

ما را در شبکه‌های اجتماعی مختلف تلگرام، روبیکا، توییتر، اینستاگرام، سروش همراهی کنید.   

 

منبع: makeuseof

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید