فا

‫ گذرواژه و سوالات امنيتي در شبكه‌هاي اجتماعي

گذرواژه، ساده‌ترين و در عين حال مهم‌ترين ابزار براي دفاع از حريم خصوصي و امنيت اطلاعات كاربران در فضاي مجازي و به خصوص شبكه‌هاي اجتماعي است. حساب‌هاي كاربري در شبكه‌هاي اجتماعي شبيه به صندوقچه‌هايي از اطلاعات شخصي افراد هستند و گذرواژه به منزله كليد اين صندوقچه است كه بايد تنها در دست صاحب آن باشد. در صورتي كه شخص ديگري بتواند به اين كليد دسترسي پيدا كند، مي‌تواند به صورت تمام و كمال و بدون هيچ مانعي به محتويات اين صندوقچه دسترسي داشته باشد


با وجود اينكه اكثر وب‌سايت‌ها از جمله سرويس‌هاي شبكه اجتماعي، امكان تاييد دومرحله‌اي (Two-Step Verification) به كمك ايميل و يا پيامك را فراهم كرده‌اند، همچنان گذرواژه به عنوان ابزار اصلي احراز هويت كاربران تلقي مي‌شود. توجه به اين نكته ضروري است كه امنيت گذرواژه ما مستقل از مكانيزم‌هاي امنيتي وب‌سايت است. لذا بايد بدانيم كه با انتخاب يك گذرواژه ضعيف، به سادگي امكان دست‌يابي مهاجمان به اطلاعات خود را فراهم كرده‌ايم؛ حتي براي ورود به امن‌ترين وب‌سايت‌هاي جهان!

 گذرواژه‌اي مناسب است كه به صورت هم‌زمان داراي دو ويژگي باشد. اول آنكه يافتن و حدس آن براي ديگران دشوار باشد و دوم آنكه به‌خاطرسپاري آن براي صاحب گذرواژه ساده و آسان باشد. ويژگي اول امنيت اطلاعات و حريم خصوصي كاربر را فراهم مي‌كند و ويژگي دوم، دسترس‌پذيري اطلاعات و سرويس‌ها را براي وي تضمين مي‌نمايد. به خاطر داشته باشيم كه اين دو ويژگي، به صورت موازي و در يك درجه از اهميت قرار دارند و نمي‌توان هيچ‌يك را بر ديگري برتري داد. با توجه به طبيعت اين دو ويژگي، انتخاب يك گذرواژه مناسب، قرارگيري بر سر يك دوراهي است! در صورتي كه يك كاربر تنها به يكي از دو ويژگي بها داده و ديگري را از ياد ببرد، ممكن است با مشكلات و خطرهاي بزرگي در حفظ حريم خصوصي و اطلاعات شخصي خود و يا دسترسي به آن‌ها و استفاده از سرويس‌ها مواجه شود.

افرادي كه براي افزايش سرعت و سادگي كار خود و يا به جهت عدم آگاهي از خطرات امنيتي موجود، گذرواژه‌هاي بسيار ساده‌اي انتخاب مي‌كنند، به آساني اين امكان را فراهم مي‌كنند تا مهاجمين گذرواژه آن‌ها را بيابند. براي مثال، انتخاب تاريخ تولد يا بخشي از شماره ملي براي كارت‌هاي بانكي يكي از شايع‌ترين اشتباهات امنيتي است كه متاسفانه در كشور ما نيز رواج دارد. نام افراد، محل زندگي و اطلاعات فردي و كاري هم نمونه‌هايي از گذرواژه‌هاي ناامن هستند كه به دليل سادگي در به‌خاطرسپاري، بعضي از كاربران از آن‌ها استفاده مي‌كنند. اهميت اين مسئله به خصوص در شبكه‌هاي اجتماعي دوچندان مي‌شود! چرا كه بسياري از اطلاعاتي كه ذكر شد، دقيقا مطابق با همان اطلاعاتي است كه كاربران در اين شبكه‌ها به  به صورت روزمره با دوستان خود به اشتراك مي‌گذارند و يا حتي به صورت عمومي اعلام مي‌كنند. انگار كلكسيوني از كليدها را جلوي در قرار داده و يكي از آن‌ها را براي قفل خانه خود انتخاب كنيد! كافي است مهاجمان اندكي وقت صرف كنند تا كليدهاي اين مجموعه را امتحان كرده و كليد خانه شما را بيابند...


 

  از سوي ديگر، برخي از كاربران براي آنكه گذرواژه‌هاي با امنيت بسيار بالا داشته باشند، به سراغ استفاده از ابزارهايي مي‌روند كه گذرواژه تصادفي، پيچيده و طولاني توليد مي‌كنند. چنين گذرواژه‌هايي ممكن است براي مهاجمين قابل حدس نباشند و امنيت بالايي داشته باشند، اما با توجه آنكه قابليت به‌خاطرسپاري ندارند، ممكن است كاربر را مجبور نمايند كه گذرواژه خود را در جايي ذخيره كرده و يا به ابزارهاي مديريت گذرواژه مراجعه نمايد. اين كار خود يك تهديد امنيتي جديد ايجاد مي‌كند؛

چرا كه اصل و اساس امنيت گذرواژه بر پايه عدم اطلاع ديگران است. ذخيره گذرواژه در جايي كه خودش ممكن است در معرض ديد سايرين قرار گيرد مشابه قراردادن كليد يدكي در زير پادري خانه است!



 براي انتخاب گذرواژه امن و حفاظت از آن، بايد به نكات زير ضروري است:

  • گذرواژه‌هاي كوتاه انتخاب نكنيد. طول گذرواژه شما ارتباط مستقيم با امنيت آن دارد.
  • در گذرواژه خود تا حد امكان از تمام كاراكترها (حروف كوچك، حروف بزرگ، اعداد، علامت‌ها و غيره) استفاده كنيد.
  • براي وب‌سايت‌هاي مختلف، از گذرواژه‌هاي متفاوت استفاده كنيد.
  • در صورتي كه احساس مي‌كنيد ممكن است كسي به گذرواژه شما دسترسي پيدا كرده باشد، و يا در غير اين صورت، به شكل دوره‌اي، گذرواژه خود را تغيير دهيد.
  • تا حد امكان از ابزارهاي توليد و مديريت گذرواژه استفاده نكنيد! در صورت نياز به استفاده از اين‌گونه ابزارها، تنها به نمونه‌هاي تاييدشده توسط مراجع ذي‌صلاح مراجعه كنيد.
  • گذرواژه خود را با استفاده از تركيب كلمات و اعدادي كه به‌خاطرسپردن آن‌ها براي شما ساده است بسازيد، به گونه‌اي كه در ادامه يادآوري آن براي شما ساده باشد.


موضوع سوالات امنيتي هم در تكميل بحث امنيت گذرواژه مطرح شده و از اهميت ويژه‌اي برخوردار است. سوال امنيتي راهكاري است كه براي زمان فراموشي گذرواژه توسط كاربر تعبيه شده است. بنابراين بايد توجه داشت كه وب‌سايت‌ها، سوال امنيتي را جايگزيني براي زمان نبود گذرواژه مي‌دانند. همان مهاجماني كه ممكن است بخواهند با حدس گذرواژه، اطلاعات كاربر را تهديد كنند، مي‌توانند با حدس سوال امنيتي همان اندازه براي وي خطرآفرين باشد؛ چه بسا فهميدن پاسخ سوالات امنيتي به مراتب ساده‌تر از حدس گذرواژه كاربر باشد.

 سوالات امنيتي پيش از ظهور شبكه‌هاي اجتماعي مورد استفاده قرار گرفتند و اكثرا سرويس‌هايي نظير رايانامه از آن‌ها استفاده مي‌كردند. در آن زمان، سوالاتي مثل موارد زير به اندازه‌اي خصوصي و امن محسوب مي‌شدند كه طراحان فرض كنند كسي به جز خود كاربر از پاسخ آن‌ها اطلاعي نداشته باشد.

 

  • اولين كتابي كه مطالعه كرديد چه بوده است؟
  • نام معلم كلاس اول شما چه بوده است؟
  • پدر / مادر شما در چه شهري به دنيا آمده است؟
  •   ...


    

    

 مسئله اصلي در مورد اين سوالات اين است كه در شبكه‌هاي اجتماعي، ديگر حريم خصوصي كاربران به اندازه گذشته از ديد ديگران مخفي نيست و بسياري از مردم، با خيالي آسوده اطلاعاتي از خود، خانواده و محل كار خود را در شبكه‌هاي اجتماعي به اشتراك مي‌گذارند كه ممكن است پاسخ سوالات امنيتي آن‌ها نيز از طريق آن قابل تشخيص باشد! حتي در سناريوهاي ساده‌تر، شايد نه از روي فراموشي و اشتباه، بلكه از روي اطلاعات اصلي نمايه كاربران بتوان پاسخ سوالات امنيتي را فهميد. براي مثال كافي است سوال «پدر شما در چه شهري به دنيا آمده است؟» را انتخاب كنيد، با پدر خود در شبكه اجتماعي ارتباط داشته باشيد و پدر شما محل تولدش را در نمايه شخصي خود قرار داده باشد. پاسخ سوال امنيتي شما با سه كليك قابل فهم است!!!

 

با اين تفاسير، به نظر مي‌رسد كه سوالات امنيتي ديگر به شكل قبلي خود جايگاهي در فضاي امنيت اطلاعات و حريم خصوصي ندارند. براي برخورداري از امنيت بيشتر، عمل به توصيه‌هاي زير مفيد است:

  • تا حد امكان از سوالات امنيتي استفاده نكنيد! امروزه اكثر وب‌سايت‌ها امكان بازيابي اطلاعات و گذرواژه از طريق ارسال رايانامه و پيامك را فراهم كرده‌اند كه راهكاري به مراتب امن‌تر از سوالات امنيتي است. استفاده از اين امكانات به جاي تعيين سوالات امنيتي توصيه مي‌شود.
  • در صورتي كه ملزم به تعيين سوال امنيتي بوديد، سوال را خودتان تعيين كنيد و تا حد امكان از سوالات آماده استفاده نكنيد. در سوالي كه خودتان انتخاب مي‌كنيد هم پيچيدگي‌هايي قرار دهيد كه ديگران متوجه صورت سوال نشوند. پاسخ را نيز به شكلي بنويسيد كه با پاسخ اصلي تفاوت داشته باشد و تنها خودتان متوجه آن تفاوت باشيد.
  • اگر فکر می‌کنید با این روش‌ها نمی‌توانید کاری کنید تا امنیت موردنظرتان تامین شود، به سوال امنیتی نیز به چشم یک گذرواژه دوم نگاه کنید! یعنی مستقل از صورت سوال، برای پاسخ یک عبارت ساختگی قرار دهید.

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 13 دی 1394

امتیاز

امتیاز شما
تعداد امتیازها:0