کلمه‌های عبور قوی‌تر

سلام توی این پست قرار بگم چطوری میشه کلمه‌های عبور مون رو قوی‌تر کنیم. داستان از اونجا شروع شد که متوجه شدم یکی از دوستام ایمیلش هک شده و من هم یک سری توصیه کوچیک بهش کردم و بعد اون گفت نه من اینا رو رعایت میکردم و متاسفانه تو حسابم ارز دیجیتال داشتم و اون هم سرقت شده، و تو حرفاش گفت که برای امنیت از فلان برنامه هم استفاده می‌کردم. من هم نزدیک به ۵ سال بود پسورد هامو بروز نکرده بودم. و جدیدا گاهی یک ایمیل اسپم می‌گرفتم که می‌گفت رمز تو این هست. ما رمزتو میدونیم و از وبکمت فیلم ذخیره کردیم و میخوایم بفرستیم به دوستات زودی برای ما انقدر بیت کوین بریز تا فیلما رو پاک کنیم. و من میدونستم که چرت میگن (چون اول هم پسوردی که میگفتن شبیه بود اما خودش نبود دوما اصلا لپتاب من وب‌کم نداره :) جدی نمی گرفتم و به خودم گفتم حالا وقتشه یکم راجع به پسورد بخونم و امنیت حساب هامو ببرم بالا که نتیجش شد این پست در ادامه این نکات رو به صورت تصویری با هم میبینیم.

۱- از یک نرم‌افزار مدیریت پسورد استفاده کنیم.

اگه دقت کرده باشین سایت ها و برنامه ها مدام به ما گیر میدن که رمزت ساده هست بیا و از یک کاراکتر خاص مثل ستاره یا حروف کوچیک بزرگ با عدد و حداقل طول فلان استفاده کن. حالا اگه بخوایم همه این ها رو حفظ کنیم ماجرا سخت تر هم میشه. راه حل خیلی ساده هست کافیه یک گاو صندوق داشته باشیم و رمز هارو بریزیم اون تو و فقط رمز گاو صندوق رو بلد باشیم.

در بین نرم افزار های مدیریت پسورد Bitwarden و LastPass رو بیشتر معروف دیدم که Bitwarden چون متن باز هست بهتره. برین دانلودش کنید هم سیستم هم موبایل و هم افزونه مرورگرش رو. بعد ازتون یک رمز میخواد من این کارو کردم همین جوری شانسی رقم حرف و علامت به طول ۱۴ کاراکتر کنار هم روی کاغذ نوشتم به نرم افزار دادم شاید بگین این روش سختیه بهتره از چند تا لغت با معنی استفاده کنیم تا اینکه بخوایم به صورت تصادفی تولید کنیم، ولی جالبه که از فرداش من همونو حفظ شدم.

یادتون نره برای Bitwarden هم تایید هویت دو مرحله‌ای رو فعال کنید. و حالا شروع کنید رمز سایت ها و نرم افزار هاتون رو عوض کنید. و یک قالبیت خوب دیگه ای که Bitwarden داره این هست که به شما اجازه میده رمز تصادفی تولید کنید(key generator) و خب این جوری عملا رمزها رو هیچکس نمیدونه حتی خود شما. مثلا گوگل به شما اجازه میده کلمه عبور تون حداکثر ۱۰۰ کاراکتری باشه و من در حالی که میدونم خیلی شاید ضروری نباشه اما برای فان قضیه کلمه عبور تصادفی به طول ۱۰۰ تولید کردم و دادم به گوگل. و اینکارو برای سایت‌های داخلی مثل بانک‌ها، حساب های دانشگاهم، اسم و رمز مودمم(چه وایرلس و چه ورود به صحفه تنظیمات مودم) ، پیام‌رسان ها مثل تلگرام و بقیه سایت‌ها و نرم‌افزار ها انجام دادم.

۲- two step verfication یا تایید هویت دو مرحله‌ای  را با نرم افزار های 2FA فعال کنیم.

حتما شما هم دیدین گوگل یا بانک‌ها یا تلگرام یا بقیه سایت‌ها تایید هویت دو مرحله‌ای دارن و مشکل‌هایی مثل دیر رسیدن پیامک و یا نگرانی از اینکه یکی قبل از اینکه شما پیامک رو ببینید شنود کنه داشتین. نرم افزار‌های 2FA که مخفف Two Factor Authentication هست به ما این اجازه رو میدن که بجای پیامک شدن رمز خود گوشی یک رمز ۶ تا ۸ رقم تولید کنه در نتیجه نمیخواد منتظر اومدن پیامک باشیم و از اون مهم تر دیگه کسی نمیتونه شنودش کنه.

هنوز همه سایت‌ها از این قابلیت پشتیبانی نمیکنن ولی چند تا از مهم هاشو معرفی میکنم. بیشتر شبکه‌های اجتماعی، گوگل و مایکروسافت و خود Bitwarden این قابلیت رو دارن. کافی هست وارد اون سایت بشین تو قسمت profile تو اونجا که مربوط به تنظیمات رمز و امنیت هست دنبال تایید هویت دو مرحله‌ای با نرم افزار بگردین.

در بین نرم افزارهای 2FA من اینا بیشتر به چشمم خورد و خلاصه شو تو این جدول نشون میدم.

همین طور که میبینید این جدول کامل نیست پس اگه شما اطلاعات بیشتری دارین خوشحال می‌شم تو کامنت ها بگین تا بروزش کنم و خب البته ممکنه امکانات شون در طول زمان عوض بشه.

روند کلی تو این برنامه ها اینجوری هست که سایتی که به شما این قابلیت رو میده اول به شما یک QR code و یا اگه دوربین ندارین یک کد متنی میده و شما میاین تو این برنامه ها اون رو ثبت میکنید و حالا که برنامه شناخت یک کد عددی مثلا ۶ رقمی تولید میکنه که هر ۳۰ ثانیه عوض میشه و شما الان باید این کد رو تا زمانی که معتبر هست در سایت مبدا وارد کنید، بعد که وارد کردین گوشی شما شناسایی میشه و دیگه میتونید از این قابلیت استفاده کنید. فقط حواستون باشه که اگه این نرم افزارها به هر دلیلی از روی گوشی تون پاک بشن و شما به اون کد های ۶ رقمی دسترسی نداشته باشین کار تایید هویت سخت یا غیر ممکن میشه که راه حلش استفاده از کد های پشتیبان هست که در ادامه خدمتتون توضیح میدم. البته اون نرم افزارهایی که اجازه میدن رو لپتاب هم داشته باشیم مثل Authy خیالمون رو کمی راحت تر میکنن که اگه گوشی گم شد حالا با سیستم تایید هویت رو انجام میدم ولی خب فعلا متاسفانه به ایرانی ها اجازه نصب نمیده.

و خب مثل همیشه سعی کنید این نرم افزارها رو از سایت خودشون و یا پلی‌استور نصب کنید نه سایت هایی مثل فارسی دروید.

در ضمن یک خوبی دیگه این هست که اگه به صورت گروهی مثلا از جیمیل با همکارهاتون استفاده می‌کنید و تا حالا به دلیل اینکه فقط می‌شد تایید هویت پیامکی رو برای یک شماره فعال کرد و به همین دلیل فعال نکردین الان می‌تونید خیلی راحت همون QRی که گوگل میده رو به دوستان تون هم بدین در نتیجه همه می‌تونید تایید هویت دو مرحله‌ای روی گوشی تون استفاده کنید.

We recommend cloud-based mobile authenticator apps such as Authy, Duo Mobile, and LastPass. They can restore access if you lose your hardware device.(from gitlab)

۳- کدهای پیشتیبانی را یک جای امن ذخیره کنیم.

در مرحله قبل گفتیم اگه به هر دلیلی به نرم‌افزار 2FA تون دسترسی نداشته باشین، تایید هویت حتی ممکنه غیر ممکن بشه برای همین سایت هایی که این قابلیت رو گذاشتن به کاربرهاشون توصیه کردن که رمزهایی یک بار مصرف رو هم یکجا بنویسن یا عکس بگیرن و در یک جای امن ذخیره کنن که اگه به نرم افزار تایید هویت دسترسی نداشتن بتونن از اون رمزها استفاده کنن.

در مورد جای امن هم یادتون باشه جیمیل و سیستم تون لزوما جای امن نیست میشه روی یک کاغذ پرینت گرفت و یا نوشت و اون کاغذ رو یکجا پنهان کنید. من هم که خواستم ببین یک راه حل مطمئن چیه متوجه شدم محصولاتی داریم اسم fire and waterproof safety box یا صندوق های زد آب و آتش که مشخصات یکیشون رو نگاه میکردم قیمتش حدود ۶۰ دلار بود و میتونست تا ۳۰ دقیقه در برابر آتش و ۷۲ ساعت در برابر آب مقاوم باشه. این پایین عکس یکی شون روز از آمازون قرار میدم.

۴- شماره‌ی خود را از سایت‌ها حذف کنیم.

و در نهایت مهم هست حالا که تایید هویت دو مرحله‌ای رو با برنامه‌های 2FA انجام میدین شماره تون رو از سایت حذف کنید. چون ممکنه همچنان فردی که میخواد به حساب شما دسترسی داشته باشه در قسمت فراموشی کلمه عبور مثلا به جیمیل بگه که من به نرم افزار 2FA دسترسی ندارم و اون رمزو برام پیامک کن و بتونه از اون طریق با شنود کردن پیامک وارد حساب تون بشه.