کایل لیدی محقق و مهندس توسعه در Duo Security در این ارتباط گفته است: «اگر شما یک هدف باشید که البته صادقانه بگویم، شرکتها هدف اصلی هستند، با اتکا به یکسری اقدامات زیربنایی هم به خود و هم به شرکت مطبوعتان در این زمینه کمکهای فراوانی خواهید کرد.» Tech Insider به تازگی گفتگویی با لیدی در این ارتباط انجام داده است. گفتگویی که دو محور اصلی در آن مورد توجه قرار گرفتهاند. هکرها چگونه به سیستمها نفوذ میکنند و چگونه میتوان با رعایت چند توصیه ساده این مدل حملات را متوقف کرد. در ادامه توصیههای ارائه شده از سوی این کارشناس امنیتی را خواهیم خواند.
گذرواژههای ۱۴ کارکتری
گذرواژهای مورد استفاده توسط کاربران حداقل باید از ۱۴ کاراکتر تشکیل شده باشد. گذرواژههایی که در لغتنامهها نتوانید آنها را پیدا کنید. اگر نگاهی به ۲۵ مورد از بدترین گذرواژههای سال ۲۰۱۵ داشته باشیم، به کلماتی همچون ۱۲۳۴۵۶، football و Password برخورد خواهیم کرد. گذرواژههایی که به آسانی توسط یک هکر ممکن است حدس زده شوند. ما در اینجا درباره یک هکر که سعی میکند، گذرواژههای مختلفی را مورد آزمایش قرار دهد، صحبت نمیکنیم، بلکه صحبت از نرمافزارهایی میکنیم که این توانایی را دارند تا در یک دقیقه صدها یا هزاران گذرواژه را حدس بزنند. در نتیجه بهتر است از گذرواژههایی استفاده کنید که بیش از اندازه عجیب باشند. لیدی در این ارتباط گفته است: «اگر من بتوانم گذرواژه شما را در یک لغتنامه شناسایی کنم، در نتیجه یک هکر نیز توانایی انجام چنین کاری را خواهد داشت.» لیدی توصیه میکند از گذرواژههایی استفاده کنید که حداقل طول آنها ۱۴ کاراکتر باشد. (خودش از گذرواژههایی با طول ۲۴ کاراکتر استفاده میکند.) گذرواژههایی که از ترکیب حروف بزرگ و کوچک و سمبلها ساخته شده است. یک گذرواژه پیچیده چیزی شبیه به Syd#2n3l_!4pss است؛ ترکیبی که معنای واقعی نداده و سمبلهای مورد استفاده در آن یک هکر را گیج میکنند. در نتیجه به عنوان یک گذرواژه ایدهآل به شمار میروند. از طرفی به کارگیری یک جمله شبیه به “this password security thing words” یک گذرواژه گمراه کننده برای یک هکر به شمار میرود. لیدی میگوید: «حدس زدن این چنین گذرواژههایی برای یک هکر واقعا مشکل خواهد بود. شخصی که در نظر داشته باشد چنین گذرواژههایی را بشکند باید زمان و منابع مختلف زیادی را بارها و بارها مورد آزمایش قرار داده تا بتواند فرضیه خود را آزمایش کند.» اما در طرف مقابل این چنین گذرواژههایی برای کاربران مشکلساز هستند، به دلیل اینکه به خاطرسپاری یک گذرواژه طولانی از کاراکترهای عجیب و غریب کار مشکلی خواهد بود. به کارگیری یک مدیر گذرواژه، شما را از حفظ کردن این چنین گذرواژههایی بی نیاز میکند. یک مدیر گذرواژه شبیه به LastPass یا ۱Password به شیوه کاملا ایمن همه گذرواژههایی که توسط سرویسهای مختلف از ایمیل گرفته تا حساب بانکی را در یک مکان ذخیره میکند. در نتیجه حفظ کردن گذرواژههای مختلف ضرورتی نخواهد داشت.
لیدی به شدت توصیه میکند از گذرواژههای متعددی برای حسابهای مختلف استفاده کنید. یک مدیر گذرواژه به شما این توانایی را میدهد تا به جای ساخت یک گذرواژه عجیب از سمبلهای مختلف از این نرمافزارها در زمینه تولید گذرواژههای قدرتمند استفاده کنید. برنامههای مدیریت گذرواژه این توانایی را دارند تا گذرواژهای عجیب و پیچیده را تولید کرده و به صورت رمزنگاری شده در یک فایل قرار دهند. در نتیجه دیگر نیازی ندارید تا آنها را در مکانی یادداشت کنید.
احرازهویت دو عاملی
فعالیت بدون احرازهویت دو عاملی باعث میشود، حتی اگر گذرواژه شما به سرقت رفت، همچنان حساب کاربری شما ایمن باشد. لیدی در این ارتباط گفته است: «اگر از مکانیزم احرازهویت دو عاملی استفاده کنید، حتی اگر از ضعیفترین گذرواژهها استفاده کنید دنیا به انتها نخواهد رسید.»
احرازهویت دو عاملی به آرامی به عنوان یک استاندارد امنیتی برای گذرواژهها پذیرفته خواهد شد. با احرازهویت دو عاملی یک کاربر گذرواژه خود را وارد کرده و در مرحله دوم کدی را وارد میکند که آنرا از طریق یک پیام متنی دریافت کرده است. در بیشتر سناریوها، زمانیکه هکرها یک گذرواژه را میشکنند و به سد دریافت کد امنیتی برخورد میکنند از ادامه کار منصرف میشوند، به دلیل اینکه در این مرحله آنها باید تلفن همراه شما را برای ادامه کار خود سرقت کنند. این ویژگی در حال تبدیل شدن به یک گزینه استاندارد است. اما بسیاری از مردم این ویژگی را فعال نمیکنند. لیدی در این ارتباط گفته است: «بسیاری از مردم در این مرحله سهلانگاری میکنند.» شما معمولا مکانیزم احراز هویت دو عاملی را در بخش تنظیمات حساب کاربری خود پیدا میکنید. این ویژگی اکنون در جیمیل، توییتر، فیسبوک، اسنپشات و دهها سرویس دیگر در دسترس کاربران قرار دارد. تنها باید اطمینان حاصل کنید که فعال است. این سرویسها در بیشتر موارد از شما سؤال میکنند که آیا این کد باید برای اسمارتفون ارسال شود یا حساب ایمیلی شما.
جلوگیری از فیشینگ
نزدیک به ۹۱ درصد حملات هکری بر پایه فیشینگ ایمیل انجام میشود. یک ترفند خاص و ظریف که برای هدف قرار دادن یک کاربر خاص طراحی میشوند. بهطوری که او را مجبور میسازند روی یک لینک کلیک کرده، در ادامه گذرواژه خود را وارد کرده یا یک بدافزار را دانلود کند. این نوع ایمیلها به گونهای طراحی میشوند که واقعی به نظر میرسند. در نتیجه قضاوت در مورد آنها در نگاه اول به سختی امکانپذیر است. یک کلاهبردار ممکن است ایمیلی برای شما ارسال کند مبنی بر این موضوع که حساب پیپال شما هک شده است و شما باید گذرواژه خود را بهروزرسانی کنید. اما زمانیکه روی لینک مربوطه کلیک میکنید، شما گذرواژه خود را به او تقدیم خواهید کرد. در حالی که مشاهده میکنید، هیچ چیز تغییر پیدا نکرده است. لیدی در این ارتباط گفته است: «برای آنکه اطمینان حاصل کنید که یک صفحه معتبر و قانونی شبیه به 1000network.com و نه به یک سایت جعلی با آدرس www.1000network.xyz وارد شدهاید باید به دقت به آدرس توجه کنید. اگر هرگونه شکی در این ارتباط پیدا کردید، ضروری است که موضوع را به دقت بررسی کنید.»
ضد مهندسی اجتماعی
همانند مشکل شماره سه، باید مراقب تماسهای مشکوک باشید. هکرها اغلب با استفاده از مهندسی اجتماعی سعی میکنند شما را متقاعد سازند که قصد کمک کردن به شما را دارند. بنابراین مهم است که یک شک و تردید نسبت به تماسهایی داشته باشید که در آن ادعا میشود از نمایندگی خدمات مشتریان تماس گرفتهاند و از شما گذرواژهتان را درخواست میکنند. تقریبا هیچ شرکتی در تماس تلفنی از شما درخواست نمیکند گذرواژه خود را برای او بازگو کنید. اگر چنین تماسهایی داشتید، باید مشکوک شوید