چگونه پسورد امن تری داشته باشیم

چگونه پسورد امن تری داشته باشیم؟

چگونه پسورد امن تری داشته باشیم |من پروفسور مهندسی علوم کامپیوتری در کارنگی ملون هستم، و تحقیقم در مورد کاربری محرمانه بودن و امنیت نرم افزار هاست.

و برای همین دوستانم همیشه از عصبانیت هاشون از وسایل کامپیوتری و مخصوصا ناکارایی محرمانه موندن و امنیت کامپیوترهاشون برام داد سخن سرمیدن.

00:24

من همیشه کلمه ی پسورد زیاد به گوشم میرسه.

خیلی از مردم با کلمه عبور مشکل دارند، و این خیلی بد هست که شما به دنبال یک پسورد منحصر به فرد باشید و این که بتونید اون ها رو حفظ کنید و و هیچ کسی هم نتونه حدس بزنه.

وقتی که شما یک حساب کاربری روی ده ها سیستم مختلف دارید و به دنبال یک پسورد منحصر به فرد می گردید چی کار می کنید؟ کار خیلی سختیه.

00:50

در دانشگاهی که من بودم به ما یاد دادن تا چگونه گدرواژه مون یادمون بمونه، به ما در سال ۲۰۰۹ گفته شد در پسورد باید حتما یک حرف وجود داشته باشه. ” چگونه پسورد امن تری داشته باشیم ”

اوایل خیلی خوب بود ولی بعد قانون عوض شد و اواخر سال ۲۰۰۹ به ما چیز دیگه ای گفته شد، و این قانون به ما می گفت که اسم رمز ما باید حداقل از هشت حرف و عدد از جمله حروف بزرگ و کوچک و اعداد و نشانه ها تشکیل شده باشه، ما نمی تونستیم از یک حرف بیش از سه بار استفاده کنیم و کلمه عبور ما نباید در لغت نامه پیدا میشد.

01:22

وقتی که این قانون گذاشته شد، خیلیها، از جمله دوستان و همکاران، به من گفتند که «ای بابا دیگه کاربری نداره.» چرا دارند با ما این کار رو می کنند؟ چرا جلوشون رو نمیگیری؟

01:33

و من هم بهشون گفتم، « خب، میدنید چیه؟ اون ها از من نخواستند”

01:36

ولی من کنجکاو شدم و و رفتم از مسئولین پرسیدم که چه عاملی باعث شده تا این قانون رو به اجرا بگذارند؟

آن ها به من گفتند که دانشگاه ما جز دانشگاه های برتر پیوسته و یکی از شرایط پیوستن این بوده که ما باید کلمات عبور بهتری داشته باشیم که با سیستم جدید مشکلی پیش نیاد، و لازمه این شرایط این بوده که کلمات عبورمان باید به هم ریختگی داشته باشه به هم ریختگی کلمه عبور اصطلاح پیچیده ای هست، اما قدرت آن را مشخص می کنه.

اما مسئله ی اصلی این هست که واقعا مقدار دقیقی از به هم ریختگی پسوورد وجود نداره.

موسسه فناوری و استاندارد ملی یک سری راهنما داره که مقدار به هم ریختگی رمز امنیتی را مشخص می کنه.

اما اونها هم چیز دقیقی را ندارند، و دلیل این که اون ها فقط این قاعد سرانگشتی رو دارند این که اون ها راستش اطلاعات کافی درباره کلمات عبور ندارند.

در واقع، در گزارش آن ها نوشته شده که «متاسفانه، ما اطلاعات کافی از کلمات عبور کاربران به خاطر برخی قوانین در اختیار نداریم.

این موسسه دوست داشت که اطلاعات بیشتری از کلمات عبوریکه کاربران انتخاب می کنند داشته باشند،

اما مسئولین سیستمها مایل نیستند تا اطلاعات کلمات عبور را به دیگران نشان دهند.»

02:45

پس مشکل اصلی همین بود، اما تیم تحقیقی ما از این اتفاق به بهترین شکل استفاده کرد. ما گفتیم ” ما به اطلاعات کلمه های عبور نیاز داریم.”

شاید ما می تونستیم اطلاعات خوبی به دست آوردیم و به پاسخ هایی می رسیدیم.

02:59

پس اولین کاری که کردیم این بود ما چند تا بسته شکلات خریدیم و و به محیط دانشگاه رفتیم و با کارکنان، دانشجویان و اساتید صحبت کردیم و از اون ها اطلاعاتی در مورد کلمات عبورشون خواستیم.

البته معلوم هست که بهشون نگفتیم «کلمات عبورتون رو به مابدید.» ما فقط در مورد محتوای کلمات عبور ازشون سوال پرسیدیم.

چند حرف هست؟ آیا عددی دارد؟ آیا کلمات عبور شما نشانه ای دارد؟ و از این که هفته ی پیش مجبور به ساختن یک پسورد جدید شدید، ناراحت هستید؟

پس ما از ۴۷۰ دانشجو و کارمند و استاد اطلاعات جمع کردیم، و متوجه شدیم که این قانون جدید خیلی آزار دهنده بوده، ولی از طرفی فهمیدیم که اونها با خیال راحت تر رمز خودشون روا انتخاب کردند ما متوجه شدیم که اکثر مردم می دونستند که نباید پسوردشون رو جایی می نوشتند و فقط ۱۳ درصد کلمه عبورشون رو روی کاغذ نوشتند متاسفانه ۸۰ درصد عنوان کردند که رمز قبلی خودشون رو دوباره استفاده کردند.

این اتفاقا خیلی خطرناک تر هست که پسورد امن تون رو دوباره استفاده کنید، چون که شما رو خیلی بیشتر در خطر هکرها قرار میده.

پس اگر مجبور شدید، کلمه عبور خودتون رو یادداشت کنید، اما دوباره ازش استفاده نکنید.

چیزهای دیگه ای هم در مورد علامت ها که در کلمات عبور استفاده کردند متوجه شدیم.

در سیستم جهانی فقط ۳۲ علامت برای کلمات عبور وجود داره ولی همان طور که مشاهده می کنید علامت های مخصوصی رو مردم استفاده می کنند، پس کلمه های عبور ما با استفاد از این علامت ها زیاد قدرت مند نیست.

04:16

پس این یک تحقیق بسیار جالب بود، و ما از ۴۷۰ نفر اطلاعات داریم، اما به طور کلی نتونستیم زیاد اطلاعات به دست بیاوریم، پس یک نگاهی به اطرفمون انداختیم و گفتیم دیگه از کجا می تونیم اطلاعات به دست بیاوریم؟

متوجه شدیم که خیلی از کسانی که کلمات عبور رو می دزدند این کلمات عبور دزدیده شده رو در در اینترنت قرار می دهند.

پس ما تونستیم به این اطلاعات در اینترنت دست یابیم.

البته این یک ایده ی بی عیب برای یک تحقیق نبود، چون که اصلا معلوم نیست که این اطلاعات از کجا اومده، یا این که در سایت مورد نظر مردم از چه قوانینی برای ساخت این کلمه های عبور استفاده کردند.

پس ما می خواستیم یک منبع بهتر پیدا کنیم.

پس تصمیم دیگه ای که گرفتیم این بود که از مردم بخواهیم برای ما کلمه های عبور جدی بسازند.

پس ما از طریق یک سرویس اینترنتی به نام آمازون مکانیکال ترک استفاده کردیم، و در این سرویس به مردم پولی داده میشه تا در عرض چند دقیقه یا یک ساعت در ازای چند دلار برای شما کاری رو انجام بدن.

و ما از طریق سایت آمازون به آن ها پولی رو دادیم.

خب به هر نفر ۵۰ سنت برای ساخت یک پسوردی و شرکت در نظر سنجی پرداخت کردیم، و دوباره به اونها برای بازگشت به سایت و و وارد شدن به سایت مورد نظر و استفاده کردن دوباره از کلمه رمز و جواب دادن به یک نظر سنجی دیگه پرداخت کردیم. با انجام این کار حدود ۵٫۰۰۰ پسورد جمع آوری کردیم، و از هر شخصی خواستیم تا با قوانین خاصی کلمه عبور بسازه.

بعضی از مردم قانون پسورد راحتی داشتند، که ما بهش ۸ ساده میگیم، و در این قانون رمز امنیتی شما باید حداقل هشت حرف داشته باشه.

ولی بقیه کاربران مثل دانشگاه از قانون کلمه های عبور سخت تری استفاده کرده بودند و کلمه های عبورهشت حرفیشون شامل حروف کوچک، بزرگ، اعداد و نشانه بود، و توسط لغتنامه هم چک میشد.

و یک قانون دیگه ای هم که امتحان کردییم، و البته تعدادشون هم کم نبود، این بود که کلمه های عبور حداقل باید از 16 حرف تشکیل می شدند.

06:12

پس ما ۵٫۰۰۰ کلمه عبور داشتیم که طبیعتا تونستیم اطلاعات بیشتری رو به دست بیاوریم.

و دوباره متوجه شدیم که تعداد خیلی کمی از علامت های خاصی مردم در کلمه های عبور استفاده می کنند.

ما هم چنین خواستیم ببینیم که مردم در کلمه های عبورشون چه مقدار پیچیدگی ایجاد می کنند، اما همانطور که قبلا گفتم، این راه خوبی برای تعیین قدرت یک کلمه عبور نیست.

پس ما تصمیم گرفتیم ببینیم با بهترین نرم افزار های هک که توسط هکر ها استفاده می شد چه مقدار طول می کشه تا کلمه عبوری هک شه، و می تونستیم اطلاعات زیادی در در تحقیق به دست بیاریم.

06:46

بذارید بهتون بگم که هکرها چه گونه کلمه عبوری رو به راحتی هک می کنند،

اونها فایل حاوی کلمات عبوری رو سرقت می کنند که همه کلمات عبور رو در قالب کد شد که اصطلاحا “بهم ریخته” نام داره استفاده می کنند، و کاری که می کنند این که سعی کنند کلمه عبور رو حدس بزنند، و از طریق تابع درهم سازی متوجه میشن که آیا رمز در لیست این فایل موجود هست یا نه.

پس یک هکر احمق به ترتیب از حروف الفبا شروع میکنه و قبل از پیدا کردن پسورد که شاید هم پیدا نکنه وقت زیادی را از خودش می گیره.

اما یک هکر باهوش کار دیگه ای رو انجام میده اون ها دنبال کلمات عبوری هستند که برای مردم عادی از محبوبیت زیادی برخوردار هست و از بین این کلمات عبور پسوورد درست رو حدس می زنند برای مثال با کلمه ی “پسوورد”شروع می کنند و بعد “میمون” و «دوستت دارم» رو امتحان می کنند و یا این یکی رو 12345678.

چون که این ها کلمات عبوری هستند که اکثر مردم از آن استفاده می کنند.

در واقع احتمالا شما هم چنین کلمات عبوری رو دارید. پس ما متوجه شدیم که از بین این 5 هزار کلمه عبوری که از طریق این تحقیقات جمع آوری کردیم تا پی به قوت آنها ببریم، متوجه شدیم که کلمات عبور طولانی راستش قوی هم هستند، و پیچیدگی کلمات عبور هم خوب بود.

از طرفی اطلاعات نظر سنجی نشون می داد که مردم از انتخاب کلمات عبور طولانی و سخت و یا خیلی پیچیده راضی نیستند و اون ها را اذیت می کنه، حتی در بعضی مواقع کلمات عبوری که طولانی تر بودند از آنهایی که پیچیدگی بیشتری داشتند امن تر به نظر می رسند.

پس ما متوجه شدیم که، به جای این که به مردم بگین کلمات عبور اون ها باید اعداد و نشانه های مختلفی داشته باشه و چیز های دیوانه کننده ای رو انتخاب کنند، بهتر است به مردم بگیم که رمزهای طولانی تری را داشته باشند.

اما باز هم این یک مشکلی داره: بعضی از کاربران کلمه عبور طولانی داشتند اما زیاد امن نبودند.

شما می تونید رمزی طولانی بسازید ولی خیلی راحت توسط هکرها قابل حدس زدن باشه.

پس ما به یک چیز بیشتر از طولانی بودن رمز نیاز داشتیم.

باید موارد بیشتری برای امن بودن در نظر بگیریم، و دنبال این هستیم که چه مواردی را برای امن تر کردن رمز عبور که برای مردم هم قابل حفظ کردن باشه انتخاب کنیم.

09:00

یک روش دیگه برای داشتن گذر واژه بهتر در سایت ها استفاده از معیار سنجی کلمه عبور هست.

بزارید چند مثال بزنم. احتمالا در اینترنت هنگام ثبت نام و ساخت کلمه عبور این معیار رو دیده اید.

ما در تحقیق خود خواستیم ببینیم که آیا این معیار ها جواب گو هستند یا نه.

آیا این ها واقعا به کاربران کمک می کنند که کلمه بهتری داشته باشند؟ و اگر جواب بله هست کدام یک بهتر می باشد؟ پس ما سایت های مختلفی رو چک کردیم با سایزها، عکس ها و موارد دیگر که کنار ساختن گذر واژه دیده می شد، و حتی توی یکی از این سایت ها یک خرگوش رقصنده رو هم تست کردیم.

وقتی که شما رمز عبور بهتری می نوشتید این خرگوش سریع تر و سریع تر به رقص خود ادامه می داد.

این خیلی برای من جالب بود.

09:37

چیزی که ما متوجه شدیم این بود که این معیار ها برای کلمه عبورمفید بود.

(خندیدن) اکثر این ها واقعا موثر بودند، این خرگوش هم واقعا کار درست رو انجام می داد، اما اونی از همه بهتر بود که به شما می گفت باید پیچیده ترین رمز رو بسازید و بعد به شما علامت اوکی را به نشانه ی خوب بودن اسم عبور می داد، و فهمیدیم که اکثر این معیار سنجی هایی که در اینترنت استفاده میشه سخت گیر هستند.

این سایت ها به شما خیلی زود جواب میدن که کارتون رو دارید خوب انجام میدید ولی اگر به شما این علامت رو ندن، شاید شما بتونید پسوورد بهتری هم انتخاب کنید.

10:12

یک ایده ی دیگه برای کلمه عبور بهتر، استفاده از عبارات به جای رمز عبور هست.

این یک عکس کارتونی از چند سال پیش هست، و طراح این عکس معتقد هست که ما همگی باید از عبارات استفاده کنیم، و اگه به ردیف دوم در این عکس نگاه کنید، می بینید که طراح این نقاشی که عبارت بی معنی” پشم باتری اسب ها را درست کن” به عنوان کد ورود انتخاب کرده که یک کلمه  قوی و آسان برای حفظ کردن می باشد.

شما در واقع همین الان اون رو حفظ کردید پس ما تصمیم گرفتیم در این مورد هم تحقیق کنیم.

در واقع با هر کسی که در مورد پسورد که بهشون می گفتم موضوع تحقیقم بودصحبت کردم، به من درباره این کارتون می گفتند.

«این نقاشی رو دیدی؟ “پشم باتری اسب ها را درست کن.» پس ما تحقیقی انجام دادیم که ببینیم واقعا چه اتفاقی افتاده.

10:59

ما در تحقیقاتمون از کلمات تصادفی که کامپیوتر انتخاب کرده بود در کلمه رمز استفاده کردیم.

علت این کار هم این بود که که انسان ها در انتخاب کلمات تصادفی خوب عمل نمی کنند.

اگر از یک نفر بخواهیم این کار رو بکنه کلماتی استفاده می کنند که واقعا تصادفی نیستند.

پس ما از شرایط دیگه ای استفاده کردیم.

در یکی از این شرایط، کامپیوتر کلمات را از لغتنامه که کلمات عمومی داشت انتخاب می کرد، و شما شاهد کلماتی مثل “اون جا رو امتحان کن، سه تا می آیند” و به این کلمات نگاه کردیم و گفتیم که و دیدیم حفظ کردن این کلمات کار سختیه.

پس تصمیم گرفتیم از کلماتی استفاده کنیم که از لحاظ دستوری با هم فرق دارند، مثل اسم و صفت و فعل. و دیدم که یک چیزی مثل جمله رو میشه پیدا کرد.

پس عبارتی مثل “برنامه ریزی قدرت کمی را می سازد” “پایان داروهای قرمز تعیین می کند” و دیدیم این جملات برای حفظ کردن راحت تر هستند، و گفتیم که شاید کاربران از این ها بیشتر خوششون بیاد.

و این ها رو با کلمات عبور مقایسه کردیم، و از کامپیوتر خواستیم که رمز تصادفی انتخاب کنه، و این جملات کوتاه و جالب بودند اما برای حفظ کردن ممکن هست به مشکل بخوریم.

پس تصمیم گرفتیم از پسوورد هایی به اسم پسوورد های تلفظی استفاده کنیم.

پس در این جا کامپیوتر هجاهای تصادفی رو انتخاب می کرد و در کنار هم قرار می داد پس شما یک کلمه با تلفظ عجیب دارید، مثل کلمه ی «توفریتی» یا «واداسابی» که راحت زبونتون برای تلفظش بچرخه. پس این ها گذرواژه تصادفی بودند که توسط کامپیوتر ساخته شدند.

” چگونه پسورد امن تری داشته باشیم ”
12:22

پس چیزی که ما در این تحقیق متوجه شدیم این بود که رمز عبورکه عبارت در اون ها بکار رفته خوب نیستند.

و کاربران برای حفظ کردن این پسورد نسبت به کد عبور خودشون کار سخت تری دارند.

و به علت این که کلمات عبور عبارتی طولانی تر هستند، وقت بیشتری برای تایپ کردن می برند و کاربران اشتباهات بیشتری برای تایپ مرتکب می شوند.

پس نمیتونیم بگیم که کلمات عبور عبارتی خوب هستند.

از شما طرفداران این نقاشی عذر خواهی می کنم.

از طرفی دیگه متوجه شدیم که رمز تلفظی به خوبی جواب گوست، پس ما تحقیقات بیشتری رو در این مورد انجام دادیم و ببینیم می تونیم از این نوع کلمات عبور استفاده ی بهتری ببریم.

یکی از مشکلاتی که همیشه در تحقیقات خودمون داشتیم این بود که گذر واژه به صورت کامپیوتری ساخته می شد و توسط کاربران واقعی ساخته نمیشن.

این ها کلمات عبور بودند که کامپیوتر برای تحقیقات ما به صورت تصادفی ساخته بود. و ما می خواستیم متوجه بشیم که که کاربران برای ساخت رمز اعتباری چی کار می کنند.

13:18

پس ما از بخش امنیت دانشگاه خواستیم که اگر میشه تمامی کلمات عبور کاربران رو به ما بدهند.

طبیعتا اونها اولش موافقت نکردند که رمز عبور همه رو به ما بدهند، اما راستش موفق شدیم سیستمی رو راه بندازیم که کلیه کلمات عبور حقیقی کارکنان و داشنجویان که تعدادشون به ۲۵ هزار نفر می رسید رو در یک کامپیوتر قفل شده و در اتاق قفل شده بدون دسترسی به اینترنت جمع آوری کنیم و کدی رو اجرا کردند که بتونیم کلمات عبور رو آنالیز کنیم.

اونها کد ما رو تحت بررسی دقیق قرار دادن.

و کد را اجرا کردند. پس در واقع ما گذر واژه کسی رو ندیدیم.

” چگونه پسورد امن تری داشته باشیم ”
13:52

ولی به جواب های جالبی رسیدیم، که مطمئنا شما از دیدن این نتایج شگفت زده خواهید شد. ما متوجه شدیم که کلمات عبوری که توسط مهندسان کامپیوتر ساخته شده بود حدود دو برابر بهتر از کلمات عبوری بود که توسط رشته ی بازرگانی ساخته شده بود.

ما نتایج شگفت انگیز تری رو هم تونستیم به دست بیاریم.

یک چیز دیگه که متوجه شدیم این بود که کلمات عبوری که توسط کاربران دانشگاه ساخته شده بود با کلمات عبوری که توسط کامپیوتر ساخته شده بود شباهت زیادی داشتند، پس این باعث شد تا مطمئن بشیم که درست کردن کلمات عبوری توسط کامپیوتر و و نرم افزار مخصوص راه قابل اطمینانی برای تحقیق در این مورد هست. پس این خبر خوبی بود.

” چگونه پسورد امن تری داشته باشیم ”
14:35

خب می خوام در مورد اخر صحبت کنم که که سال گذشته در دانشکده هنر ملون کارنگی به چه بینشی رسیدم.

یکی از کارهایی که کردم این بود که چند تا جرم مرتکب شدم، و یک طرحی رو درست کردم.

به نام «پوشش امنیتی».

(خندیدن) و با این کار هزار عدد از کلمات عبوری که از سایت راک یو دزدیده شده بود رو جمع کردم. و تعداد این کلمات عبور با این که چه مقدار در سایت استفاده می شدند رابطه ی مستقیم داشت.

پس من یک دسته ای درست کردم. و تمامی این ده هزار پسورد امن رو در دسته هایی به صورت موضوعی دسته بندی کردم.

و در بعضی مواقع سخت بود که این دسته بندی انجام بشه و این که کجا قرار بگیرند، و بعد من تصمیم گرفتم براشون یک رنگی در نظر بگیرم.

” چگونه پسورد امن تری داشته باشیم ”
15:22

بذارید چند تا مثال بزنم: کلمه ی جاستین ممکنه اسم کابر باشه، یا اسم پسرش، یا شاید هم طرفدار جاستین بیبر! یا کلمه ی شاهزاده آیا لقب کسی هستش؟ آیا طرفدار شاهزاده های والت دیزنی هستش؟ یا شاید هم اسم گربه شون باشه. یا جمله دوستت دارم که به کرات در زبان های مختلف بکار میره.

در این کلمات عبور شما کلمات مختلفی از عشق و عاشقی تا کلمات زشت و تحقیرآمیز می بینید، اما برای من جالب بود که که عشق در این کلمات عبور بیشتر از نفرت دیده می شد.

و حتی حیوانات مختلف هم در کلمات عبور مثل میمون که چهاردهمین رمز محبوب شناخته شد دیده می شد.

و من کنجکاو شدم چرا میمون ها اینقدر محبوب هستند؟ پس در آخرین مطالعه ی ما هر وقت کسی رو می دیدیم که از کلمه ی میمون برای رمز استفاده می کرد ازشون علتش رو می پرسیدم.

و از هفده نفری که پیدا کردیم، کلمه ی «میمون» رو برای گذر واژشون انتخاب کرده بودند– حدود یک سومشون حیوان خانگی به اسم «میمون» داشتند، یا این که دوستی داشتند که لقبش میمون بوده، و بقیه هم می گفتند از میمون خوششون میاد و میمون ها بامزه هستند. و واقعا برام جالب بود.

16:43

پس چیزی که مشخص هست اینه که وقتی که ما می خواهیم رمز ورود بسازیم،

ما یا یک اسم رمز بسیار آسان که راحت باشیم تایپ کنیم، می سازیم یا یک کلمه ای که به راحتی حفظ کنیم یا رمزمون یک ربطی به نام کاربری داشته باشه، یا هر چیز دیگه ای.

یا به چیزی فکر می کنیم که ما رو خوشحال می کنه، و پسوردها رو بر اساس چیزهایی که ما رو خوشحال می کنند، می سازیم.

و در حالی که این کار تایپ کردن و بخاطر سپردن رمزتون رو برای شما خوشایند می کنه، همینطور برای بقیه خیلی راحت تر هست که گذر واژه شما رو حدس بزنند.

” چگونه پسورد امن تری داشته باشیم ”

من می دونم که این سخنرانیهای TED الهام بخش هستند و باعث میشوند تا شما به چیز های مثبت فکر کنید، ولی وقتی می خواهید رمز بسازید، سعی کنید در مورد یک چیز دیگه فکر کنید.

17:26

متشکرم.