کاربران باید برای ورود به هر وبسایتی رشتهای درهم پیچیده از اعداد و حروف را انتخاب کنند و آن را به خاطر بسپارند، اما اکثر کاربران این کار را نخواهند کرد، زیرا بسیاری توانایی و حوصله به خاطر سپردن چنین رمزهایی را ندارند و از این رو از اسامی معمولی و پیش پا افتاده، مانند نام حیوان خانگی یا نام خیابان را با اعداد و ارقامی قابل حدس مانند 123 ترکیب کرده و به عنوان رمز عبور استفاده میکنند. ترکیبی از حروف بزرگ و کوچک نیز تکنیک جدیدی است که به تازگی رواج یافته و کار به خاطرسپاری رمزهای ورود را دشوارتر ساخته است.
از آنجایی که این رفتار، رفتاری جهانی به شمار میرود، نمیتوان کاربران را به خاطر آن ملامت کرد. ماه گذشته ارزیابی تعدادی از رمزهای عبوری که بر روی اینترنت منتشر شده بودند نشان داد از هر 10 نفر، یک نفر 1234 را به عنوان رمز عبور انتخاب میکند. همچنین نشت اطلاعاتی که به تازگی در وبسایت یاهو رخ داده نشان داد که رمز عبور هزاران نفر از کاربران این وبسایت Password, Welcome, 123456, و یا Ninja بوده است.
رسم انتخاب این رمزهای عبور وحشتناک حتی در میان کاربرانی که بیشتر در خطر هک شدن قرار دارند نیز حفظ شدهاست، گفته میشود که در بحبوحه جنگ سرد، کد محرمانه فعالسازی موشکهای اتمی آمریکا 00000000 بوده است.
پنج سال پیش،Newsnight اعلام کرد تا سال 1997 تعدادی از موشکهای اتمی بریتانیا با استفاده چرخاندن یک کلید که در واقع قفل یک دوچرخه بود، فعال میشدند و برای انتخاب اینکه بمبها بر روی زمین منفجر شوند یا در هوا، باید صفحهای از شمارهها چرخانده میشد. هیچ رمز عبوری برای فعالسازی این بمبها وجود نداشت.
میزان زیرکانه بودن رمزهای عبور کاربران نتیجه نبردی است که میان هکرهای تبهکار و هکرهای کلاه سفید برقرار است.
با اینهمه به نظر میآید سیستم رمزدهی به طور کلی دچار نقص است، برای مثال بسیاری از کارفرمایان هستند که به کارمندان خود دستور میدهند هر 90 روز یکبار رمزهای خود را تغییر دهند، اینکار نه تنها امنیت را افزایش نمیدهد، بلکه کارها را در هم پیچیدهتر نیز میکند. همچنین در برخی از بانکها از مراجعان درخواست میشود که رمز عبورشان بیشتر از 12 حرف نباشد و امکان استفاده از فاصله در میان حروف نیز وجود ندارد.
در واقع حقیقت این است که رمز عبور، به عنوان شیوهای برای حفظ خصوصیترین اطلاعات کاربران در اینترنت، اساسا دچار مشکل است.
این مشکل به اندازه ای حاد است که بیل چسویک، یکی از محققان با سابقه امنیت شبکه در پاسخ به این پرسش که آیا این مشکل راهحل قطعی دارد گفت: باید رایانههای خود را بسوزانید و به گردش بروید! اما با وجود هرج و مرجی که در این سیستم وجود دارد، هنوز کارهایی هستند که انجام دادن آنها میتواند امنیت اطلاعات را حفظ کند.
رمزهای طولانی
طول رمز عبور یکی از مواردی است که در افزایش ایمنی آن تاثیرگذار است. برای هکری که رایانهاش قدرت محاسبه هزار حدس در ثانیه از کدهای یک رمز عبور را دارد، رمزگشایی از رمزی پنج حرفی که بسیار رایج است کمی بیشتر از سه ساعت زمان نیاز خواهد داشت. افزایش تعداد حروف از 5 به 20 به همان نسبت مدت زمان رمزگشایی را نیز به میزان باورنکردنی افزایش خواهد داد.
رمزهای غیر قابل حدس
پس از آن قابل حدس بودن رمز عبور از اهمیت بالایی برخوردار است. کمتر پیش میآید کسی از ترکیبی اتفاقی از حروف و اعداد به عنوان رمز عبور خود استفاده کند و معمولا افراد از واژههای حقیقی و معنیدار و جایگزین کردن حروف آنها با اعداد و یا استفاده از نام خود به همراه چند رقم استفاده میکنند. هکرها از این موضوع آگاهی دارند و نرمافزارهای آنها از قابلیت ترکیب این اطلاعات با یکدیگر برخوردار است و به این شکل مدت زمان مورد نیاز برای کشف این رمزها کاهش خواهد یافت.
با وجود این شرایط، رمز عبوری که کمترین احتمال برای هک شدنش وجود داشته باشد، رشتهای طولانی از حروفی است که به صورت اتفاقی انتخاب شدهاند، رشتهای که هرگز نمیتوان آن را به خاطر سپرد! با اینهمه به خاطر اینکه طول رمز عبور از اهمیت بیشتری برخوردار است، رشتهای طولانی از واژههای معنی دار نیز از شانس بسیار کمی برای هک شدن برخوردارند، در عین حال به خاطر سپردن آنها بسیار سادهتر خواهد بود.
رمزتان را بنویسید
درصورتی که امکان استفاده از تعداد زیادی واژه یا حروف پیچیده وجود نداشته باشد، بهترین راه نوشتن رمز عبور کوتاه اما غیر قابل حدس بر روی کاغذ است،زیرا درصورتی که امکان نوشتن رمز بر روی کاغذ نیز وجود نداشته باشد، کاربر مجبور به انتخاب رمزهای ساده خواهد شد.
قانون این است که هرچه تعداد رمزها برای به خاطر سپردن بیشتر شود، فشار برای انتخاب رمزهای سادهتر افزایش پیدا میکند. جسپر جوهانسون متخصص امنیت مایکروسافت از کسانی است که تمامی 68 رمز عبور خود را بر روی کاغذ یادداشت کرده تا بتواند هم آنها را به خاطر بیاورد و هم خطر هک شدن آنها را کاهش دهد. وی میگوید اگر اجازه نوشتن این رمزها را نداشتم، مجبور میشدم به جای تمامی آنها یک رمز ساده و مشابه انتخاب کنم.
خطر دیگری که همواره رمزهای عبور را تهدید به لو رفتن میکند، طول و یا پیچیدگی رمز عبور را بیارزش جلوه میدهد. نرمافزارهایی که میتوانند کلیدهای فشرده شده بر روی صفحهکلید را تشخیص داده و از این طریق رمز را حدس بزنند. در این صورت مهم نیست که طول رمز و حروف آن چه باشد، و تنها راهی که میتوان از آلوده شدن به چنین بدافزاری جلوگیری کرد، وارد نشدن به سایتهایی است که به این بدافزارها آلوده هستند.
روزی خواهد آمد که به واسطه توسعه نوآوریهای متعدد، نیازی به نگرانی برای هک شدن رمز عبور نخواهد بود. صفحات لمسی به شکلی تنظیم خواهند شد تا حرکات بسیار کوچکی از کاربر را ردیابی کرده و وی را شناسایی کنند، این حرکات میتوانند فاصله میان انگشتان دست و یا سرعت استفاده از انگشتان دست باشد. با این همه تا زمانی که چنین فناوریهایی جایگزین رمزهای عبور شوند، راه طولانی باقی مانده است.
بر اساس گزارش گاردین، درحال حاضر یکی از بهترین راه حلها برای محافظت از رمزها، نصب نرمافزارهایی است که به کیف رمز شهرت دارند. این نرمافزارها،از قبیل LastPass و یا 1Password میتوانند برای هر حساب آنلاین یک رمز عبور ایجاد کرده و تمامی آنها را در پس یک رمز عبور کلیدی پنهان کنند.