هکران چگونه فعالان اجتماعی را مورد حمله قرار می‌دهند؟

بزرگمهر احمدی

۰۸/بهمن/۱۳۹۳ 

هک شدن فیس‌نما و انتشار نام کاربری و رمز هزاران کاربر ایرانی به خوبی نشان داد که بسیاری از کاربران در انتخاب کلمه عبور مناسب، سستی به خرج می‌دهند.

در این مطلب یک نرم‌افزار مناسب و امن برای مدیریت رمز را معرفی کرده و به نکاتی در مورد ذخیره کردن رمز، مشاهده رمز، انتقال رمز و فراموش کردن و حذف رمز در مرورگر کروم و فایرفاکس می‌پردازیم و به نکاتی که کاربران باید هنگام ورود رمز توجه داشته باشند، اشاره خواهیم کرد.

هک شدن فیس‌نما و انتشار نام کاربری و رمز هزاران کاربر ایرانی به خوبی نشان داد که بسیاری از کاربران در انتخاب کلمه عبور مناسب، سستی به خرج می‌دهند. به طور خلاصه یک کلمه عبور مناسب باید به اندازه کافی طولانی باشد. ترکیبی از اعداد، حروف و نشانه‌ها باشد و قابل حدس زدن نباشد. این اعداد و حروف نباید شامل اطلاعات شما و یا دوستانتان (نام، شماره ملی، شماره تماس و...) باشد. همچنین گفتیم که برای حساب‌های کاربری مهم (مثل ایمیل اصلی، ایمیل بازیابی، حساب بانکی، حساب فیسبوک و...) باید رمزهای متفاوتی در نظر گرفته شود. شما نباید رمزهای خود را در جایی مثل دفترچه یادداشت و در یک فایل متنی بر روی کامپیوتر ذخیره کنید. تغییر رمزها به صورت دوره‌ای (چند ماه یک بار) نیز نکته‌ی دیگری است که کاربران باید به آن توجه داشته باشند.

اگر فکر می‌کنید به خاطر سپردن این همه رمز برای شما کمی مشکل است، می‌توانید از نرم‌افزارهای مدیریت رمز مثل LastPass (دریافت از این‌جا) استفاده کنید. این نرم‌افزار دارای افزونه‌هایی برای همه مرورگرهای شناخته‌شده است که با نصب این افزونه‌ها می‌توانید میان رمزهای ذخیره‌شده خود در مرورگر‌ها و حساب‌های مختلف، هم‌گام‌سازی کنید.

آیا LastPass امن است؟ آیا هکران و صاحبان سرور می‌توانند رمزهای مرا ببینند؟

نظرات کاربران در وبلاگ‌ها و سایت‌هایی که به معرفی این نرم‌افزار پرداخته‌اند نشان می‌دهد که برخی از کاربران نگران امنیت این نرم‌افزارها هستند که ممکن است یک هکر با حمله به سرورهای این نرم‌افزار، بتواند به رمزهای کاربران دسترسی پیدا کند.

اما خوشبختانه نرم‌افزار LastPass  از شیوه‌ی امنی برای نگه‌داری رمزهای کاربران استفاده می‌کند که علاوه بر ذخیره رمزها بر روی دستگاه شما، بر روی سرورهای نرم‌افزار نیز به شیوه امنی ذخیره می‌گردد. اطلاعات ذخیره‌شده به جز در دستگاه شما، به هیچ وجه قابل رمزگشایی نیستند. در واقع این نرم‌افزار قبل از ارسال اطلاعات به سرورهای خود، آن‌ها را رمزنگاری می‌کند و سپس اطلاعات را به سرورهای خود می‌فرستند. این اطلاعات به جز در دستگاه شما، حتی برای صاحبان سرور نیز قابل خواندن نخواهد بود. تاکید می‌کنیم که رمز اصلی نرم‌افزار LastPass  را به روش‌های امن گفته‌شده، انتخاب کنید و به خاطر بسپارید.

آیا نرم‌افزار LastPass، امکانی شبیه به ورود دو مرحله‌ای برای امنیت بیشتر در اختیار کاربران قرار می‌دهد؟

نرم‌افزار LastPass این امکان را به کاربر می‌دهد که برای امنیت بیشتر،  به کمک گزینه Grid Multifactor Authentication، یک جدول از اعداد و حروف را دریافت کند و کاربر هنگام ورود به نرم‌افزار، علاوه بر رمز، تعدادی از خانه‌های این جدول نیز وارد کند.

آیا نرم‌افزار LastPass برای مشاهده رمزهای ذخیره شده از طریق یک کامپیوتر آلوده، امکانی را در نظر گرفته است؟

امکان امن دیگری که این نرم‌افزار به کاربران می‌دهد این است که کاربران می‌توانند در هنگام سفر، در کافی‌نت‌ها و یا کامپیوترهای عمومی، که ممکن است به نرم‌افزارهای جاسوسی مثل کی‌لاگر آلوده باشند، به جای وارد کردن رمز اصلیِ نرم‌افزار، از رمز‌های یک‌بارمصرفی (One Time Password) که نرم‌افزار به کاربر می‌دهد، استفاده کنند.

من کاربر فایرفاکس هستم و نمی‌خواهم از LastPass استفاده کنم

شما اگر رمزهای خود را بر روی مرورگر خود ذخیره می‌کنید، حتما باید از Master Password استفاده کنید تا رمزهای شما برای سایر کاربرانی که ممکن است از مرورگر شما استفاده کنند، قابل مشاهده و استفاده نباشد.

در مرورگر فایرفاکس، با رفتن به Option و  در برگه Security و کلیک بر روی Saved Passwords، می‌توانید تمامی رمزهای ذخیره شده خود را ببینید. کافی است که کسی پشت سیستم شما بنشیند و با رفتن به این بخش، تمامی رمزهای ایمیل، حساب‌های بانکی، شبکه‌های اجتماعی و... را ببیند. فاجعه‌بار خواهد بود. با رفتن به این مسیر، رمزهایی که در مرورگر کروم ذخیره کرده‌اید نیز به آسانی قابل مشاهده هست.

از آن‌جا که ممکن است فردی با رضایت و یا بدون اطلاع شما، پشت سیستم شما بنشیند و با بازکردن مرورگر، رمزهای شما را ببیند، پس یا باید از نرم‌افزارهای مدیریت رمز مثل LastPass   استفاده کنید و یا برای ذخیره کردن رمزها در مرورگر فایرفاکس با رفتن به Option و سپس برگه Security، Master Password را انتخاب و فعال کنید تا فقط با داشتن این رمز، تمامی رمزهای ذخیره‌شده قابل استفاده و نمایش باشد.

برای امنیت بیشتر مرورگر کروم چه پیشنهادی دارید؟

متاسفانه مرورگر کروم فاقد ویژگی Master Password برای حفظ امنیت است. زمانی که شما می‌خواهید رمزهای ذخیره‌شده را مشاهده کنید، گوگل کروم از شما رمز ورود به ویندوز را می‌خواهد. یعنی هر فردی با داشتن رمز ورود به ویندوز می‌تواند رمزهای ذخیره‌شده در مرورگر کروم را نیز ببیند و این راه‌کار امنی نیست. تجربه نشان می‌دهد که بسیاری از کاربران، رمزهای قوی را بر روی ویندوز خود نمی‌گذارند و معمولا این رمزها را با دوستانی که گاهی از سیستمشان استفاده می‌کنند، به راحتی به اشتراک می‌گذارند. پس با این توضیحات، ذخیره کردن رمز بر روی مرورگر کروم کار امن و درستی نیست. در صورتی که از مرورگر تور که دارای محیط فایرفاکس است و یا خود مرورگر فایرفاکس استفاده نمی‌کنید و حاضر به دل کندن از کروم هم نیستید، یا رمزهای خود را بر روی کروم ذخیره نکنید و یا حتما از نرم‌افزارهای مدیریت پسورد مثل LastPass   استفاده کنید.

اگر Master Password فایرفاکس را فراموش کردم؟

کاربران فایرفاکس باید توجه داشته باشند در صورتی که Master Password خود را فراموش کنند، علاوه بر این‌که نمی‌توانند رمزهای ذخیره‌شده را ببیند و یا رمزی را ذخیره کنند، نخواهند توانست رمزهای ذخیره‌شده را تغییر داده و آپ‌دیت کنند. با نصب دوباره مرورگر نیز کاری پیش نخواهد رفت. برای این‌کار کاربران فایرفاکس باید طبق این راهنما عمل کنند.

من می‌خواهم سیستم عامل کامپیوترم را عوض کنم. چگونه رمزهایم را منتقل کنم؟

با پاک کردن و نصب سیستم عامل، تمامی نرم‌افزارهای نصب‌شده نیز حذف خواهند شد. اگر از مرورگر فایرفاکس استفاده می‌کنید باید سه فایل cert8.db، key3.db و signons.sqlite را از مسیری که در ادامه می‌گوییم کپی کنید و پس از نصب سیستم عامل و نصب مرورگر فایرفاکس، این فایل‌ها را جایگزین فایل‌های جدید کنید.

ابتدا طبق تصویر زیر وارد Help (؟) فایرفاکس شوید. روی Troubleshooting Information کلیک کنید. در مقابل Profile Folder بر روی Show Folder کلیک کنید تا محل ذخیره شدن این فایل‌ها را مشاهده کنید.

در صورتی که فعالان اجتماعی به نکات فوق آگاهی داشته باشند، به خوبی خواهند دانست که ذخیره پسورد بر روی مرورگر و عدم استفاده از یک روش امن برای ایجاد رمزکلی بر روی مرورگر، می‌تواند چه تبعات سنگینی برای آن‌ها داشته باشد.

نکته بسیار مهم این است که کاربران باید مراقب باشند هنگامی که رمزی را وارد می‌کنند، فردی که کنار شما نشسته است، گزینه ذخیره شدن رمز را نفشارد. موقع وارد کردن رمز، خودتان پشت کامپیوتر بنشینید و خودتان موس و کی‌بورد را در اختیار داشته باشید. اگر شما رمزتان را بر روی کامپیوتر کسی وارد کنید و موس دست او باشد و او در یک حرکت سریع گزینه ذخیره رمز را بزند، با کمترین دردسر، حساب اطلاعات شما را به دست خواهد آورد.

برای پاک کردن رمز در مرورگرهای فایرفاکس، اینترنت اکسپلورر و گوگل کروم، می‌توانید راهنمای تصویری این کار را مشاهده کنید.