گذرواژه و سوالات امنیتی در شبکه‌ های اجتماعی

 

گذرواژه، ساده‌ترین و در عین حال مهم‌ترین ابزار برای دفاع از حریم خصوصی و امنیت اطلاعات کاربران در فضای مجازی و به خصوص شبکه‌های اجتماعی است. حساب‌های کاربری در شبکه‌های اجتماعی شبیه به صندوقچه‌هایی از اطلاعات شخصی افراد هستند و گذرواژه به منزله کلید این صندوقچه است که باید تنها در دست صاحب آن باشد. در صورتی که شخص دیگری بتواند به این کلید دسترسی پیدا کند، می‌تواند به صورت تمام و کمال و بدون هیچ مانعی به محتویات این صندوقچه دسترسی داشته باشد

 

 

با وجود اینکه اکثر وب‌سایت‌ها از جمله سرویس‌های شبکه اجتماعی، امکان تایید دومرحله‌ای (Two-Step Verification) به کمک ایمیل و یا پیامک را فراهم کرده‌اند، همچنان گذرواژه به عنوان ابزار اصلی احراز هویت کاربران تلقی می‌شود. توجه به این نکته ضروری است که امنیت گذرواژه ما مستقل از مکانیزم‌های امنیتی وب‌سایت است. لذا باید بدانیم که با انتخاب یک گذرواژه ضعیف، به سادگی امکان دست‌یابی مهاجمان به اطلاعات خود را فراهم کرده‌ایم؛ حتی برای ورود به امن‌ترین وب‌سایت‌های جهان!

 

گذرواژه‌ای مناسب است که به صورت هم‌زمان دارای دو ویژگی باشد. اول آنکه یافتن و حدس آن برای دیگران دشوار باشد و دوم آنکه به‌خاطرسپاری آن برای صاحب گذرواژه ساده و آسان باشد. ویژگی اول امنیت اطلاعات و حریم خصوصی کاربر را فراهم می‌کند و ویژگی دوم، دسترس‌پذیری اطلاعات و سرویس‌ها را برای وی تضمین می‌نماید. به خاطر داشته باشیم که این دو ویژگی، به صورت موازی و در یک درجه از اهمیت قرار دارند و نمی‌توان هیچ‌یک را بر دیگری برتری داد. با توجه به طبیعت این دو ویژگی، انتخاب یک گذرواژه مناسب، قرارگیری بر سر یک دوراهی است! در صورتی که یک کاربر تنها به یکی از دو ویژگی بها داده و دیگری را از یاد ببرد، ممکن است با مشکلات و خطرهای بزرگی در حفظ حریم خصوصی و اطلاعات شخصی خود و یا دسترسی به آن‌ها و استفاده از سرویس‌ها مواجه شود.

 

 

 

افرادی که برای افزایش سرعت و سادگی کار خود و یا به جهت عدم آگاهی از خطرات امنیتی موجود، گذرواژه‌های بسیار ساده‌ای انتخاب می‌کنند، به آسانی این امکان را فراهم می‌کنند تا مهاجمین گذرواژه آن‌ها را بیابند. برای مثال، انتخاب تاریخ تولد یا بخشی از شماره ملی برای کارت‌های بانکی یکی از شایع‌ترین اشتباهات امنیتی است که متاسفانه در کشور ما نیز رواج دارد. نام افراد، محل زندگی و اطلاعات فردی و کاری هم نمونه‌هایی از گذرواژه‌های ناامن هستند که به دلیل سادگی در به‌خاطرسپاری، بعضی از کاربران از آن‌ها استفاده می‌کنند. اهمیت این مسئله به خصوص در شبکه‌های اجتماعی دوچندان می‌شود! چرا که بسیاری از اطلاعاتی که ذکر شد، دقیقا مطابق با همان اطلاعاتی است که کاربران در این شبکه‌ها به به صورت روزمره با دوستان خود به اشتراک می‌گذارند و یا حتی به صورت عمومی اعلام می‌کنند. انگار کلکسیونی از کلیدها را جلوی در قرار داده و یکی از آن‌ها را برای قفل خانه خود انتخاب کنید! کافی است مهاجمان اندکی وقت صرف کنند تا کلیدهای این مجموعه را امتحان کرده و کلید خانه شما را بیابند…

 

 

 

از سوی دیگر، برخی از کاربران برای آنکه گذرواژه‌های با امنیت بسیار بالا داشته باشند، به سراغ استفاده از ابزارهایی می‌روند که گذرواژه تصادفی، پیچیده و طولانی تولید می‌کنند. چنین گذرواژه‌هایی ممکن است برای مهاجمین قابل حدس نباشند و امنیت بالایی داشته باشند، اما با توجه آنکه قابلیت به‌خاطرسپاری ندارند، ممکن است کاربر را مجبور نمایند که گذرواژه خود را در جایی ذخیره کرده و یا به ابزارهای مدیریت گذرواژه مراجعه نماید. این کار خود یک تهدید امنیتی جدید ایجاد می‌کند؛

 

چرا که اصل و اساس امنیت گذرواژه بر پایه عدم اطلاع دیگران است. ذخیره گذرواژه در جایی که خودش ممکن است در معرض دید سایرین قرار گیرد مشابه قراردادن کلید یدکی در زیر پادری خانه است!

 

 

 

برای انتخاب گذرواژه امن و حفاظت از آن، باید به نکات زیر ضروری است:

 

گذرواژه‌های کوتاه انتخاب نکنید. طول گذرواژه شما ارتباط مستقیم با امنیت آن دارد.

در گذرواژه خود تا حد امکان از تمام کاراکترها (حروف کوچک، حروف بزرگ، اعداد، علامت‌ها و غیره) استفاده کنید.

برای وب‌سایت‌های مختلف، از گذرواژه‌های متفاوت استفاده کنید.

در صورتی که احساس می‌کنید ممکن است کسی به گذرواژه شما دسترسی پیدا کرده باشد، و یا در غیر این صورت، به شکل دوره‌ای، گذرواژه خود را تغییر دهید.

تا حد امکان از ابزارهای تولید و مدیریت گذرواژه استفاده نکنید! در صورت نیاز به استفاده از این‌گونه ابزارها، تنها به نمونه‌های تاییدشده توسط مراجع ذی‌صلاح مراجعه کنید.

گذرواژه خود را با استفاده از ترکیب کلمات و اعدادی که به‌خاطرسپردن آن‌ها برای شما ساده است بسازید، به گونه‌ای که در ادامه یادآوری آن برای شما ساده باشد.

موضوع سوالات امنیتی هم در تکمیل بحث امنیت گذرواژه مطرح شده و از اهمیت ویژه‌ای برخوردار است. سوال امنیتی راهکاری است که برای زمان فراموشی گذرواژه توسط کاربر تعبیه شده است. بنابراین باید توجه داشت که وب‌سایت‌ها، سوال امنیتی را جایگزینی برای زمان نبود گذرواژه می‌دانند. همان مهاجمانی که ممکن است بخواهند با حدس گذرواژه، اطلاعات کاربر را تهدید کنند، می‌توانند با حدس سوال امنیتی همان اندازه برای وی خطرآفرین باشد؛ چه بسا فهمیدن پاسخ سوالات امنیتی به مراتب ساده‌تر از حدس گذرواژه کاربر باشد.

 

 

 

سوالات امنیتی پیش از ظهور شبکه‌های اجتماعی مورد استفاده قرار گرفتند و اکثرا سرویس‌هایی نظیر رایانامه از آن‌ها استفاده می‌کردند. در آن زمان، سوالاتی مثل موارد زیر به اندازه‌ای خصوصی و امن محسوب می‌شدند که طراحان فرض کنند کسی به جز خود کاربر از پاسخ آن‌ها اطلاعی نداشته باشد.

 

 

 

اولین کتابی که مطالعه کردید چه بوده است؟

نام معلم کلاس اول شما چه بوده است؟

پدر / مادر شما در چه شهری به دنیا آمده است؟

 

 

 

 

مسئله اصلی در مورد این سوالات این است که در شبکه‌های اجتماعی، دیگر حریم خصوصی کاربران به اندازه گذشته از دید دیگران مخفی نیست و بسیاری از مردم، با خیالی آسوده اطلاعاتی از خود، خانواده و محل کار خود را در شبکه‌های اجتماعی به اشتراک می‌گذارند که ممکن است پاسخ سوالات امنیتی آن‌ها نیز از طریق آن قابل تشخیص باشد! حتی در سناریوهای ساده‌تر، شاید نه از روی فراموشی و اشتباه، بلکه از روی اطلاعات اصلی نمایه کاربران بتوان پاسخ سوالات امنیتی را فهمید. برای مثال کافی است سوال «پدر شما در چه شهری به دنیا آمده است؟» را انتخاب کنید، با پدر خود در شبکه اجتماعی ارتباط داشته باشید و پدر شما محل تولدش را در نمایه شخصی خود قرار داده باشد. پاسخ سوال امنیتی شما با سه کلیک قابل فهم است!!!

 

 

 

با این تفاسیر، به نظر می‌رسد که سوالات امنیتی دیگر به شکل قبلی خود جایگاهی در فضای امنیت اطلاعات و حریم خصوصی ندارند. برای برخورداری از امنیت بیشتر، عمل به توصیه‌های زیر مفید است:

 

تا حد امکان از سوالات امنیتی استفاده نکنید! امروزه اکثر وب‌سایت‌ها امکان بازیابی اطلاعات و گذرواژه از طریق ارسال رایانامه و پیامک را فراهم کرده‌اند که راهکاری به مراتب امن‌تر از سوالات امنیتی است. استفاده از این امکانات به جای تعیین سوالات امنیتی توصیه می‌شود.

در صورتی که ملزم به تعیین سوال امنیتی بودید، سوال را خودتان تعیین کنید و تا حد امکان از سوالات آماده استفاده نکنید. در سوالی که خودتان انتخاب می‌کنید هم پیچیدگی‌هایی قرار دهید که دیگران متوجه صورت سوال نشوند. پاسخ را نیز به شکلی بنویسید که با پاسخ اصلی تفاوت داشته باشد و تنها خودتان متوجه آن تفاوت باشید.

اگر فکر می‌کنید با این روش‌ها نمی‌توانید کاری کنید تا امنیت موردنظرتان تامین شود، به سوال امنیتی نیز به چشم یک گذرواژه دوم نگاه کنید! یعنی مستقل از صورت سوال، برای پاسخ یک عبارت ساختگی قرار دهید.