اگرچه شنیدن این سوال که «آیا ابزارهای مدیریت پسوورد امن هستند؟» آنقدرها غافلگیرکننده نیست، اما اکثر متخصصین حوزه امنیت سایبری میگویند که این ابزارها در واقع یکی از امنترین راهها برای حفاظت از پسووردهای شما به حساب میآیند. با این وجود، هر بار که رسانهها اخبار مربوط به آخرین آسیبپذیریها یا رخنههای امنیتی را پوشش میدهند، تردیدها نسبت به دنیای امنیت و همینطور ابزارهایی که قرار است به مردم در حفاظت از حریم شخصیشان کمک کنند بیشتر میشود.
بنابراین در این مقاله نگاهی جامع به ابزارهای مدیریت پسوورد میاندازیم، نه بدون اینکه شما را از آنها بترسانیم و نه بدون اینکه از آنها بت بسازیم. تمام سوالات مهمی که ممکن است راجع به پسوورد منیجرها در ذهنتان شکل گرفته باشد را در پایین پوشش دادهایم. پسوورد منیجرها چطور از پسووردهای شما حفاظت میکنند؟ خطرات استفاده از یک پسوورد منیجر چیست؟ و در نهایت آیا اصلا باید از یکی از این ابزارها استفاده کرد یا خیر؟ به مطالعه ادامه دهید.
این ابزارها به اشکال مختلف قادر به حفاظت از رمزهای عبور شما هستند و دقیقا به همین خاطر، استفاده از آنها امن است. اگرچه میتوان این منیجرها را هک کرد -مثل تقریبا هر چیز دیگری- اما چنین سناریویی بسیار دور از ذهن است، البته اگر تمام تدابیر پیشگیرانه لازم را به کار گرفته باشید. معمولا هکرها ترجیح میدهند به سراغ تکنیکهای مهندسی اجتماعی و فیشینگ بروند تا اینکه یک پسوورد قدرتمند را واقعا هک کنند.
حالا سوال اینست که چه چیزی به امنیت پسوورد منیجرها منجر میشود؟
پیش از هر چیز، پسوورد منیجرها از رمزنگاری برای حفاظت از پسووردهای شما استفاده میکنند. AES 256-bit یک استاندارد رمزنگاری در صنعت امنیت به حساب میآید که به خاطر توانمندی فراوانش، حتی مورد استفاده ارتش کشورهای مختلف نیز قرار میگیرد. کرک کردن رمزهای مبتنی بر AES 256-bit به اندازه یک عمر طول میکشد و بنابراین حملات بروت فروس عملا هیچ شانسی برای دستیابی به موفقیت ندارند.
علاوه بر این، پسوورد منیجرها به استفاده از «معماری دانش صفر» نیز میپردازند که باعث حفاظت هرچه بیشتر دادههای شما از دست خودشان میشود. این یعنی پسووردهای شما پیش از اینکه از دیوایستان خارج شوند، رمزنگاری شدهاند و بنابراین زمانی که پسوورد سر از سرور کمپانی سازنده پسوورد منیجر در میآورد، هیچ ابزاری برای رمزگشایی آنها وجود ندارد.
اکثر پسوورد منیجرها از شما میخواهند که یک «رمز عبور مادر» برای دسترسی به خزانه پسووردهایتان تعیین کنید. اگر این رمز به اندازه کافی امن باشد، خیالتان از امنیت سایر پسووردها نیز راحت خواهد بود. با این وجود، همیشه استفاده از «احراز هویت دو مرحلهای» هم پیشنهاد میشود تا امنیت دیتابیستان بیش از پیش افزایش یابد. استفاده از احراز هویت بیومتریک مانند اثر انگشت یا اسکن چهره هم همیشه ایدهای خوب به حساب میآید.
در نهایت نیز پسوورد منیجرها چندین قابلیت برای افزودن لایههای امنیتی اضافه دارند. برخی از آنها به شما یادآوری میکنند که به صورت مداوم به تغییر پسووردها بپردازید و امنیتشان را افزایش دهید. برخی هم به اسکن دارک وب میپردازند تا ببینند آیا اطلاعات لاگین شما سر از فضای مجازی درآورده است یا خیر. برخی هم هر دو کار را انجام میدهند.
هیچ راهی برای تضمین امنیت ۱۰۰ درصدی شما در دنیای آنلاین وجود ندارد. حتی اگر از یک پسوورد منیجر قابل اعتماد استفاده کنید هم خطراتی وجود دارد که باید از آنها باخبر باشید.
تمام اطلاعات حساس در یک نقطه هستند. احتمالا شنیدهاید که نباید تمام تخم مرغها را در یک سبد نگه داشت. اما با استفاده از یک پسوورد منیجر، دقیقا عکس این کار را انجام دادهاید. این سبد به احتمال زیاد حاوی اطلاعات کارت اعتباری و اطلاعات حساس متنی نیز باشد. در صورت وقوع یک رخنه امنیتی، مسدود کردن تمام گزینههای پرداختی و تغییر پسوورد تمام اکانتها ممکن است آنقدر زمان ببرد که مهاجم در آسودگی خاطر قادر به دنبال کردن اهدافش باشد.
بکاپ همواره در دسترس نیست. اگر سرور به هر دلیلی از کار بیفتد، تنها امیدی که خواهید داشت اینست که سرویسدهنده پیشتر از اطلاعات سرور بکاپ گرفته باشد. این خطر زمانی تشدید میشود که تصمیم گرفته باشید مخزن پسووردها روی یک دیوایس را آفلاین نگه دارید. طبیعتا بکاپ گرفتن روی یک دیسک درایو محافظت نشده یا سرویسهای ابری ضعیف از لحاظ امنیتی هم کمکی به ماجرا نخواهد کرد.
تمام دیوایسها به اندازه کافی امن نیستند. هکرها از یک آسیبپذیری واحد برای دست آوردن تمام اطلاعات لاگین شما از طریق تنها یک حمله استفاده میکنند. اگر دیوایس شما به بدافزار آلوده باشد، با تایپ کردن پسوورد مادر باعث میشود دسترسی تمام و کمال به اطلاعاتتان برای هکرها امکانپذیر شود. به همین خاطر است که کاربران ابزارهای مدیریت پسوورد باید پیش از هرچیز و برای کاهش خطرات، نخست به ایمنسازی دستگاه مورد استفاده خود بپردازند.
عدم استفاده از احراز هویت بیومتریک. احراز هویت بیومتریک راهی معرکه برای افزودن یک لایه امنیتی دیگر است. اگر تنظیمات پسوورد منیجر را به گونهای تغییر دهید که خواستار اسکن اثر انگشت یا چهره شود، به احتمال زیاد خطر هک شدن مخزن پسووردتان به کمترین میزان ممکن خواهید رسد. ضمنا اسکن اثر انگشت کاری به مراتب راحتتر از وارد کردن پسوورد مادر به حساب میآید.
استفاده از پسوورد منیجرهای ضعیف. اگر پسوورد منیجر مورد نظرتان از استانداردهای رمزنگاری ضعیف بهره میبرد، قابلیتهای اندکی دارد و نقدهای منفی دریافت کرده، به هیچ وجه نباید از آن استفاده کنید. وقتی صحبت از محافظت از مخزن پسووردهایتان باشد، صرفهجویی در هزینهها را باید به دست فراموشی بسپارید.
فراموش کردن پسوورد مادر. آیا شما تنها کسی هستید که پسوورد مادر را میدانست و پسوورد منیجرتان هم قابلیت ریست ندارد؟ در این صورت باید برای پیدا کردن رمزهای عبور هر اکانت به صورت دانه به دانه آماده شوید. به صورت جایگزین، بهتر است پسوورد مادر را در جایی فیزیکی نگهداری کنید تا این اتفاق وحشتناک هیچوقت دامنگیرتان نشود.
همانطور که میتوان دید، برخی خطرات مربوط به خود ابزارهای مدیریت هستند و برخی دیگر ناشی از رفتارهای کاربران. اما اگر رفتارهای کاربران را فاکتور بگیریم، متوجه خواهیم شد که استفاده از یک پسوورد منیجر خطرات چندانی به همراه نمیآورد.
علیرغم تمام نگرانیهایی که بالاتر لیست کردهایم، پسوورد منیجرهای خوب به سختی به خطر میافتند. استفاده از رمزنگاری AES-256، تکنیک «دانش صفر» و امکان بهرهگیری از احراز هویت دو مرحلهای باعث میشود پسوورد منیجرها ابزارهایی شدیدا امن به حساب آیند و کارکردی سادهتر از هر آن چیز دیگری که اکنون در اختیار داریم داشته باشند.
وقتی صحبت از امنیت باشد، مهمترین نکتهای که به شما مربوط میشود، میزان امنیت پسوورد مادر است، زیرا از این پسوورد برای دسترسی یافتن به دیگر پسووردهایتان استفاده خواهید کرد. بنابراین از استفاده از یک رمز عبور قدرتمند اطمینان حاصل کنید. چنین رمزی باید حداقل ۱۲ کاراکتر باشد، شامل سمبلهای گوناگون شود و به هیچ وجه نتوان آن را حدس زد.
آن دسته از کاربرانی که پیشتر از ابزارهای مدیریت پسوورد استفاده کردهاند قطعا میدانند که در مجموع سه نوع پسوورد منیجر داریم که هرکدام مزایا و معایب خاص خود را به همراه میآورند. بیایید هر نوع از این ابزارها را به صورت جداگانه بررسی کنیم.
پسوورد منیجرهای مبتنی بر مرورگر
اگر امنیت را به رمزنگاری و احراز هویت دو مرحلهای تقلیل دهیم، پسوورد منیجرهای مبتنی بر مرورگر ابزارهایی بسیار امن به حساب میآیند. اما هرچه بیشتر به موضوع نگاه کنید، پسوورد منیجرهای مبتنی بر مرورگر امنیت کمتری خواهند داشت. در وهله اول، این ابزارها تنها روی یک مرورگر خاص کار میکنند. اگر تصمیم بگیرید از سافاری به سراغ کروم یا فایرفاکس بروید، در روند انتقال داده به مشکل خواهید خورد. علاوه بر این، هیچ راهی برای همگامسازی مخزن پسووردها با مرورگری دیگر وجود ندارد. تمام اینها باعث میشود که پسووردهایتان را در یک لوکیشن نهچندان امن داشته باشید.
از طرف دیگر، برخی از پسوورد منیجرهای مبتنی بر مرورگر قابلیت تولید پسوورد ندارند. بدون این قابلیت، تمام پسووردها باید به صورت دستی ساخته شوند. و در نهایت پسوورد منیجرهای موجود در مرورگرها نمیتوانند رمزهای عبور ضعیف یا تکراری را شناسایی کنند. آیا میخواهید ببینید که اطلاعات لاگینتان سر از دارک وب درآوردهاند یا خیر؟ در این صورت یا باید شرایط را به صورت دستی بررسی کنید یا به سراغ ابزاری جداگانه بروید.
پسوورد منیجرهای ابری
در قیاس با پسوورد منیجرهای مبتنی بر مرورگر، ابزارهای مدیریت پسوورد ابری امنیت بالاتری دارند و همراه با قابلیتهای بیشتری برای بهبود امنیت از راه میرسند. برای شروع، این ابزارها میتوانند از مخزن پسووردهای شما بکاپ بگیرند. در صورتی که اتفاقی برای سرور بیفتد نیز میتوانید آخرین ورژن از دیتابیس خود را احیا کنید.
علاوه بر این، پسوورد منیجرهای ابری به شما اجازه میدهند که نهتنها پسووردها، بلکه نوشتهها و جزییات کارتهای بانکی که نیاز به حفاظت دارند را نیز ذخیره کنید. به این ترتیب قادر به محافظت از تمام اطلاعات حساس خود خواهید بود. از سوی دیگر این ابزارها قادر به تشخیص پسووردهای ضعیف یا تکراری، تولید پسووردهای قدرتمند و بررسی لو رفتن اطلاعات اکانت شما در رخنههای امنیتی هستند.و در آخر باید افزود که پسوورد منیجرهای ابری با چندین مرورگر و سیستم عامل مختلف سازگاری دارند. این یعنی لازم نیست نگران انتقال داده درون دیتابیس به شکلی امن باشید.
پسوورد منیجرهای دسکتاپ
پسوورد منیجرهای دسکتاپ «میتوانند» امنترین گزینه باشند، اما بخشی از ماجرا به کاربر و رفتارهای او بستگی دارد. این ابزارها اطلاعات شما را به صورت محلی ذخیره میکنند، آن هم روی تنها یک دیوایس. دیوایس مورد نظر نیازی به اتصال به اینترنت ندارد و بنابراین احتمال هک شدن میتواند به کمترین میزان ممکن برسد. محتملترین سناریو (و در عین حال شدیدا نامحتمل) اینست که یک کیلاگر از دستگاهتان سر در میآورد و با تایپ پسوورد مادر، اطلاعات به دست مهاجمین میافتند. اما با استفاده از احراز هویت بیومتریک هم میتوان این تهدید را دفع کرد.
بدیهتا این تکنولوژی هم مثل هر تکنولوژی دیگری معایب خود را دارد که عمدتا به ذات خود پسوورد منیجرهای دسکتاپ مرتبط هستند. پیش از هر چیز، باید دائما به بکاپگیری از پسووردها بپردازید، زیرا زمانی که دستگاه به هر دلیلی دچار مشکل شود، مخزن پسووردها را نیز برای همیشه از دست خواهید داد. علاوه بر این، قادر به دسترسی یافتن به پسووردها از طریق دیوایسی دیگر نیستند و اشتراکگذاری رمزها هم کاری آسان به حساب نمیآید.
در اکثر موارد، هک شدن باعث نمیشود که تمام پسووردهایتان به دست افراد اشتباه بیفتند. با این همه، حتی امنترین پسوورد منیجرها هم ممکن است یک آسیبپذیری جدی داشته باشند که همه آن را نادیده گرفتهاند. بیایید کار را با این حقیقت شروع کنیم که پسووردهای شما به صورت محلی رمزنگاری میشوند. پسوورد منیجرها هیچ راهی برای رمزگشایی دیتای شما ندارند چون از تکنیک دانش صفر پیروی میکنند. بنابراین وقتی یک هکر وارد مخزن پسووردهایتان میشود نیز تنها اطلاعات رمزنگاری شده را مشاهده خواهد کرد.
اما یک شانس کوچک وجود دارد که مهاجم بتواند با ربودن دیوایس یا استفاده از بدافزار و کیلاگرها وارد شود. حتی آن موقع هم مهاجم باید پسوورد مادر را در اختیار داشته باشد. اگر از دادههای بیومتریک مانند اثر انگشت یا اسکن چهره استفاده کرده باشید، شانس یک حمله موفقیتآمیز به شکلی نامحدود کوچک خواهد شد.
اگر مهاجم روی دیوایس شما بدافزار نصب کرد، بهترین کار اینست که سیستم عامل را مجددا نصب کنید و تمام پسووردهای موجود در مخزن را تغییر دهید. از سوی دیگر، از فعالسازی احراز هویت دو مرحلهای هم اطمینان حاصل کنید. در این صورت زمانی که یک درخواست مشکوک به اپلیکیشن احراز هویت بیاید، متوجه شرایط خواهید شد.
اکثر پسوورد منیجرهای پریمیوم و پولی، به مراتب امنتر از دیگر نمونههای رایگان به حساب میآیند. نمونههای رایگان معمولا باگهای فراوان دارند، توسط شرکتهای نامعتبر توسعه یافتهاند و گاهی حتی شامل بدافزار هستند. با این وجود، چند پسوورد منیجر رایگان هم داریم که به اندازه سرویسهای پولی امن ظاهر میشوند. از سوی دیگر، بسیاری از همان سرویسهای پولی هم یک ورژن رایگان دارند. بنابراین بهتر است که به مقایسه گزینههای مختلف پرداخته و ببینید کدام سرویس از کدام قابلیتها بیبهره است.
معمولا هم پسوورد منیجرهای رایگان و هم نمونههای پولی از رمزنگاری سطح نظامی و معماری دانش صفر استفاده میکنند. این یعنی هیچ راهی برای رمزگشایی اطلاعات از سوی مهاجمینی که به دیتابیس دسترسی مییابند نیست. ضمنا خود سرویسدهنده هم به کلید لازم برای باز کردن قفل اطلاعات دسترسی ندارد. به همین خاطر است که در نهایت همهچیز به پسوورد مادر، احراز هویت دو مرحلهای و عاری نگه داشتن سیستم از هرگونه بدافزار بازمیگردد.
پاسخ ها