Tech Friend ستون مشاوره ما است که امنیت سایبری، حریم خصوصی و فناوری روزمره را پوشش می دهد. سوال خود را به ایمیل [email protected]. اگر در مورد اشتراک ExpressVPN خود سؤالی دارید یا به کمک عیب یابی نیاز دارید، لطفاً مراجعه کنید حمایت کردن.

شکستن و وارد شدن

من نمی دانم چگونه یک شرکت مدیریت رمز عبور می تواند لیستی از رمزهای عبور را با هر گونه تضمینی که مانند هر سرویس دیگری هک نمی شود، مدیریت کند. لطفا برای من توضیح دهید که چگونه این امن است.

ارسال شده توسط تام، از طریق نظرات وبلاگ

مدیریت رمز عبور سرویس‌هایی هستند که به شما امکان می‌دهند همه رمزهای عبور خود را در یک مکان ذخیره کنید و تنها چیزی که برای دسترسی به آنها نیاز دارید یک رمز عبور اصلی (یا اصلی) است. بنابراین چه چیزی مانع از هک کردن سرورهای شرکت مدیریت رمز عبور برای سرقت مجموعه کامل رمزهای عبور ذخیره شده شما یا به همان اندازه مفید، رمز عبور اصلی شما می شود؟

بیایید برای لحظه ای پشتیبان گیری کنیم تا در وهله اول درباره مزایای استفاده از مدیریت رمز عبور بحث کنیم.

شما احتمالا ده ها حساب آنلاین و از این رو ده ها رمز عبور برای ورود به آن حساب ها دارید. با توجه به اینکه بسیاری از سایت‌ها گنجاندن حروف، اعداد، نمادها، حداقل تعداد کاراکترها و غیره را پیشنهاد می‌کنند، گذرواژه‌ها می‌توانند پیچیده شوند. ممکن است به استفاده از رمز عبور یکسان در بسیاری از حساب‌ها یا فرمولی که به شما امکان می‌دهد رمزهای عبور مختلف خود را کمی تغییر دهید متوسل شوید.

در اینجا چندین مسئله وجود دارد. پسوردهای تکراری یا مشابه شما را به ویژه آسیب پذیر می کند زیرا در صورت نقض داده های بسیار رایج، یک هکر می تواند از یک رمز عبور فاش شده برای حدس زدن رمزهای عبور شما برای چندین حساب دیگر استفاده کند.

مشکل دیگر این است که برای یک انسان معمولی غیرممکن است که تعداد زیادی رمز عبور قوی مختلف را به خاطر بسپارد – و منظور ما از قوی، طولانی و تصادفی است. یک رمز عبور کوتاه در برابر حملات brute-force بسیار آسیب پذیرتر است، جایی که یک ربات راه اندازی شده است تا ترکیب های رمز عبور زیادی را امتحان کند. شکستن یک غیرتصادفی – مثلاً که عبارات رایجی دارد – می‌تواند راحت‌تر از مواردی باشد که معنی ندارد. (یک استثناء این است عبارات عبور تصادفی تولید شده، جایی که کلمات واقعی تصادفی رمز عبور را تشکیل می دهند.)

برای داشتن رمزهای عبور قوی متعدد، به سیستمی نیاز دارید که به شما امکان نمی دهد آنها را به خاطر بسپارید. این همان چیزی است که مدیران رمز عبور برای آن هستند.

در اینجا نحوه عملکرد آن آمده است. شما تمام جزئیات ورود خود را در برنامه مدیریت رمز عبور وارد می کنید. این مانند یک طاق کار می کند و به این ترتیب، برای دسترسی به آن به یک کلید نیاز دارید که رمز اصلی شما خواهد بود. این تنها چیزی است که باید هنگام استفاده از مدیر رمز عبور به خاطر بسپارید. همچنین ممکن است بتوانید آن را تنظیم کنید تا بتوانید از بیومتریک خود (اثر انگشت یا FaceID) برای دسترسی به خزانه خود استفاده کنید.

برخی از مدیران رمز عبور همچنین به شما امکان می دهند جزئیاتی مانند اطلاعات تماس، جزئیات کارت اعتباری و حتی اطلاعات پزشکی را در اختیار داشته باشید. منطقی است که نگران قرار دادن تمام اطلاعات خود در یک مکان باشید. به هر حال، اگر یک مدیر رمز عبور هک شود، این اطلاعات زیادی در مورد شما است که در دست شخص ثالث قرار می گیرد.

متأسفانه، امنیت مطلق نیست – شما فقط می توانید خطر را کاهش دهید، نه از بین بردن آن – و همانطور که اخیرا نقض اطلاعات در Lastpass نشان داده است، مدیریت رمز عبور می توان هک شدن بنابراین، چرا کارشناسان امنیت سایبری همچنان از استفاده از مدیران رمز عبور حمایت می کنند؟ پاسخ کوتاه: رمزهای عبور شما غیرقابل کشف باقی می ماند.

همه چیز به رمزگذاری خلاصه می شود. وقتی رمزهای عبور (یا هر داده ای را در یک مدیر رمز عبور ذخیره می کنید، آن اطلاعات باید رمزگذاری شوند. مدیران رمز عبور معتبر از رمزگذاری AES 256 بیتی برای محافظت از رمزهای عبور شما استفاده می کنند – همان استاندارد رمزگذاری که توسط ارتش، بانک ها و ExpressVPN استفاده می شود.

اگر شخص ثالثی موفق شود سرورهای یک مدیر رمز عبور را هک کند و داده های کاربر را از بین ببرد، باز هم به لطف رمزگذاری نمی تواند آن را رمزگشایی کند. برای ثبت، Lastpass رمز عبور کاربران را رمزگذاری می‌کند اما برخی از اطلاعات مانند URLها را رمزگذاری نشده باقی می‌گذارد، که این خطر برای حریم خصوصی کاربران را افزایش می‌دهد. در حالت ایده آل تمام داده ها رمزگذاری می شوند.

علاوه بر این، اکثر مدیران رمز عبور از رمزگذاری با دانش صفر استفاده می کنند. اطلاعات شما قبل از ارسال به سرور در دستگاه شما رمزگذاری می شود. هنگامی که آن را با تایپ رمز عبور اصلی یا با استفاده از بیومتریک رمزگشایی می‌کنید، همه چیز دوباره در دستگاه شما اتفاق می‌افتد.

این یعنی این شرکت به رمز عبور اصلی یا هیچ یک از رمزهای عبور حساب شما دسترسی ندارد– بنابراین آنها را نمی توان دزدید. هیچ کس جز شما نمی تواند قفل گذرواژه شما را باز کند.

یکی از جنبه های این طراحی این است که اگر رمز عبور اصلی خود را گم کنید (و کد بازیابی که توسط اکثر مدیران رمز عبور ارائه می شود)، همه چیزهایی را که در مدیریت رمز عبور ذخیره کرده اید از دست خواهید داد. اما این یک ویژگی است، نه یک اشکال.

مدیران رمز عبور ممکن است از اقدامات امنیتی بیشتری برای محافظت از داده های شما استفاده کنند، مانند تقویت کلید PBKDF2 و رمزگذاری سرتاسر. این در ارائه دهندگان متفاوت است، بنابراین همیشه بهتر است قبل از انتخاب مدیر رمز عبور تحقیق کنید.

از نظر عملکرد، اکثر مدیران رمز عبور همچنین می توانند به شما کمک کنند تا یک رمز عبور طولانی و تصادفی برای هر حساب مشخصی ایجاد کنید، و می توانید سرویس را طوری پیکربندی کنید که هنگام تلاش برای دسترسی به یک سایت، جزئیات ورود خود را به طور خودکار تکمیل کنید.

اگر نقطه ضعف احتمالی در استفاده شما از مدیر رمز عبور وجود داشته باشد، این رمز عبور اصلی شماست. مدیران گذرواژه می‌توانند هر کاری که می‌توانند انجام دهند تا داده‌های شما را از دست اشخاص ثالث دور نگه دارند، اما تعیین یک رمز عبور اولیه قوی – و نگه داشتن آن برای خودتان – همچنان به شما بستگی دارد. اگر قرار بود یک یا به راحتی حدس بزنید رمز عبور مشترک، مدیر رمز عبور شما ایمن نخواهد بود. شما باید یک رمز عبور اصلی قوی تنظیم کرده و فعال کنید احراز هویت دو مرحله ای برای مدیریت رمز عبور شما اگر در دسترس باشد.

ویدیوی ما را تماشا کنید: بهترین راه برای ذخیره رمزهای عبور