۱۳۸۷-۰۳-۱۹

یک پسوورد پیچیده انتخاب کنید

* حتما میدونین که در نهایت همه پسوردها قابل دستیابی هست فقط اینکه دستیابی به برخی از اونها زمان بیشتری می طلبه:) به خصوص که الان N تا ابزار روی اینترنت ریخته و همه شونم رایگان در اختیار هکرها هستند!!!
از اونجائیکه مشکلاتی مثل قدرت CPU و یا برق روندگی و اینها هست میشه کاری کرد که کسی براحتی به پسوردهاتون دسترسی پیدا نکنه یا حداقل طول بکشه که دست پیدا بکنه.
نکته: توجه کنید که این روش باید با سایر مکانیزمهای هویت سنجی ایمن ادغام بشه تا معنی داشته باشه. برای مثال اگه الگوریتم رمزنگاری پسورد به حد کافی ایمن نباشه و یا Hash کلیددار نداشته باشه پیچیده بودن پسورد خیلی کمکی نمی کنه و سه سوت عین پسوورد در اختیار هکر محترم قرار میگیره:)

* روشهایی هستند مثل روش Brute Force که بسادگی و با قواعدی خاص لغاتی را بصورت اتوماتیک ساخته و با hash پسورد مقایسه می‌کنن. تو این روش تمام لغات بصورت اتوماتیک ساخته می‌شن. این روش ممکنه برای یه هکر خیلی وقت گیر باشه. هر چند با برخی ابزارهای امروزی این روش آسون شده اما به هر حال در مواردی میتونه اونقدر وقت گیر بشه که هکر کلا بیخیال قضیه بشه! ضمن اینکه این کار قسمت زیادی از قدرت CPU را هدر میده.
نحوه کار این ابزارها اینطوریه که ترکیبات مختلفی از اعداد و حروف رو می سازن و سپس با استفاده از الگوریتمهای رایج رمزنگاری Hash مربوطه رو می سازن و مقایسه رو انجام میدن.
برای مثال اول a بعد ab بعد abc و…. خودتون طبق قانون فاکتوریل مقایسه کنین که چقدر محاسبه باید انجام بشه!

اخیرا بعضی از ابزار های این نوع حملات، تنظیماتی را به شما میدن تا با این تنظیمات در زمان صرف شده و قدرت CPU صرفه‌جویی کنین!!! مثلا میتونین طول پسورد ساخته شده یا کاراکترهایی که برای ساختن لغات بکار برده خواهند شد را معین کنین تا دنبال لغات بیخودی نگرده.

* حالا چه کنیم که پسوردی پیچیده داشته باشیم تا به همین راحتی دست هکرها نیفته و یا به همین راحتی رمزش شکسته نشه؟!
پاسخ ساده است! استفاده از سیاست رمزعبور استاندارد: این خط مشیء میگه که تا جایی که ممکنه رمزهای عبور اکانتهاتون را مناسب انتخاب کنید. سیاست زیر می‌تنه در این زمینه موثر واقع بشه:

طول: حداقل طول برای رمزعبور مشخص کنند و اجازه ایجاد رمز با طول کمتر از آن را ندین. مثلا یادتون باشه که پسوورتون کمتر از ۸ حرف نشه.
پیچیدگی: منظور از پیچیدگی ترکیبی از ۵ روش زیر هست:
۱- پسوردتون رو مخلوطی از حروف و اعداد تصادفی و کاملا بی‌معنی انتخاب کنید.
۲- ترجیحا رمزهای عبورتان رو مخلوطی از حروف بزرگ و کوچک توام با اعداد انتخاب کنید.
۳- در سطحی عالیتر سعی کنین یک حرف غیر الفبایی مثل _ توی پسوردتون باشه. مثلا زمانی بسیار طولانی لازمه تا یه ابزاری همچین پسووردی رو حدس بزنه: ۰۳۲as67_b^mt
4- به هیچ عنوان مجموعه معناداری از اعداد به تنهایی و یا حروف و کلمات معنی دار مثلا انگلیسی استفاده نکنین!!! اکثر این ابزارها دارای پایگاه داده ای از لغت نامه های زبانهای مشهور هستند و در اولین زمان ممکن میرن با اونا مطابقت میدن!
۵- کلید Space را نیز کلا دریابید:)) چیز خوبی است.
مدت اعتبار: تا چه زمانی یک رمزعبور میتونه بدون تغییر باقی بمونه؟. یادتون باشه هر چند وقت یکبار رمزهای عبورتون را تغییر بدید. حالا تا ابزاره بیاد پسورد رو پیدا کنه شما سوئیچ کردی رو یه رمز دیگه.
استفاده مجدد: چه موقع یک رمزعبور قابل استفاده مجدد هست؟ بعضی از کاربران به دلایل زیادی نظیر عدم به خاطر سپاری رمزهای عبور، پس از سپری شدن دوره آن و هنگام تغییر، آن را با کمی تغییر به رمزعبوری که قبلا داشته اند تغییر می‌دن، (مثلا رمز اولیه mySecret بوده و حالا به ۱mySecret و یا mySecret1 تغییر میدن). اینم کار خوبی نیست.

* مرتبط: این رو الان دیدم، داستانش خیلی جالب بود. دنبال متن کامل انگلیسیش هستم:
۱- استفاده از گوگل برای شکستن کلمه‌ی رمز عبور پیچیده

۲- لیستی از ۱۰ پسوورد ساده و خطرناک که بیشتر کاربران کامپیوتر به خاطر تنبلی و یا ساده انگاری اونا رو انتخاب می کنند.

برچسب: , , , ,
تحت دسته فناوری اطلاعات | دنبالک | RSS نظرات | نظر شما

بعدی: و این مهندسان بیچاره…
قبلی: خانواده هرکسی براش مقدسن

۴۴ نظر

  1. arash ۱۳۸۷-۰۳-۱۹، ۹:۲۶ ب.ظ

    یه سووال
    به نظر شما هکر ها می تونن با داشتن ادرس ایمیل هم رمز گشایی کنن چون این اتفاق برای من افتاده ممنون میشم منو راهنمایی کنین

  2. زهرا ۱۳۸۷-۰۳-۱۹، ۹:۳۱ ب.ظ

    در تئوری بله میتونن.
    اتفاقا در برخی از روشها صرفا داشتن یوزر نیم کفایت میکنه. یعنی اگه صفحه لاگین رو محدود نکرده باشند که کاربر نتونه بیش از چند بار لاگین ناموفق داشته باشه بله ممکنه.

  3. arash ۱۳۸۷-۰۳-۱۹، ۹:۳۶ ب.ظ

    برای من این اتفاق افتاده یکی تونسته به ایمیل من در یاهو دسترسی پیدا کنه و مدام منو تهدید میکته البته من چیز خاصی تو اون ادرس نداشتم طرف به کاهدون زده منتها دست بردار نیست بهر حال ممنون از لطف و راهنمایی شما

    اگر وقت داشتین یه سری به وبلاگ من بزنین ثواب داره
    آرش

  4. mosafer kuchuloo ۱۳۸۷-۰۳-۱۹، ۱۰:۰۹ ب.ظ

    albate na tu hame servera mitunin az character haye tarkibi ba klide Alt ham estedade konin mesle alt + adde 0133 ya adad haye dige ke ye character haye khasi hastan ke in system haye bruteforce nadaran! masalan hamin alt ro ba 0133 begirn albate adad haro bayad az numpad type konid 3ta nogte poshte ham mindaze ke ye charactere!!hala ki mitunne ino brute force kone biad!! ama ye moshkeli ke in dare ine ke ye seri server haye masalan mail server haee mese yahoo age bekhayn paswordetuno avaz konin ino ghabul mikonan ama age bekhayn ba hamin pass login konid mige paswordetun eshtebahe!! in ye bug tu systemeshune ke beheshun gofte budam una ham goftan ke eslah mikonim!! ye modat ham doros karde budan ama 2bare ghati shode! ama kolan ravaeshe kheili khubie! ama age khastin azash estefade konin hatman ghablan be mojaz budane in character ha tu pw motmaen shin

  5. ساکت ۱۳۸۷-۰۳-۱۹، ۱۰:۳۰ ب.ظ

    سلام

    من یه روشی بلتم خیلی توپه :دی:

    بیش از ۷۰ پسورد رو مدیریت می کنم که طول هر کدومش حده اقل ۳۰ کارکتر و با کامپلکسیتی بسیار بالا :دی:

    کاملا ابداع خودمه باور کن :دی:

    ممنون از نوشته ی مفیدتون

  6. دل‌زده ۱۳۸۷-۰۳-۱۹، ۱۰:۵۲ ب.ظ

    بابا اینقدر اینور و اونور اکانت داریم که حفظ کردن پسوردشون شده مصیبت!

  7. میلاد ۱۳۸۷-۰۳-۱۹، ۱۱:۲۰ ب.ظ

    پسورد من اینه از نظرت امنیتش چجوره؟(( èçÃì¶ÝѾѪ҉♣♥☻☺♫))

  8. زهرا ۱۳۸۷-۰۳-۱۹، ۱۱:۳۱ ب.ظ

    به میلاد همین الان هک شدی:
    معنیش میشه این:
    “من معتادم”

    :))))))))))))))))))

  9. محمد ۱۳۸۷-۰۳-۱۹، ۱۱:۳۴ ب.ظ

    من یه بار تهدید به هک شدم و هموجا برداشتم هفشده تا کاراکتر غلط غلوط رو کاغذ نوشتم و یه ساعت صرف حفظ کردنشون کردم. جالبه تو وردپرس قوی شناخته می‌شه اما بعضی جاها متوسط.
    یه چیز جالب اینکه از تو ایمیل هاتمیلم که سالی یه بارم بهش سر نمی‌زنم، یه ایمیل حاوی ویروس به تمام کنتکت لیستم فرستاده شده بود!

  10. لیلی ۱۳۸۷-۰۳-۱۹، ۱۱:۳۴ ب.ظ

    ممنون از نوشته های تخصصی تون
    من هم مدتی بود که در فکر تغییر رمز ایمیل هام بودن که نوشته شما اون رو عملی کرد

  11. 99 ۱۳۸۷-۰۳-۱۹، ۱۱:۴۲ ب.ظ

    p

  12. آلوچه! ۱۳۸۷-۰۳-۱۹، ۱۱:۴۲ ب.ظ

    به به!
    خیلی ممنونم!
    بسی فیض بردیم!
    سلام!

  13. منیره ۱۳۸۷-۰۳-۱۹، ۱۱:۵۱ ب.ظ

    بسی فیض بردیم

  14. نسیم ۱۳۸۷-۰۳-۲۰، ۶:۰۰ ق.ظ

    سلام .

    این پسه منه »

    هر کی فهمید چیه ؟ واقعا چیزی نوشتم ولی دیده نمیشه ؟ (سیاست گوگلی)

    http://IT.blogfa.com

  15. نسیم ۱۳۸۷-۰۳-۲۰، ۶:۰۴ ق.ظ

    راستی زهرا جون اگه دنبال مقالات تخصصی IT میگردی خوب بیا اینجا

    »»»»» http:// IT .blogfa.com

  16. نیما ۱۳۸۷-۰۳-۲۰، ۶:۴۱ ق.ظ

    میبینم که به نهضت آی تی نویسان ملحق شدی ! :D
    راستی برای شکستن پسورد فایل اکسل چه میشه کرد؟

  17. حسین کلامی ۱۳۸۷-۰۳-۲۰، ۶:۵۰ ق.ظ

    سلام

    از مطالب جالبتون استفاده فراوان می کنم راستی با اجازه یک لینک از سایتتون در وبلاگم گذاشتم . ممنون خدانگهدار

  18. سیروس ۱۳۸۷-۰۳-۲۰، ۷:۳۴ ق.ظ

    به به عجب ا چه اطلاعاتی
    ای کلک یعنی منم بلدم ای تی بنویس
    حالا باز با کی کل کل کردی ؟

  19. فائزه ۱۳۸۷-۰۳-۲۰، ۷:۴۵ ق.ظ

    سلام زهرا جون. خوبی؟ سفر خوش گذشت؟

    بابت مطالبت ممنون خانم خانما.
    یک پیشنهاد هم وجود داره و اونم اینه که از اونجایی که افراد معمولا در به خاطر سپردن پسوردی مثل این ۰۳۲as67_b^mt مشکل دارند و یادشون میره و تازه باید یکی را پیدا کنند که بیاد جدا هکشون کنه!!! برای همین پیشنهاد میشه که مثلا جمله ای را که تو ذهنشون باقی میمونه انتخاب کنند و بعد حروف اول کلمات اون را با حالت های مختلف برای رمز در نظر بگیرن و حالا میتونن یک عدد یا کاراکتر هم به اون اضافه کنند.

    مثلا جمله ای مثل My Name is Faezeh,Faezeh is a Good Girl را در نظر بگیر :دی
    حالا پسورد میتونه این باشه MNiF,FiaGG که حروف اول کلمات این جمله زیباست! و البته ترکیبی از حروف کوچیک و بزرگ و کاراکترها هم هست.

    نظرت چی؟

  20. مریم ۱۳۸۷-۰۳-۲۰، ۸:۱۲ ق.ظ

    مرسی زهرا جان.واقعن استفاده کردم.حالا ببین من مشکلم این که پسورد پیچیده میسازم خودم یادم میره پسورده.حافظه رو رسمن باید بدم خروس قندی بگیرم.من یه مطلبیو چند روز پیش خوندم الان این مقاله تو دیدم یاد اون افتادم.
    http://www.sync-blog.com/sync/2008/05/top-10-most-com.html
    باحاله وقت کردی بخون

  21. مریم ۱۳۸۷-۰۳-۲۰، ۸:۳۴ ق.ظ

    ای وای!زهرا چرا فیدت هم چینی میاد برای من؟؟؟؟ ؟؟؟ ؟؟؟ اشکال از گیرنده منه یعنی؟

  22. erfan ۱۳۸۷-۰۳-۲۰، ۹:۰۵ ق.ظ

    نیما جان برای شکستن پسورد اکسل از این برنامه استفاده کن:
    Office Multi-document Password Cracker برنامه ای برای دسترسی به مدارک محافظت شده اکسل و ماکروسافت ورد از طریق پسورد با قابلیت حذف هر گونه پسورد (به استثنای VBA project password) .

    ویژگی های برنامه:

    - پشتیبانی برنامه از MS Word and Excel 97/2000/XP/2003

    - حذف پسوردهای “open”, “write” and “protection” از مدارک ماکروسافت ورد

    - حذف پسوردهای “open”, “write”, workbook, shared workbook و worksheet passwords از مدارک ماکروسافت اکسل

    لینک دانلود برنامه:
    http://iranisoft.mihanblog.com/More-2888.ASPX
    موفق باشید
    عرفان

  23. یک فتحی ۱۳۸۷-۰۳-۲۰، ۹:۳۶ ق.ظ

    زهرا خانم. اتفاقا من هم می خواستم یک چیزی توی مایه های نوشته فائزه خانم بگویم. تو کاربردهای غیر تجاری ساده مثل حساب دلیشس یک کاربر استفاده از رمزگزاری ها با کمپلکس بالا سخت است و مقرون به صرفه به نظر نمی رسد. با توجه به نبود انگیزه مناسب برای یک هکر حرفه ای من هم راههایی مثل استفاده از مخفف سازی و راههای مشابه را مناسب می دانم. نظرتون چیه؟

    مریم خانم هم درست می گوید. فیدتان دار مشکل شده است. برای من هم دیشب مشکل داشت اما برای شما هنوز هم باقی است.

  24. یک فتحی ۱۳۸۷-۰۳-۲۰، ۹:۳۸ ق.ظ

    الان فیدتون درسته :)

  25. Hamid ۱۳۸۷-۰۳-۲۰، ۹:۳۸ ق.ظ

    سلام چطوری زهرا خانم بعد از مدتها من اومدم اینجا
    یه ایمیل برات فرستادم

  26. زهرا ۱۳۸۷-۰۳-۲۰، ۹:۴۸ ق.ظ

    الان فیدم درست شده؟ یا هنوز علامت سواله
    من دیشب چک کردم مشکلی نداشت؟

  27. persianeyes ۱۳۸۷-۰۳-۲۰، ۱۰:۱۸ ق.ظ

    من که متخصص سر هم کردن اعداد بی معنیم :دی
    در ضمن زهرا جان اینم اضافه کن که وقتی از حروف بزرگ استفاده میکنند و میخوان جلوی شخصی پسوردشونو بزنن، دکمه caps lock رو روشن خاموش نکنند(چون در این صورت خیلی راحت دستشون رو میخونن) و از دکمه شیفت استفاده کنند.

  28. ییلاق ذهن ۱۳۸۷-۰۳-۲۰، ۱۰:۱۸ ق.ظ

    من که از اون اولش به هیچ عنوان استعداد هکری در من وجود نداشت :( درسته که هیچ این کار رو دوست ندارم ولی یه جایی این استعداد باعث میشد دوسه سال از زندگیم نجات پیدا کنه و اون دوسه سال حروم نشه

  29. امین ۱۳۸۷-۰۳-۲۰، ۱۱:۲۱ ق.ظ

    + اینجا رو ببین،هر دفعه که صفحه رو فراخوانی کنی یه پسورد در آپشن های متفاوت بهت میده ولی حفظ کردنش رو باید بی خیال شی! :دی
    https://www.grc.com/passwords.htm

    + قبلا از بعضی سایتها برای درست کردن پسورد استفاده میکردم،مثل:
    http://www.maord.com/
    http://passwordmaker.sourceforge.net/passwordmaker.html

    + پسورد قبلیم این بود: Set:me:as:fake:mooN:999

    + مرسی از این پست :)

  30. خانم کپی ۱۳۸۷-۰۳-۲۰، ۱۲:۴۲ ب.ظ

    شعور داشته باش وقتی توهین می کنی دلیلشم بگو

    خدا رو شکر مثل تو بی شعور و بی فرهنگ نیستم و مامان بابام یه سری چیزا رو یادم دادند …

    زهرا جان توهین کردی پاشم وایسا … جواب توهینت رو درست حسابی می دم … مطمئن باش

  31. Hamid ۱۳۸۷-۰۳-۲۰، ۱:۱۵ ب.ظ

    http://manshoma.wordpress.com/
    این رو بخونید میفهمید که سگها بهترند یا حاکمان کنونی ایران. سگ ترجیح دارد بر چنین موجوداتی که نام سگ هم براشون زیاد هست.
    زهرا خانم شما این چنین لینکهایی رو هم باید توی لینکدونیت اون بالا بگذاری تا محکوم به رفتار یکجانبه و جهت دار نشی. تو همش میای لینکهایی شبیه “مسابقه‌ی بیست سئوالی خاورمیانه” رو میگذاری و مشخصه که این یعنی بی تفاوتی به وضع کنونی مملکتت و طبیعی هست که عده ای ناراحت میشند و حق هم دارند.

  32. Hamid ۱۳۸۷-۰۳-۲۰، ۱:۲۳ ب.ظ

    http://manshoma.wordpress.com/2008/06/06/%d8%a7%d9%81%d8%b4%d8%a7%da%af%d8%b1%db%8c-%d8%b9%d8%a8%d8%a7%d8%b3-%d9%be%d8%a7%d9%84%db%8c%d8%b2%d8%af%d8%a7%d8%b1-%d8%af%d8%b1-%d8%af%d8%a7%d9%86%d8%b4%da%af%d8%a7%d9%87-%d8%a8%d9%88%d8%b9%d9%84/

    پست مورد اشاره این هست چون حالا که نگاه کردم یک پست جدید گذاشته بود

  33. رضا ۱۳۸۷-۰۳-۲۰، ۱:۳۲ ب.ظ

    یه مسئله دیگه هست که توی این مطلب بهش اشاره یی نشده، بالاخره برای هر کسی پیش میاد از محل های عمومی مجبور بشه به اکانتهاش لاگین کنه اینجور جاها همیشه تهدید کی لاگرها وجود داره، برای رهایی از تهدید کی لاگرها تکنیک های مختلفی رو میشه به کار بست که بعضی هاشون یا بهتر بگم اکثرشون چندان هم پیچیده نیستن ولی میشه باهاشون پسوردهای خیلی پیچیده یی رو خلق کرد.

    یه مورد نسبتا جالبش رو قبلا اینجا توضیح دادم: http://www.updateblog.net/archive/2007/01/post_149.php

  34. افق ۱۳۸۷-۰۳-۲۰، ۲:۱۳ ب.ظ

    سلام

    به حجت : خوب من فکر میکنم پستو زودی فراموش کنی !!! حس ۶/۵

    به نسیم : سیاست گوگلی پسورد واقعا برام جالب بود . این شیوه تو ایران کمتر استفاده میشه تا اونجا که میدونم . راستی به وبلاگ IT در Blogfa رفتم . مقالاتش توپ بود . مال خودته ؟!!!

    به فائزه : کی میره این همه راهو !!!

    به کپی خانم : چقدر داغی . بابا حالا یه چی گفته دیگه

  35. aye ۱۳۸۷-۰۳-۲۰، ۹:۱۱ ب.ظ

    خیلی جال انگیز ناک بود و سود مند
    اگه هکر بخواد به پسورد ما راه پیدا کنه حتماً واسش مهمه که به اطلاعات ما دست پیدا کنه پس به هیچ عنوان بیخیال قضیه نمی شه
    ولی در کل برای پیچوندنش واسه مدتی خوبه به درد می خوره
    دستت درد نکنه

    _________________
    شبتان نورانی

  36. piruz ۱۳۸۷-۰۳-۲۱، ۱:۲۱ ق.ظ

    ]manzoret chiyeeeeeeeeeeeeeeeeeeeeeeee

  37. بمونه ۱۳۸۷-۰۳-۲۱، ۷:۲۰ ق.ظ

    رمز سخت گذاشتن کار سختی نیست ولی به خاطر آوردن اون یه کم مشکله.
    مهم اینه که یه رمز سختی داشته باشین که بتونین راحت بخاطر بیارینش.
    من معمولا حروف اول چند مصرع رو به در کنار یک سری حروف دیگه استفاده میکنم.

  38. یواشکی های من ۱۳۸۷-۰۳-۲۱، ۷:۵۵ ق.ظ

    با تبادل لینک موافقی؟

  39. هانی (مامان ۲کیا) ۱۳۸۷-۰۳-۲۱، ۸:۱۷ ق.ظ

    نوشته هات خیلی کاربردی و خوب هستن. موفق باشی و سلامت

  40. داریوش کبیر ۱۳۸۷-۰۳-۲۱، ۱۰:۱۷ ق.ظ

    البته که مطلب خوبی بود ولی نمیدونم چرا من یکی با اینکه میدونم اصلا اهمیتی بهمش نمیدم! مهمتر از دو تا سرور چی میتونه باشه که پسوردش به شدت از سادگی خنده دار به نظر میاد ! البته ۱۲۳۴ نیست یکدفعه فکر بد نکنی ;)

  41. خبرنگارافتخاری نیویورک تایمز ۱۳۸۷-۰۳-۲۱، ۱۰:۲۸ ق.ظ

    خیلی پست کاربردی خوبی بود زهرا جون! مرسی

  42. محمود رمضانی ۱۳۸۷-۰۳-۲۱، ۲:۳۲ ب.ظ

    در ویندوز:برای اینکه پسورد هاتون یادتون نره از roboform استفاده کنید که با فایرفکس هم کار می کنه.
    بدون roboform زندگی سخته
    در لینوکس:از اکستنشن secure login استفاده کنید(هرچند به پای roboform نمی رسه)
    از روش های backup گرفتن از پسورد هم میشه به این مطلب اشاره کرد که خودو نوشتم:
    http://geeklife.ir/2008/05/23/backup-firefox-passwords-manually/

  43. مداد ۱۳۸۷-۰۳-۲۱، ۲:۵۹ ب.ظ

    تروجان می فرستند وما رو هک وهوک می کنند …
    یه پست نوشتم ..نمی دونم ..بخونید …شاید ..

  44. علیرضا ۱۳۸۷-۰۳-۲۲، ۵:۲۹ ب.ظ

    یه سوال وفقتی توی سایت های مختلف عضو می شیم و کلمه عبور می دیم چه تضمینی هست که این کلمه عبور واسه مدیر سایت کد شده نباشه و اون به جای ستاره خود کلمه عبور رو نبینه ؟؟؟

نظر شما