نکات مهم انتخاب رمز عبور قوی

نکات مهم انتخاب رمز عبور

برای جلوگیری از هک شدن پسوردهای شما به وسیله مهندسی اجتماعی، حمله جستجوی فراگیر و روش حمله لغت نامه ای، و برای امن نگه داشتن حساب های آنلاین خود باسیتی به این نکات توجه داشته باشید:

1. از رمزعبور یکسان، سوال های امنیتی یکسان برای اکانت های مهم مختلفتان استفاده نکنید.
2. از گذرواژه ای استفاده کنید که حداقل 16 کاراکتر داشته باشد، از حداقل یک عدد، یک حرف بزرگ (انگلیسی)، یک حرف کوچک ، و یک نماد خاص استفاده کنید.
3. از نام های خانواده، دوستان یا حیوانات خانگیتان در پسورد استفاده نکنید.
4. از کد پستی، شماره پلاک خانه، شماره تلفن، تاریخ تولد، کد ملی، یا کد امنیت اجتماعی و غیره در پسورد های خود استفاده نکنید.
5. از کلمات لغت نامه ای در پسورد هایتان استفاده نکنید. (مثال هایی از پسورد قوی: ePYHc~dS*)8$+V-‘ , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ ، مثال هایی از پسورد ضعیف: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword )
6. 6. از دو یا چند پسورد مشابه که بیشتر کاراکتر هایشان یکسان است استفاده نکنید، برای مثال: ilovefreshflowersMac, ilovefreshflowersDropBox چون اگر یکی از این پسوردها دزدیده شود، به این معناس که تمام پسوردهای ما دزدیده شده.
7. 7. از چیزی که بتوان شبیه سازی کرد (ولی شما نتوانید آنرا تغییر دهید) مثل اثر انگشت استفاده نکنید.
8. به مرورگر خود ( FireFox, Chrome, Safari, Opera, Internet Exploler) اجازه ذخیره گذرواژه را ندهید، از آنجایی که که تمامی پسوردهای ذخیره شده در مرورگرها می توانند به راحتی افشا شوند.
9. به اکانت های مهم خود در رایانه های دیگران وارد نشوید، یا زمانی که به یک نقطه اتصال عمومی وای فای وصل هستید، یا تور، یا وی پی ان رایگان، یا وب پروکسی.
10. اطلاعات حساس را آنلاین و از طریق اتصال های غیررمزگذاری شده (مانند HTTP و FTP)، بخاطر اینکه پیام ها در این اتصال ها می توانن با کمترین تلاش دزدیده شوند. شما باید از اتصالات رمزگذاری شده مانند HTTPS, SFTP, FTPS, SMTPS, IPSec که موقع امکان پذیر بود استفاده کنید.
11. هنگام مسافرت، می توانید می توانید اتصال اینترنت خود را رمز گذاری کنید، قبل از اینکه لپ تاپ، تبلت، یا موبایل و روترشما متصل شوند. برای مثال، شما می توانید یک اتصال وی پی ان شخصی (با MS-CHAP v2 یا پروتکل های قوی تر) بر روی سرور خودتان (کامپیوتر خانگی، سرور اختصاصی، یا وی پی اس) و به آن متصل شوید. به عنوان جایگزین، میتوانید یک اتصال رمزگذاری شده SSH بین روتر خود و کامپیوتر خانگی خود برقرار سازید( یا یک سرور مرکزی که متعلق به خودتان است) با PuTTY و نرم افزار های خود را (برای مثال Firefox) را به PuTTY متصل سازید. بعد از آن اگر حتی کسی داده های شما را هنگام انتقال بین دستگاه شما (مثلا لپ تاپ، آیفون، آیپد) و سرور شما را با یک بویشگر دریافت کند، قادر نخواهد بود که داده ها و گذرواژه های شما را از جریان داده رمزگذاری شده بدزدد.
12. پسورد من چقدر امن است؟ شاید فکر می کتید پسوردهایتان بسیار قوی اند و سخت می توان هک کرد. ولی اگر هکری نام کاربری و MD5 hash value (ارزش بیتی تابع درهم سازی MD5) شما را از سرور کمپانی دزدیده باشد، و جدول رنگین کمان هکر این تابع در هم سازی MD5 را داشته باشد، پسورد شما به راحتی هک می شود.

برای بررسی قدرت پسورد خود و این که آیا در جدول های محبوب رنگین کمانی هستند یا نه، می توانید پسورد خود را به توابع درهم سازی MD5 با یک مبدل تبدیل کنید،  سپس پسور خود را با یک رمزگشای آنلاین  MD5 رمزگشایی کنید. برای مثال پسورد شما “0123456789A” است، با استفاده از روش تکرار و خطا شاید یک سال طول بکشد تا کامپیوتری رمز شما را هک بکند. ولی اگر آن را با وارد کردن تابع MD5 آن ( C8E7279CD035B23BB9C0F1F954DFF5B3 ) به یک سایت رمزگشایی، رمز گشایی کنید، چقدر طول خواهد کشید؟ می توانید این آزمایش را خودتان انجام دهید.

13. پیشنهاد می شود پسوردتان هر ده هفته یکبار تغییر کند.
14. پیشنهاد می شود که از پسورد های کلیدی کمتری استفاده بکنید، پسوردهای دیگر را در یک فایل متنی ساده ذخیره کنید و ۀن را با 7-Zip، GPG یا یک نرم افزار کد گذاری حافظه مانند BitLocker رمز گذاری کنید، یا پسوردهای خود را با یک نرم افزار مدیریت پسورد مدیریت کنید.
15. پسورد خود را رمزگذاری کنید و در مکانهای مختف نسخه ی پشتیبان داشته باشید، چون اگر در این صورت دسترسی به کامپیوتر خود را از دست دادید ، می توانید پسوردهای خود را به آسانی بازیابید.
16. تایید اعتبار دو مرحله ای را هر موقع که ممکن است فعال کنید.
17. پسوردهای اصلی و حساس خود را در فضاهای ابری ذخیره نکنید.
18. به وبسایت های مهم (برای مثال PayPal) از نشانک ها (بوکمارک) دسترسی مستقیم داشته باشید. در غیر این صورت نام دامنه ی آن را به دقت چک کنید. چک کردن محبوبیت سایت در الکسا (Alexa) روش خوبی برای این است که قبل از وارد کردن گذرواژه مطمئن شد که سایت هدف سایت فیشینگ نیست.
19. کامپیوتر خود را با دیواره آتش (فایروال) و نرم افزار آنتی ویروس محافظت کنید، تمام اتصال های ورودی و تمام اتصال های خروجی نالازم را با دیواره آتش مسدود کنید. نرم افزارها را فقط از وبسایت های معتبر دانلود کنید، و چک سام (مجموع مقابله ای) MD5 / SHA1 / SHA256 یا امضای GPG بسته نصب نرم افزار را در صورت امکان چک کنید.
20. سیستم عامل ( برای مثال Windows 7, Windows 10, Mac OS X, iOS, Linux ) و مرورگرهای (برای مثال FireFox, Chrome, IE, Microsoft Edge) ابزارهای خود (برای مثال e.g. Windows PC, Mac PC, iPhone, iPad, Android tablet) را با نصب آخرین بروز رسانی های امنیتی، به روز نگه دارید.
21. اگر در رایانه شما فایل ها مهمی وجود دارد و برای دیگران قابل دسترس است، در صورت نیاز چک کنید که آیا کی لاگری( برای مثال بویشگر وایرلس کیببورد)، کی لاگرهای نرم افزاری و دوربین های مخفی وجود دارند.
22. اگر روترهای وایرلسی در خانه شما وجود دارند، ممکن است پسوردهایی که شما (در خانه همسایه) وارد کردید با دقت به حرکات انگشتان و دستان شما فاش شود، از آنجایی که سیگنال وای فایی که آنها دریافت کردند با حرکات انگشتان و دستان شما تغییر میکند. در چنین مواردی می توانید از کیبورد های آن اسکرین(نرم افزاری)، امن تر خواهد بود اگر هر بار این کیبورد مجازی چینش خود را تغییر دهد.
23. موبایل و رایانه خود را وقتی آنها را ترک میکنید، قفل کنید.
24. تمام حافظه خود را قبل از بارگذاری اطلاعات مهم بر روی آنها، با نرم افزارهایی مانند LUKS قفل گذاری کنید، و حافظه های سخت افزار های قدیمی خود را در صورت نیاز نابود کنید.
25. به وبسایت های مهم در حالت شخصی یا ناشناس دسترسی پیدا کنید، یا فقط از یک مرورگر برای دسترسی یه آنها استفاده کنید، و از دیگری برای سایت های دیگر استفاده کنید. یا به سایت های کم اهمیت با نصب نرم افزارهای مرورگر در ماشین های مجازی ( مانند VMware, VirtualBoX, Parallels ) دسترسی پیدا کنید
26. حداقل از 3 آدرس ایمیل متفاوت استفاده کنید، از اولی برای دریافت ایمیل از سایت ها و نرم افزار های مهم (مانند Paypal, Amazon) استفاده کنید، از دومی برای دریافت ایمیل از سایت ها و نرم افزار های کم اهمیت استفاده کنید. از سومی ( از یک تامین کننده متفاوت مانند OutLook و Gmail برای دریافت ایمیل بازگردانی پسورد هنگامی که اولی مانند Yahoo هک شده استفاده کنید.
27. حداقل از 2 شماره تلفن متفاوت استفاده کنید، به دیگران شماره تلفنی که برای دریافت پیامک تاییدیه استفاده می کنید را نگویید.
28. بر روی لینک موجود در ایمیل و یا پیامک کلیک نکنید، با اسفتاده از آنها پسورد خود را ریست نکنید، مگر اینکه بدانید این پیام ها تقلبی نیستند.
29. پسورد خود را به هیچکس در ایمیل نگویید.
30. امکان دارد نرم افزاری که شما دانلود یا بروزرسانی کرده اید توسط هکر ویرایش شده باشد، شما می توانید این از این مشکل با نصب نکردن نرم افزار را در وهله اول حل کنید، مگر اینکه این نسخه برای رفع مشکلات امنیتی منشتر شده باشد. شما می توانید از نرم افزارهای وب بنیان به عنوان جایگزین استفاده کنید، که هم امن تر هستند و هم قابل حمل.
31. زمانی که از نرم افزارهای کپی پیست و اسکرین شات (ذخیره عکس) آنلاین استفاده می کنید، به آنها اجازه ندهید که پسورد شما را به فضای ابری خود آپلود کنند.
32. اگر مدیر سایت هستید، پسوردها و سوالهای امنیتی کاربران خود را در فایلهای معمولی متنی در پیاگاه داده خود ذخیره نکنید، به جای آن شما باید تابع های در هم سازی SHA1, SHA256 or SHA512 )) این رشته ها را ذخیره کنید. پیشنهاد می شود که یک رشته salt رندوم برای هر کابر ایجاد شود. ضمنا این ایده خوبیست که اطلاعات دستگاه کاربر نیز وارد شود، و ارزش تابع درهم سازی salt آنها نیز ذخیره شود. در این صورت وقتی که کاربر رمز عبور صحیحی را وارد می کنید ولی اطلاعات دستگته همخوتنی ندارد، کاربر دستگاه خود را از طریق ایمیل یا پیامک تایید کند.
33. اگر توسعه دهنده نرم افزار هستید، بهتر است بسته بروزرسانی نرم افزاری خود را را با امضای شخصی با استفاده از GnuPG منتشر کنید، وامضای آن را با کلید عمومی که قبلا منشتشر کردرد تایید کنید.
34. برای امن نگه داشتن تجارت آنلاین خود، باید نام دامنه ی بخصوص خود را ثبت کنید، و ایمیلی را با نام این دامنه رااه اندازی کنید، در این صورت شما اکانت ایمیل و تمام مخاطبان خود را از دست نخواهید داد، زیرا که می توانید هرکجا ایمیل خود را هاست کنید، و ایمیل شما نمی تواند به وسیله فراهم کننده ایمیل غیرفعال شود.
35. اگر یک قروشگاه ۀنلاین فقز پرداهت آنلاین را فراهم می کند، بهتر است از یک کارت بانکی مجازی استفاده کنید.
36. مرورگر خود را وقتی کامپیوتر خود را ترک می کنید ببندید، درغیر این صورت کوکی ها میتوانند باد یک ابزار کوچک یو اس بی مختل شوند، که دور زدن تایید دو مرحله ای و وارد شدن به رایانه شما را با کوکی های دزدیده شده ممکن می سازد.
37. اعتبار SSL های بد را از مرورگر خود سلب کنید و آنها را حذف کنید، در غیر این صورت شما نمی توانید اعتبار اتصال های HTTPS ی را که از این اعتبارنامه استفاده میکنند را تایید کنید.
38. تمام پارتیشن بندی سیستم خود را رمزگذاری کنید، در غیر اینصورت قابلبت pagefile و hibernation را غیرفعال کنید، چون ممکن است به  مدارک مهم شما از طریق فایلهای   pagefile.sys و hiberfil.sysدسترسی پیدا شود.
39. برای پرهیز از حملات جستجوی فراگیر به سرورهای اختصاصی شما، سرورهای وی پی اس یا فضای ابری شما، می توانید شناساگر و مانع نفوذی مانند LFD یا Fail2Ban نصب کنید.

جهت ایجاد آنلاین و امن پسورد از وب سایت passwordsgenerator.net  استفاده کنید یا از نرم افزار مدیریت پسورد آنتی ویروس کسپرسکی