شنیدن این سوال که “آیا استفاده از برنامه های مدیریت رمز عبور درست است یا نه؟” تعجب آور نیست؛ اکثریت قریب به اتفاق متخصصان امنیت سایبری موافق هستند که مدیریت رمز عبور در واقع امن ترین راه برای محافظت از رمزهای عبور شماست.

ما به تمام سؤالات مهم خواهیم پرداخت. چگونه مدیران رمز عبور، رمزهای عبور شما را ایمن می کنند؟ خطرات استفاده از مدیریت رمز عبور چیست؟ و در نهایت آیا اصلا باید از پسورد منیجر استفاده کرد؟ برای کسب اطلاعات بیشتر، ادامه مطلب را مطالعه کنید.

چگونه برنامه پسورد منیجر (Password Manager)، رمزهای عبور شما را ایمن می کنند؟

راه‌های متعددی وجود دارد که پسورد منیجرها، رمزهای عبور شما را ایمن کنند. این فرآیند از رمزگذاری امن شروع می‌شود. AES 256 bit، یک استاندارد نظامی است که شکستن رمزهای عبور تولید شده از طریق این استاندارد، بیش از یک عمر طول می کشد.

تکنیک zero-knowledge architecture که توسط مدیران ارشد رمز عبور استفاده می شود، رمزهای عبور را قبل از خروج از دستگاه شما رمزگذاری می کند. وقتی آنها روی یک سرور هستند، حتی ارائه دهنده نیز راهی برای رمزگشایی آنها ندارد. برخی از مدیران رمز عبور به شما یادآوری می کنند که رمزهای عبور را به طور منظم تغییر دهید و قدرت آنها را ارزیابی کنید. برخی دیگر از ارائه دهندگان پسورد منیجر، دارک وب را اسکن می کنند تا بررسی کنند که آیا هر یک از ورودهای شما به صورت آنلاین ظاهر شده است یا خیر.

تنها رمز عبوری که باید در مدیریت رمز عبور خود به خاطر بسپارید، رمز عبور اصلی است. تا زمانی که ایمن باشد، هیچ راهی برای دسترسی به سایر رمز های عبور شما، وجود ندارد. اگر یک رمز عبور به یاد ماندنی و در عین حال کاملا منحصر به فرد انتخاب کنید و آن را با احراز هویت دو مرحله ای (2FA) ترکیب کنید، قطعا این رمز عبور ایمن می باشد. استفاده از احراز هویت بیومتریک (Biometric authentication) مانند اثر انگشت (Fingerprint) یا اسکن چهره (Face Scan) نیز ایده خوبی است.

خطرات استفاده از مدیریت رمز عبور چیست؟

هیچ راهی برای ایمن ماندن به صورت 100% وجود ندارد. حتی اگر از یک مدیر رمز عبور قابل اعتماد استفاده می کنید، خطرات خاصی وجود دارد که باید به آن ها توجه کنید:

  1. All sensitive data in one place (همه داده های حساس در یک مکان): احتمالاً تاکنون در مورد نظریه نگهداری تخم مرغ در یک سبد شنیده اید. این دقیقاً همان کاری است که شما با استفاده از مدیریت رمز عبور انجام خواهید داد. این سبد، احتمالاً شامل جزئیات کارت اعتباری و یادداشت های امن نیز می شود. در صورت وقوع یک حمله سایبری، مسدود کردن همه گزینه‌های پرداخت و تغییر گذرواژه‌ها برای همه حساب‌ها ممکن است زمان زیادی از شما بگیرید و در این زمان، مهاجم آسیب زیادی به شما برساند.
  2. Backup is not always possible (پشتیبان گیری همیشه امکان پذیر نیست): اگر سرور خراب شود، تنها امید شما این است که ارائه دهنده شما یک نسخه backup تهیه کرده باشد. اگر تصمیم بگیرید که خزانه خود را در یکی از دستگاه های خود آفلاین نگه دارید، این خطر چندین برابر افزایش می یابد. به طور طبیعی، نگه داشتن نسخه پشتیبان خود در یک درایو محافظت نشده یا سرویس ابری با محافظت ضعیف نیز مشکل ساز خواهد بود.
  3. Not all devices are secure enough (همه دستگاه ها به اندازه کافی ایمن نیستند): هکرها از همان آسیب‌پذیری برای دریافت همه لاگین‌های شما در یک حمله سوء استفاده می‌کنند. در صورتی که دستگاه شما به مالور آلوده شود، برنامه مدیریت رمز عبور هک می شود. در این حالت، تنها با تایپ رمز عبور اصلی، مجرمان سایبری به اطلاعات ذخیره‌شده دسترسی کامل پیدا می کنند. به همین دلیل است که کاربران مدیریت رمز عبور باید ابتدا روی ایمن سازی همه دستگاه های خود سرمایه گذاری کنند تا خطرات را کاهش دهند.
  4. Not using biometric authentication (عدم استفاده از احراز هویت بیومتریک): احراز هویت بیومتریک، یک راه عالی برای افزایش امنیت است. اگر مدیر رمز عبور خود را طوری پیکربندی کنید که درخواست اثر انگشت یا اسکن چهره را بدهد، احتمال هک کردن شما بسیار کم می شود. همچنین لمس اسکنر اثر انگشت برای شما بسیار ساده تر از وارد کردن رمز عبور اصلی است.
  5. Bad password manager (مدیر رمز عبور بد): اگر یک برنامه پسورد منیجر رمزگذاری ضعیف‌ دارد که ویژگی‌های کمی ارائه می‌دهد و بررسی‌های ضعیفی دارد، نباید از آن استفاده کنید. وقتی نوبت به ایمن کردن خزانه می رسد، صرفه جویی چند دلاری در ماه نباید اولویت اصلی شما باشد.
  6. Forgetting your master password (فراموش کردن رمز اصلی خود): آیا شما تنها کسی هستید که رمز عبور اصلی را می‌دانستید و مدیر رمز عبور شما، ویژگی بازنشانی ندارد؟ در این صورت، ممکن است از قبل شروع به بازیابی هر یک از اطلاعات ورود به سیستم به صورت یک به یک کنید. از طرف دیگر، ممکن است بخواهید رمز عبور اصلی خود (یا یک اشاره) را در مکانی امن فیزیکی مانند گاوصندوق ذخیره کنید.
خطرات استفاده از مدیریت رمز عبور (Password Manager)

همانطور که می بینید، برخی از خطرات، از خود مدیران رمز عبور ناشی می شود، اما برخی دیگر صرفاً به دلیل رفتار کاربران رخ میدهد. اگر دومی را در نظر نگیریم، می بینیم که خطرات زیادی برای استفاده از مدیر رمز عبور وجود ندارد.

آیا می توان به برنامه پسورد منیجرها اعتماد کرد؟

علی‌رغم تمام نگرانی‌های ذکر شده در بالا، پیدا کردن یک برنامه مدیریت رمز عبور خوب بسیار دشوار است. استفاده از رمزگذاری AES-256، تکنیک “zero-knowledge” و امکان استفاده از احراز هویت دو مرحله ای، مدیریت رمز عبور را به گزینه ای بسیار امن تر و آسان تر از هر چیز دیگری در حال حاضر تبدیل می کند.

وقتی صحبت از ایمنی به میان می‌آید، مهمترین چیز از طرف شما رمز عبور اصلی است؛ زیرا برای دسترسی به سایر رمزهای عبور باید آن را ایجاد کنید.

بنابراین، مطمئن باشید که رمز عبور اصلی شما قوی است. باید حداقل 12 کاراکتر داشته باشد، دارای نمادهای مختلف باشد و حدس زدن آن غیرممکن باشد.

کدام نوع مدیریت رمز عبور امن تر است؟

کسانی که با پسورد منجیر ها آشنا هستند احتمالاً می دانند که سه نوع پسورد منجیر داریم. هر کدام با مجموعه ای از مزایا و معایب خود، از جمله تفاوت های ظریف در امنیت، همراه هستند.

  1. مدیریت رمز عبور مبتنی بر مرورگر (Browser-based password managers)
  2. مدیریت رمز عبور مبتنی بر ابر (Cloud-based password managers)
  3. مدیریت رمز عبور مبتنی بر دسکتاپ (Desktop-based password managers)

بیایید انواع آن را یک به یک مورد بحث قرار دهیم و بیابیم که کدامیک امن‌ترین است.

مدیریت رمز عبور مبتنی بر مرورگر (Browser-based password managers)

مزایامعایب
استفاده از آن بسیار آسان استبدون همگام سازی بین مرورگر
رایگانهمه آنها، پسورد تولید نمی کنند
تعداد کمی از آنها، طول رمز عبور را اندازه گیری می کنند

اگر ایمنی را به رمزگذاری و احراز هویت دو عاملی خلاصه کنیم، مدیریت رمزهای عبور مبتنی بر مرورگر بسیار ایمن هستند. با این حال، هرچه دقیق‌تر نگاه کنید، مدیریت رمز عبور مبتنی بر مرورگر با امنیت کمتری ظاهر می‌شود.

برای شروع، مدیران رمز عبور مبتنی بر مرورگر روی یک مرورگر خاص کار می کنند. اگر تصمیم دارید از سافاری (Safari) به کروم (Chrome) یا فایرفاکس (Firefox) بروید، ممکن است در جا به جایی رمز های عبور با مشکل مواجه شوید. علاوه بر این، هیچ راهی وجود ندارد که بتوانید خزانه خود را در مرورگرهای مختلف همگام سازی کنید. همه اینها اغلب منجر به ذخیره رمزهای عبور شما در یک مکان ناامن می شود.

ثانیاً، همه مدیران رمز عبور مبتنی بر مرورگر، تولید کننده رمز عبور ندارند. شما باید آنها را به صورت دستی ایجاد کنید.

در نهایت، مدیران رمز عبور مبتنی بر مرورگر نمی توانند رمزهای عبور ضعیف یا تکراری را شناسایی کنند. آیا می خواهید بدانید که لاگین های شما در dark web در دسترس هستند یا نه؟ در این صورت شما باید آن را به صورت دستی در یک ابزار جداگانه بررسی کنید.

مدیریت رمز عبور مبتنی بر ابر (Cloud-based password managers)

مزایامعایب
استفاده آسانهیچ کنترلی روی امنیت خزانه شما وجود ندارد
دسترسی آسان از هر نقطهسرورهای شخص ثالث داده های شما را ذخیره می کنند
پشتیبان گیری ابری
وابسته به اینترنت

در مقایسه با موارد مبتنی بر مرورگر، مدیران رمز عبور مبتنی بر ابر ایمن تر هستند، زیرا دارای ویژگی های بیشتری هستند که امنیت را افزایش می دهد.

برای شروع، اکثر مدیران رمز عبور مبتنی بر ابر یک نسخه پشتیبان برای صندوق شما ارائه می دهند. اگر اتفاقی برای سرور بیفتد، می توانید نسخه اخیر پایگاه داده خود را بازیابی کنید.

علاوه بر این، مدیران رمز عبور مبتنی بر ابر به شما این امکان را می دهند که نه تنها رمزهای عبور، بلکه یادداشت های ایمن و جزئیات کارت اعتباری را نیز ذخیره کنید. به این ترتیب می توانید از تمام اطلاعات حساس محافظت کنید.

علاوه بر این، مدیران رمز عبور مبتنی بر ابر رمزهای عبور مجدد و ضعیف را شناسایی می‌کنند، رمزهای عبور قوی ایجاد می‌کنند و بررسی می‌کنند که آیا حساب‌های شما فاش شده است یا خیر. آنها همچنین به شما این امکان را می دهند که ورودی های خزانه خود را به راحتی به اشتراک بگذارید، حتی با کسانی که از همان سرویس استفاده نمی کنند.

در نهایت، مدیران رمز عبور مبتنی بر ابر بر روی چندین مرورگر و سیستم عامل کار خواهند کرد. این بدان معناست که شما مجبور نخواهید بود به نحوه کپی و چسباندن چیزی از پایگاه داده خود به طور ایمن فکر کنید.

مدیریت رمز عبور مبتنی بر دسکتاپ (Desktop-based password managers)

مزایامعایب
امن ترین گزینهبدون دسترسی از دستگاه های دیگر
به اتصال به اینترنت نیاز نداردبه اشتراک گذاری رمز عبور پیچیده
پشتیبان گیری دستی

مدیران رمز عبور مبتنی بر دسکتاپ می توانند ایمن ترین باشند اما این تنها به کاربر بستگی دارد.

این مدیران رمز عبور داده‌های شما را به صورت محلی، در یکی از دستگاه‌های شما ذخیره می‌کنند. این دستگاه نیازی به اتصال به اینترنت ندارد، بنابراین احتمال هک شدن آن تقریباً صفر است. محتمل ترین سناریو (و هنوز بسیار بعید) این است که شما به طور ناخواسته یک کی لاگر (keylogger) نصب کرده و رمز عبور اصلی خود را تایپ می کنید. با این حال، با استفاده از احراز هویت بیومتریک می توان از این امر جلوگیری کرد.

اگر مدیریت رمز عبور شما هک شود چه کار باید بکنید؟

در بیشتر موارد، هک شدن منجر به این نمی شود که همه رمزهای عبور شما به دست مجرمین سایبری بیفتد. با این حال، حتی امن ترین برنامه های مدیریت رمز عبور ممکن است آسیب پذیری جدی داشته باشد که همه نادیده گرفته شده اند.

بیایید با این واقعیت شروع کنیم که رمزهای عبور شما به صورت محلی رمزگذاری شده است. مدیران رمز عبور هیچ راهی برای رمزگشایی داده های شما ندارند زیرا آنها خط مشی zero-knowledge را اجرا می کنند. بنابراین اگر یک هکر به خزانه شما نفوذ کند، فقط اطلاعات رمزگذاری شده را می بیند.

هک شدن برنامه مدیریت رمز عبور (Password Manager)

احتمال کمی وجود دارد که مهاجم بتواند با سرقت فیزیکی دستگاه شما، استفاده از بدافزار، یا ورود به سیستم، وارد دستگاه شما شود. حتی در این صورت، او به رمز عبور اصلی شما نیاز دارد. اگر از داده‌های بیومتریک مانند اثر انگشت یا شناسه چهره استفاده می‌کنید، احتمال از دست رفتن اطلاعات، بی‌نهایت کم می‌شود.

اگر مهاجم، بدافزار را روی دستگاه شما نصب می کند، بهترین حرکت شما نصب مجدد سیستم عامل و تغییر تمام رمزهای عبور موجود در صندوق است. مطمئن شوید که 2FA را در هر کجا که می توانید روشن کنید. به این ترتیب، زمانی که یک درخواست غیرمعمول به برنامه احراز هویت می آید، متوجه خواهید شد.

هک پسورد منیجر

لیست هک های قابل توجه پسورد منیجرها بسیار کم است. وگرنه این برنامه ها، شهرت امروزه خود را نداشتند. به همین دلیل است که آسیب‌پذیری‌های گزارش‌شده را نیز اضافه می‌کنم.

  • در سال 2015، LastPass یک نفوذ به سرورهای خود را شناسایی کرد. هکرها، آدرس ایمیل کاربران و یادآوری رمز عبور را از جمله اطلاعات دیگر گرفتند. این منجر به هیچ آسیب شناخته شده ای نشد زیرا حتی اگر از یک رمز عبور اصلی ضعیف استفاده کرده باشید و مهاجمان آن را شکسته باشند، باز هم باید دسترسی را از طریق ایمیل تأیید کنند.
  • در سال 2016، آسیب پذیری های امنیتی زیادی توسط هکرهای کلاه سفید و کارشناسان امنیتی گزارش شد. از جمله برنامه های مدیریت رمز عبور آسیب دیده LastPass، Dashlane، 1Password و Keeper بودند. در بیشتر موارد، مهاجم همچنان مجبور است از فیشینگ استفاده کند تا کاربر را فریب دهد تا برخی از داده ها را فاش کند.
  • در سال 2017، LastPass یک آسیب پذیری جدی را در افزونه های مرورگر خود گزارش کرد و از مشترکین خواست از استفاده از آن خودداری کنند. این مشکل در کمتر از 24 ساعت رفع شد. Keeper و OneLogin نیز مشکلاتی داشتند که منجر به تلفات مالی نشد.
  • در سال 2019، آسیب‌پذیری‌های جدی در کدهای Dashlane، LastPass، 1Password و KeePass یافت شد. این برای کاربران ویندوز 10 اعمال می شود و تنها در صورتی که بدافزار مناسب نصب شده باشد. بار دیگر، کاربران هیچ گونه تلفات گزارش شده متحمل نشدند.

با خرید ویندوز 10 اورجینال از امنیت و کارایی بیشتری برخوردار شوید. برای خرید و جزئیات بیشتر، کلیک کنید.

همانطور که می بینید، هیچ یک از این هک های مدیریت رمز عبور آنقدر جدی نبودند. مطمئناً، آسیب‌پذیری‌ها آشکار شد، اما آنها نیز به موقع برطرف شدند. و در بیشتر موارد، مهاجم باید قبل از دسترسی به صندوق، اطلاعات بیشتری از کاربر دریافت کند یا به طور کامل از دستگاه او سبقت بگیرد. در نتیجه، هیچ یک از مسائل ذکر شده در بالا به اعتبار مدیران رمز عبور لطمه نمی زند.

آیا پسورد منیجر های پولی ایمن هستند؟

اکثر برنامه های مدیریت رمز عبور تجاری نسبت به موارد رایگان، بسیار ایمن تر هستند. مورد دوم اغلب دارای اشکال هستند، توسط شرکت های مخفی توسعه داده می شوند و گاهی اوقات حتی شامل بدافزار هستند. با این وجود، مدیریت رمز عبور رایگان با کیفیتی نیز وجود دارند که به اندازه سرویس های پولی، ایمن هستند. در واقع، اولی اغلب شامل یک نسخه رایگان است. بنابراین، بهتر است آنها را با هم مقایسه کنید و ببینید چه چیزی کم است.

معمولاً برنامه های مدیریت رمز عبور رایگان و پولی از military-grade encryption و zero-knowledge architecture استفاده می کنند. این بدان معنی است که هیچ راهی برای رمزگشایی پایگاه داده شما وجود ندارد، حتی اگر کسی به آن نفوذ کند. همچنین ارائه دهنده کلیدی برای باز کردن قفل داده های شما ندارد. به همین دلیل است که همه چیز به استفاده از رمز عبور اصلی مناسب، 2FA، و عاری از بدافزار نگه داشتن دستگاه های شما خلاصه می شود.

آیا پسورد منیجر های رایگان، ایمن هستند؟

امنیت افزوده شده به مدیریت رمز عبور پولی، به شکل یک سری ویژگی های اضافی است. که معمولاً در نسخه های رایگان حذف شده است که احتمال دارد برخی از آنها مربوط به مسائل امنیتی باشد.

علاوه بر این، سایر خدمات رایگان گزینه ای برای بررسی رمزهای عبور شما ندارند. در صورتی که قدمت خزانه شما به بیش از چند سال قبل می‌رسد، به احتمال زیاد برخی از رمزهای عبور شما به اندازه کافی قوی نیستند.

یک مدیر رمز عبور پولی، به طور مداوم دارک وب را بررسی می کند تا ببیند آیا یکی از حساب های شما لو رفته است یا خیر. که این ویژگی در هیچ یک از برنامه های مدیریت رمز عبور رایگان وجود ندارد.

آیا استفاده از پسورد منیجر برای کسب کار ایمن است؟

بله، قطعاً مدیریت رمز عبور برای کسب و کار شما ایمن و مفید است. در واقع، آنها نه تنها برای استفاده بی خطر هستند، بلکه ضروری نیز می باشند. اکثر موارد نقض اطلاعات در داخل شرکت ها به دلیل رمزهای عبور ضعیف و استفاده بیش از حد از یک رمزعبور برای اکانت های مختلف اتفاق می افتد.

مدیر رمز عبور برای کسب و کارها، نه تنها رمزهای عبور قوی ایجاد می کند، بلکه نقض داده ها را نیز شناسایی می کند و امکان اشتراک گذاری رمزهای عبور رمزگذاری شده را بین کارمندان فراهم می کند. علاوه بر این، برنامه های مدیریت گذرواژه در سطح تجاری مانند NordPass تنظیماتی را در سطح شرکت، ارائه می دهد. اینها به ادمین اجازه می‌دهد تا مرزهایی را برای اشتراک‌گذاری رمزهای عبور رمزگذاری‌شده در خارج از شرکت تعیین کند یا خیر.

با در نظر گرفتن همه اینها، مدیران رمز عبور به سازمان ها کمک می کنند تا از نشت عظیم داده ها و از دست دادن منابع مالی جلوگیری کنند.

آیا باید از پسورد منیجر استفاده کنیم؟

بله، باید از پسورد منیجر استفاده کنید. پسورد منیجر به شما این امکان را می دهد تا رمزهای عبور خود را بدون نیاز به حفظ آنها پیگیری کنید. برخی از مخازن رمز عبور همچنین می توانند رمزهای عبور را با یک کلیک برای شما ایجاد و تغییر دهند و همچنین انواع دیگر داده ها مانند اطلاعات کارت اعتباری را به صورت ایمن ذخیره کنند. همچنین یک مدیر رمز عبور، اشتراک گذاری داده های شما را با خانواده و دوستان ایمن تر می کند. این راه بسیار بهتر از نوشتن جزئیات ورود خود در ایمیل یا برخی از پیام رسان های رمزگذاری نشده است.

البته شما باید به شرکتی که تولید کننده برنامه مدیریت رمز عبورتان است، اعتماد کنید. با این حال، اکثر آنها شهرت بی عیب و نقصی دارند. همچنین، آنها نسبت به برخی برنامه های مشکوک یا افزونه های مرورگر که افراد بدون فکر زیاد نصب می کنند، بسیار کم خطر هستند.

البته، آنها ایرادات و آسیب پذیری های خود را دارند. اما در نهایت، این تنها مدیر رمز عبور نیست که از ارزشمندترین اطلاعات شما محافظت می کند. شما همچنین باید از یک آنتی ویروس اورجینال قابل اعتماد برای جلوگیری از آلوده شدن بدافزار دستگاه خود استفاده کنید. به روز نگه داشتن نرم افزار نیز از اهمیت کمی برخوردار نیست، درست مانند بررسی مجدد برنامه ها و برنامه های افزودنی که می خواهید نصب کنید.

با خرید آنتی ویروس کسپرسکی، از تهدیدات امنیتی آنلاین محافظت کنید و اطلاعات خود را محفوظ نگه دارید. برای کسب اطلاعات بیشتر و خرید کلیک کنید.

برای اطمینان از اورجینال بودن لایسنس آنتی ویروس و مناسب ترین قیمت ها، محصولات خود را از باما سافت خریداری نمایید.

آنتی ویروس های دارای پسورد منیجر:

لطفاً سؤالات و نظرات خود را در قسمت دیدگاه ها، باما در میان بگذارید.

Related posts:

تصویر شاخص ویروس، مالور، جاسوس افزارویروس، بدافزارها یا جاسوس افزار: کدام یک خطرناک تر است؟ تصویر باج افزار Ryuk چیستباج افزار ریوک (Ryuk)؛ تعریف، نحوه کارکرد، اهداف و راه های پیشگیری تصویر مهندسی اجتماعی (Social Engineering)مهندسی اجتماعی؛ تعریف، نحوه کارکرد، انواع، تاریخچه و نمونه مدیریت پاپ آپ در فایرفاکس -01آموزش مدیریت، مجاز و مسدود کردن پاپ‌آپ‌ ها در فایرفاکس شناسایی و پیدا کردن مدل و شماره سریال مادربرد رایانه خودچگونه مدل و شماره سریال مادربرد رایانه خود را پیدا کنیم؟