هکرها و رمزهای عبور: یک راهنما در زمینه نقض حریم اطلاعات
وقتی یک کمپانی به شما اعلام میکند که اطلاعاتتان دزدیده شده، فقط یک اطلاعرسانی ساده نیست، اطلاعات شما واقعا دزدیده شده و امکان سوءاستفاده از آنها برای سارقان یا دولتهای دیگر فراهم شده است.
فکر کنید یک شرکت که اطلاعات شخصی شما را در اختیار دارد به شما میگوید اطلاعات شخصیتان دزدیده شده است. حال اگر این شرکت یاهو و اعلامکنندهی خبر، بخش مدیریت کارمندان ایالات متحده باشد وضعیت نگرانکننده میشود. در صورتی که اشتراک یاهو شما هم جزو اطلاعات به سرقت رفته باشد، یاهو برای شما ایمیلی میفرستد که برخی از اصطلاحات فنی و حقوقی در آن درج شده است. البته برای آگاهی از این اصطلاحات قانونی و فنی، نیاز نیست قانونشناس یا متخصص علوم کامپیوتر باشید.
رمزنگاری، هش (نامفهوم نمایش دادن اطلاعات)، هیچ کدام یا هر دو؟
شرکتی که اطلاعات شما از آنجا به سرقت رفته است، معمولا درباره اینکه چطور اطلاعات خصوصی شما را قبل از دزدیده شدن توسط هکرها نگهداری میکرده به شما اطلاعاتی میدهد.
در این اطلاعیهها تعدادی از کلمات و عبارتهای تخصصی دیده میشوند که بسیاری از مردم با این عبارتها و مفاهیمشان آشنایی ندارند. با توضیحاتی که به شما میدهیم مفهوم عبارتهای تخصصی را بیشتر متوجه خواهید شد.
Plain Text: اگر اطلاعات شما در حالت Plain Text دزدیده شود، اتفاق بدی افتاده است. به این معنا که این اطلاعات توسط هر شخصی که سواد خواندن داشته باشد قابل خواندن است! این بدترین اتفاقی است که میتواند برای اطلاعات شما رخ دهد. اگر رمز عبورتان OhMyGod باشد، دقیقا همین رمز به دست سارقان اطلاعات میافتد و کل اطلاعات شما به دست سارقان اطلاعات و دولتهای بیگانه میافتد. برای جلوگیری از این اتفاق، بسیاری از وبسایتها رمزهای عبور شما را بهصورت رمز شده و غیرقابل خواندن توسط دیگران در سیستم خود ذخیره میکنند.
Encrypted: وقتی که توسط یک ارتباط محافظتشده وارد یک وبسایت میشوید، اطلاعات نام کاربری و رمز عبور شما رمزگذاری یا درهم تنیده میشوند. در این وضعیت هیچ شخصی، حتی با شنود و بررسی ارتباطتان با وبسایت مورد نظر امکان دسترسی به رمز عبور و دیگر اطلاعاتتان را نخواهد داشت. رمزگذاری یک فرایند بازگشتپذیر است. اطلاعات شما قبل از ارسال به سرور وبسایت، رمزگذاری میشوند. اطلاعات شما پس از دریافت در وبسایت مقصد از حالت رمزگذاری شده توسط فرایند رمزگشایی خارج میشوند و برای تأیید هویتتان مورد استفاده قرار میگیرند. به کل این فرایند، رمزنگاری اطلاعات میگویند. وبسایتهایی که ابتدای آدرس آنها Https است از این فرایند استفاده میکنند.
Hashed: بعضی وقتها شرکتها اعلام میکنند که اطلاعات شما به شکل هش شده (hashed) نگهداری میشده است. فرآیند هش کردن یا درهم سازی اطلاعات، رمزهای عبور شمارا در هر تعداد کاراکتری که باشند، به یک سری کاراکتر ترکیبشده از اعداد و حروف با تعداد ثابت تبدیل میکند. هش کردن، الگوریتمهای متفاوتی دارد که مشهورترین آنها الگوریتم MD5 است.
بهطور مثال عبارت zoomit.ir در حالت هش کردن در MD5 به این عبارت تبدیل میشود: 2d74e731f1116d72e97b246af6052f20 و همینطور عبارت طولانیتر Salam Doostane azizam در هش کردن با الگوریتم MD5 به عبارت: d7002effcc4ff723f2d3bf0caf7af02e تبدیل میشود.
فرایند درهم سازی اطلاعات (هش کردن) بهصورت یک فرایند برگشتپذیر طراحی نشده است. به این معنا که در حالت عادی نمیتوان از روی کاراکترهای هش شده، عبارت اصلی قبل از درهم سازی را متوجه شد. وبسایتها معمولا از روش هش کردن برای ذخیره رمزهای عبور شما بهصورت هش (درهم سازی) شده بهجای رمز عبور اصلی در حالت Plain Text استفاده میکنند. هنگامی که رمز عبور خود را برای ورود به اشتراکتان در آن وبسایت مینویسید، وبسایت مجددا گذرواژه نوشتهشده توسط شما را هش میکند و با رمز عبوری که قبلا از شما دریافت و بهصورت هش شده ذخیره کرده است، مقایسه میکند. بعد از مقایسه کاراکتر به کاراکتر هر دو عبارت، در صورت صحیح بودن رمز به شما اجازه دسترسی به اشتراک میدهد.
Salted و peppered: بهطور معمول، گذرواژهها علاوه بر هش شدن، طی یک فرایند salted و گاهی اوقات peppered میشوند. اگر بخواهیم از فاز آشپزی و انواع چیپس بیرون بیاییم، اینطور باید گفت که مفهوم salted کردن دادهها یک فرایند ریاضی است که رشتههای تصادفی و غیر قابل پیشبینی بیشتری را به گذرواژه هش شده اضافه میکند.
در فرایند peppered کردن دادهها یک سری کاراکتر متشکل از حروف، اعداد و علائم (مثل *^$) به انتهای گذرواژه هش شدهی salted شده اضافه میشود. salted و peppered کردن عبارتهای هش شده، کار را برای دزدان اطلاعات جهت حدس زدن رمز عبور شما بسیار سختتر میکند. دزدها با استفاده از ابزارهایی که عبارتهای اصلی قبل از هش شدن را بهصورت شانسی امتحان میکنند، در تلاش هستند تا رمزهای شما را پیدا کنند.
الگوریتم MD5: این الگوریتم همانگونه که اشاره کردیم یکی از راهکارهای هش کردن و درهم سازی اطلاعات است، اما جزو بهترین آنها نیست و از سال ۲۰۰۴ محققان تلاش کردند تا راهکارهایی برای شکستن این الگوریتم پیدا کنند. برای امنیت بیشتر اطلاعات در روش درهم سازی، آژانس امنیت ملی امریکا (NSA) دو الگوریتم SHA و SHA1 و همینطور الگوریتمهای سری SHA را ارائه کرد. این الگوریتمها بهمراتب امنیت بالاتری نسبت به MD5 ارائه میدهند.
سال ۲۰۱۳ که مشخصات یک میلیارد اشتراک کاربری یاهو دزدیده شد، اطلاعات اشتراکها توسط الگوریتم MD5 درهم سازی شده بود. الگوریتمهای متفاوتی از SHA-2 تا SHA256 بهتازگی توسعه داده شدهاند. وقتی که در سال ۲۰۱۴ مجددا اطلاعات کاربران یاهو دزدیده شد، این بار یاهو از یک الگوریتم درهم سازی دیگری استفاده کرد که Bcrypt نام دارد.
عبارت Bcrypt: الگوریتم Bcrypt یکی دیگر از الگوریتمهای هش کردن اطلاعات است. این الگوریتم راهکارهای متفاوتی نسبت به الگوریتمهای MD5 و خانواده SHA در پیش میگیرد. به این معنا که در برابر راههای شکستن الگوریتمهای هش و تبدیل عبارتهای هش شده به گذرواژه اصلی افراد مقاوم است. الگوریتم Bcrypt نیازی به salted و peppered کردن عبارت هش شده ندارد و بهخوبی از رمز عبور شما محافظت میکند. اما اگر شما رمز عبور خودتان را بسیار سست، آسان و قابل حدس زدن تعیین کرده باشید (عبارتهای ۱۲۳۵۴۵۶ و qwe123 را به یاد بیاورید) آنگاه حتی الگوریتم Bcrypt هم برای محافظت از اطلاعات شما کار سختی در پیش دارد و مقاومت کمتری خواهد داشت.
مفاهیمی که شرکتها دربارهی نگهداری از اطلاعاتتان میگویند
در اطلاعیههایی که توسط شرکتهای نگهدارنده اطلاعات شخصیتان، برای شما فرستاده میشوند، عبارتهایی حقوقی دیده میشود. این عبارتها ممکن است مقداری گنگ و نامفهوم باشند. ممکن است واقعا ندانید چرا شرکت در اطلاعیهاش این موارد را به شما میگوید. بعضی از عبارتهای پرکاربردی که شرکتها و وکلایشان به شما میگویند را بررسی میکنیم:
دزدیده نشدن اطلاعات کارتهای اعتباری یا مرتبط با مراقبتهای سلامتی شما: وقتی با استرس نامهای را که در مورد دزدیده شدن اطلاعات شما برایتان فرستاده شده است میخوانید، خواندن این عبارت میتواند برای شما مقداری آرامشبخش باشد. اما بعضی وقتها افراد علاوه بر مشخصات مالی و سلامتی خودشان، اطلاعات مهم دیگری هم دارند. اطلاعاتی نظیر عضویت در برخی وبسایتها و سرویسهای متفاوت که ممکن است افشای برخی از این موارد برای افراد واقعا دردسرساز شود.
دزدان تحت حمایت دولتها: یاهو باور دارد که اطلاعات حدود ۵۰۰ میلیون کاربر در سال ۲۰۱۴ توسط افراد تحت حمایت دولتهای خارجی دزدیده شده است. به این معنا که یاهو عقیده دارد یک دولت بیگانه افراد باتجربهای را برای سرقت اطلاعات ارزشمند از یاهو استخدام کرده است. شرکتهای مختلف بر اساس شواهد پشت پرده و اطلاعاتی که مراجع قانونی و قضایی در اختیارشان قرار میدهند، این ارزیابیها را ارائه میکنند.
وقتی صحبت از هکرهای تحت حمایت دولتهای خارجی مطرح میشود، واقعا حمله تخصصی و کاملا پیچیدهای شکل گرفته است. اما این وضعیت به معنای این نیست که شرکت در برابر تهدیدات و خطرات هکرهایی که پشتوانه دولتی ندارند، مقاوم است؛ هکرهایی که حملات با پیچیدگی کمتری انجام میدهند و بیشتر انگیزههایی شخصی یا مالی دارند. حتی هکرهای قدرتمند تحت حمایت دولتهای خارجی هم زمانی میتوانند اطلاعات ۵۰۰ میلیون مشترک یاهو را بدزدند که امنیت و حفاظت از اطلاعات کاربران در این شرکت ضعیف و با سهل انگاری همراه باشد.
ارزش قائل شدن شرکتها برای اطلاعات حریم خصوصی شما: شرکتها در این اطلاعیهها اعلام میکنند برای حریم خصوصی و اطلاعات شخصی شما ارزش و احترام قائل هستند. بعضی وقتها دزدیده شدن یک سری از اطلاعات برای افراد متفاوت اهمیت بیشتری پیدا میکند. اما شرکتها وقتی اطلاعیهای در مورد دزدیده شدن اطلاعات شما منتشر میکنند، به اینکه این اتفاق چقدر بد است توجهی نشان نمیدهند. یک راه خوب برای اینکه بدانید این شرکت چقدر در مورد ادعای خود صداقت دارد، این است که از خودتان بپرسید این ادعا چقدر با شدت هک شدن و لو رفتن اطلاعات ارزشمند شما تناسب دارد ؟
نظرات