هکرها و رمزهای عبور: یک راهنما در زمینه نقض حریم اطلاعات

وقتی یک کمپانی به شما اعلام می‌کند که اطلاعاتتان دزدیده شده‌، فقط یک اطلاع‌رسانی ساده نیست، اطلاعات شما واقعا دزدیده شده‌ و امکان سوءاستفاده از آن‌ها برای سارقان یا دولت‌های دیگر فراهم شده است.

فکر کنید یک شرکت که اطلاعات شخصی‌ شما را در اختیار دارد به شما می‌گوید اطلاعات شخصی‌تان دزدیده شده‌ است. حال اگر این شرکت یاهو و اعلام‌کننده‌ی خبر، بخش مدیریت کارمندان ایالات متحده باشد وضعیت نگران‌کننده می‌شود. در صورتی که اشتراک یاهو شما هم جزو اطلاعات به سرقت رفته باشد، یاهو برای شما ایمیلی می‌فرستد که برخی از اصطلاحات فنی و حقوقی در آن درج شده است. البته برای آگاهی از این اصطلاحات قانونی و فنی، نیاز نیست قانون‌شناس یا متخصص علوم کامپیوتر باشید.

شرکتی که اطلاعات شما از آنجا به سرقت رفته است، معمولا درباره اینکه چطور اطلاعات خصوصی شما را قبل از دزدیده شدن توسط هکرها نگهداری می‌کرده به شما اطلاعاتی می‌دهد.

در این اطلاعیه‌ها تعدادی از کلمات و عبارت‌های تخصصی دیده می‌شوند که بسیاری از مردم با این عبارت‌ها و مفاهیمشان آشنایی ندارند. با توضیحاتی که به شما می‌دهیم مفهوم عبارت‌های تخصصی را بیشتر متوجه خواهید شد.

Plain Text: اگر اطلاعات شما در حالت Plain Text دزدیده شود، اتفاق بدی افتاده است. به این معنا که این اطلاعات توسط هر شخصی که سواد خواندن داشته باشد قابل خواندن است! این بدترین اتفاقی است که می‌تواند برای اطلاعات شما رخ دهد. اگر رمز عبورتان OhMyGod باشد، دقیقا همین رمز به دست سارقان اطلاعات می‌افتد و کل اطلاعات شما به‌ دست سارقان اطلاعات و دولت‌های بیگانه می‌افتد. برای جلوگیری از این اتفاق، بسیاری از وب‌سایت‌ها رمزهای عبور شما را به‌صورت رمز شده و غیرقابل خواندن توسط دیگران در سیستم خود ذخیره می‌کنند.

Encrypted: وقتی که توسط یک ارتباط محافظت‌شده وارد یک وب‌سایت می‌شوید، اطلاعات نام کاربری و رمز عبور شما رمزگذاری یا درهم تنیده می‌شوند. در این وضعیت هیچ شخصی، حتی با شنود و بررسی ارتباطتان با وب‌سایت مورد نظر امکان دسترسی به رمز عبور و دیگر اطلاعاتتان را نخواهد داشت. رمزگذاری یک فرایند بازگشت‌پذیر است. اطلاعات شما قبل از ارسال به سرور وب‌سایت، رمزگذاری می‌شوند. اطلاعات شما پس از دریافت در وب‌سایت مقصد از حالت رمزگذاری شده توسط فرایند رمزگشایی خارج می‌شوند و برای تأیید هویتتان مورد استفاده قرار می‌گیرند. به کل این فرایند، رمزنگاری اطلاعات می‌گویند. وب‌سایت‌هایی که ابتدای آدرس آن‌ها Https است از این فرایند استفاده می‌کنند.

Hashed: بعضی وقت‌ها شرکت‌ها اعلام می‌کنند که اطلاعات شما به شکل هش شده (hashed) نگهداری می‌شده است. فرآیند هش کردن یا درهم سازی اطلاعات، رمز‌های عبور شمارا در هر تعداد کاراکتری که باشند، به یک سری کاراکتر ترکیب‌شده از اعداد و حروف با تعداد ثابت تبدیل می‌کند. هش کردن، الگوریتم‌های متفاوتی دارد که مشهورترین آن‌ها الگوریتم MD5 است.

به‌طور مثال عبارت zoomit.ir در حالت هش کردن در MD5 به این عبارت تبدیل می‌شود: 2d74e731f1116d72e97b246af6052f20 و همین‌طور عبارت طولانی‌تر Salam Doostane azizam در هش کردن با الگوریتم MD5 به عبارت: d7002effcc4ff723f2d3bf0caf7af02e تبدیل می‌شود.

فرایند درهم سازی اطلاعات (هش کردن) به‌صورت یک فرایند برگشت‌پذیر طراحی نشده است. به این معنا که در حالت عادی نمی‌توان از روی کاراکترهای هش شده، عبارت اصلی قبل از درهم سازی را متوجه شد. وب‌سایت‌ها معمولا از روش هش کردن برای ذخیره رمزهای عبور شما به‌صورت هش (درهم سازی) شده به‌جای رمز عبور اصلی در حالت Plain Text استفاده می‌کنند. هنگامی که رمز عبور خود را برای ورود به اشتراکتان در آن وب‌سایت می‌نویسید، وب‌سایت مجددا گذرواژه نوشته‌شده توسط شما را هش می‌کند و با رمز عبوری که قبلا از شما دریافت و به‌صورت هش شده ذخیره کرده است، مقایسه می‌کند. بعد از مقایسه کاراکتر به  کاراکتر هر دو عبارت، در صورت صحیح بودن رمز به شما اجازه دسترسی به اشتراک می‌دهد.

Salted و peppered: به‌طور معمول، گذرواژه‌ها علاوه بر هش شدن، طی یک فرایند salted و گاهی اوقات peppered می‌شوند. اگر بخواهیم از فاز آشپزی و انواع چیپس بیرون بیاییم، این‌طور باید گفت که مفهوم salted کردن داده‌ها یک فرایند ریاضی است که رشته‌های تصادفی و غیر قابل پیش‌بینی بیشتری را به گذرواژه هش شده اضافه می‌کند.

در فرایند peppered کردن داده‌ها یک سری کاراکتر متشکل از حروف، اعداد و علائم (مثل *^$) به انتهای گذرواژه هش شده‌ی salted شده اضافه می‌شود. salted و peppered کردن عبارت‌های هش شده، کار را برای دزدان اطلاعات جهت حدس زدن رمز عبور شما بسیار سخت‌تر می‌کند. دزدها با استفاده از ابزارهایی که عبارت‌های اصلی قبل از هش شدن را به‌صورت شانسی امتحان می‌کنند، در تلاش هستند تا رمزهای شما را پیدا کنند.

 الگوریتم MD5: این الگوریتم همان‌گونه که اشاره کردیم یکی از راهکارهای هش کردن و درهم سازی اطلاعات است، اما جزو بهترین آن‌ها نیست و از سال ۲۰۰۴ محققان تلاش کردند تا راهکارهایی برای شکستن این الگوریتم پیدا کنند. برای امنیت بیشتر اطلاعات در روش درهم سازی، آژانس امنیت ملی امریکا (NSA) دو الگوریتم SHA و SHA1 و همین‌طور الگوریتم‌های سری SHA را ارائه کرد. این الگوریتم‌ها به‌مراتب امنیت بالاتری نسبت به MD5 ارائه می‌دهند.

سال ۲۰۱۳ که مشخصات یک میلیارد اشتراک کاربری یاهو دزدیده شد، اطلاعات اشتراک‌ها توسط الگوریتم MD5 درهم سازی شده بود. الگوریتم‌های متفاوتی از SHA-2 تا SHA256 به‌تازگی توسعه داده شده‌اند. وقتی که در سال ۲۰۱۴ مجددا اطلاعات کاربران یاهو دزدیده شد، این بار یاهو از یک الگوریتم درهم سازی دیگری استفاده کرد که Bcrypt نام دارد.

عبارت Bcrypt: الگوریتم Bcrypt یکی دیگر از الگوریتم‌های هش کردن اطلاعات است. این الگوریتم راهکارهای متفاوتی نسبت به الگوریتم‌های MD5 و خانواده SHA در پیش می‌گیرد. به این معنا که در برابر راه‌های شکستن الگوریتم‌های هش و تبدیل عبارت‌های هش شده به گذرواژه اصلی افراد مقاوم است. الگوریتم Bcrypt نیازی به salted و peppered کردن عبارت هش شده ندارد و به‌خوبی از رمز عبور شما محافظت می‌کند. اما اگر شما رمز عبور خودتان را بسیار سست، آسان و قابل حدس زدن تعیین کرده باشید (عبارت‌های ۱۲۳۵۴۵۶ و qwe123 را به یاد بیاورید) آنگاه حتی الگوریتم Bcrypt هم برای محافظت از اطلاعات شما کار سختی در پیش دارد و مقاومت کمتری خواهد داشت.

در اطلاعیه‌هایی که توسط شرکت‌های نگه‌دارنده اطلاعات شخصی‌تان، برای شما فرستاده می‌شوند، عبارت‌هایی حقوقی دیده می‌شود. این عبارت‌ها ممکن است مقداری گنگ و نامفهوم باشند. ممکن است واقعا ندانید چرا شرکت در اطلاعیه‌اش این موارد را به شما می‌گوید. بعضی از عبارت‌های پرکاربردی که شرکت‌ها و وکلایشان به شما می‌گویند را بررسی می‌کنیم:

دزدیده نشدن اطلاعات کارت‌های اعتباری یا مرتبط با مراقبت‌های سلامتی شما: وقتی با استرس نامه‌ای را که در مورد دزدیده شدن اطلاعات شما برایتان فرستاده شده است می‌خوانید، خواندن این عبارت می‌تواند برای شما مقداری آرامش‌بخش باشد. اما بعضی وقت‌ها افراد علاوه بر مشخصات مالی و سلامتی خودشان، اطلاعات مهم دیگری هم دارند. اطلاعاتی نظیر عضویت در برخی وب‌سایت‌ها و سرویس‌های متفاوت که ممکن است افشای برخی از این موارد برای افراد واقعا دردسرساز ‌شود.

دزدان تحت حمایت دولت‌ها: یاهو باور دارد که اطلاعات حدود ۵۰۰ میلیون کاربر در سال ۲۰۱۴ توسط افراد تحت حمایت دولت‌های خارجی دزدیده شده است. به این معنا که یاهو عقیده دارد یک دولت بیگانه افراد باتجربه‌ای را برای سرقت اطلاعات ارزشمند از یاهو استخدام کرده است. شرکت‌های مختلف بر اساس شواهد پشت پرده و اطلاعاتی که مراجع قانونی و قضایی در اختیارشان قرار می‌دهند، این ارزیابی‌ها را ارائه می‌کنند.

وقتی صحبت از هکرهای تحت حمایت دولت‌های خارجی مطرح می‌شود، واقعا حمله تخصصی و کاملا پیچیده‌ای شکل گرفته است. اما این وضعیت به معنای این نیست که شرکت در برابر تهدیدات و خطرات هکرهایی که پشتوانه دولتی ندارند، مقاوم است؛ هکرهایی که حملات با پیچیدگی کمتری انجام می‌دهند و بیشتر انگیزه‌هایی شخصی یا مالی دارند. حتی هکرهای قدرتمند تحت حمایت دولت‌های خارجی هم زمانی می‌توانند اطلاعات ۵۰۰ میلیون مشترک یاهو را بدزدند که امنیت و حفاظت از اطلاعات کاربران در این شرکت ضعیف و با سهل انگاری همراه باشد.

ارزش قائل شدن شرکت‌ها برای اطلاعات حریم خصوصی شما: شرکت‌ها در این اطلاعیه‌ها اعلام می‌کنند برای حریم خصوصی و اطلاعات شخصی شما ارزش و احترام قائل هستند. بعضی وقت‌ها دزدیده شدن یک سری از اطلاعات برای افراد متفاوت اهمیت بیشتری پیدا می‌کند. اما شرکت‌ها وقتی اطلاعیه‌ای در مورد دزدیده شدن اطلاعات شما منتشر می‌کنند، به اینکه این اتفاق چقدر بد است توجهی نشان نمی‌دهند. یک راه خوب برای این‌که بدانید این شرکت چقدر در مورد ادعای خود صداقت دارد، این است که از خودتان بپرسید این ادعا چقدر با شدت هک شدن و لو رفتن اطلاعات ارزشمند شما تناسب دارد ؟