هشدار یک هکر در مورد خطرات استفاده مجدد از گذرواژه‌ها

هشدار یک هکر در مورد خطرات استفاده مجدد از گذرواژه‌ها

یک هکر جوان آمریکایی هفته گذشته از اردوگاه کار فدرال آزاد شد. وی بخاطر هک‌کردن سرورهای چندین شرکت و سرقت پایگاه‌داده‌های کاربران مجبور به 17 ماه خدمت اجباری شد. در طی فعالیت وی، سوابق میلیون‌ها کاربر از شرکت‌های مختلف به‌سرقت رفت.

سالها بود که این هکر و شرکایش از طریق هویت‌نامه‌های سرقت‌شده سایر شرکت‌ها برای نفوذ به حساب‌های سودآور در سایر سرویس‌ها فعالیت می‌کردند.

در مورد کاربرانی که از گذرواژه‌های تکراری استفاده می‌کردند، این هکر می‌توانست با بررسی سایر حساب‌های آنها به صندوق‌های ایمیل و حساب‌های فیسبوک، توییتر و MySpace آنها دسترسی پیدا کند و از طریق ارسال هرزنامه از طرف این قربانیان، به تبلیغ محصولات و خدمات بپردازد.

از سال 2010 تا 2014، این هکر و همکارانش با استفاده از این روش ساده، یک کمپین ارسال هرزنامه موفقیت‌آمیز را راه‌اندازی کرده و بیش از 1.4 میلیارد دلار سود کسب کردند و زندگی تجملاتی و پرزرق و برقی را تجربه کردند.

سرانجام مقامات این هکر را در سال 2014 دستگیر کردند. وی به مدت چندین‌سال مخفیانه با مقامات حکومتی همکاری کرد تا اینکه سال گذشته همکاری وی با مقامات فاش شد و در تشکیلات محرمانه جرایم رایانه‌ای مورد محاکمه قرار گرفت.

حرفه هکر کلاه‌سفید

این هکر که به تازگی از زندان آزاد شده است، دیگر علاقه‌ای به نقض قانون ندارد و قصد دارد با ادامه تحصیل، کار خود را در زمینه امنیت سایبری آغاز کند. وی عقیده دارد که چندین شکاف امنیتی در اینترنت وجود دارد که باید آنها را مسدود نماید. 

توصیه‌های امنیتی هکر به کاربران

هکر مذکور با توجه به تجربیات خود، توصیه‌هایی را با افرادی که در گذشته آنها را هک کرده بود -یعنی کاربران عادی- در میان گذاشت.

پرهیز از گذرواژه‌های تکراری و فعال کردن احراز هویت دوعاملی

وی از کاربران خواست، استفاده مجدد از گذرواژه‌ها را متوقف کنند و احرازهویت دوعاملی را فعال نمایند. زمانی که این هکر مشغول فعالیتهای خرابکارانه‌اش بود اگر کسی این توصیه را به کاربران می‌کرد، قطعا وی در آن روزها به موفقیت کمتری می‌رسید.

هنگامی که وی مشغول سواستفاده از حساب کاربران بود، هنوز این مسئله عادی بود که کاربران از گذرواژه‌های قدیمی و تکراری استفاده کنند.

از آن زمان، میلیاردها هویت‌نامه در اینترنت و در دسترس عموم قرار گرفته‌اند و هکرهایی از سراسر جهان به آنها دسترسی دارند. بیشتر هکرها به سرویس‌هایی دسترسی دارند که سوابق سازماندهی شده متعلق به هر کاربر را به‌فروش می‌رساند و تمامی گذرواژه‌هایی را که ممکن است در گذشته از آن استفاده کرده باشند را نشان می‌دهد. این مسئله هر شخصی را که مجددا از گذرواژه‌های قدیمی برای حساب‌های کاربری خود استفاده کند را در معرض خطر قرار می‌دهد.

استفاده مجدد از هویت‌نامه‌هایی که برای ورود به سیستم استفاده می‌شود بزرگترین عیب امنیتی است که امروزه با آن مواجه هستیم.

فقط کافی است یک کارمند از گذرواژه تکراری استفاده کند تا هکر بتواند به هرآنچه که دنبالش است و می‌خواهد هک کند دسترسی داشته باشد.

تغییر الگوی ایجاد گذرواژه جدید

نه‌تنها استفاده مجدد از گذرواژه‌های قدیمی برای ورود به یک سیستم، آسیب‌پذیری بزرگی محسوب می‌شود، بلکه استفاده از همان الگوی گذرواژه نیز یک اشتباه بزرگ است. به عنوان مثال اگر بگویید هویت‌نامه‌های شما برای ورود به سیستم در هر پایگاه‌داده‌ایی متفاوت است مثلا گذرواژه شما برای گوگل KyleGm1! و در توییتر KyleTw1! است. با این اطلاعات بدست آمده هکرها متوجه می‌شوند که به احتمال زیاد گذرواژه شما برای ورود به فیسبوک KyleFb1! است.

اکنون که میلیاردها پرونده از هزاران وبسایت به بیرون درز کرده است، در نتیجه امکان نفوذ به هرشرکت یا وبسایتی نیز آسانتر شده است.

احراز هویت دوعاملی

استفاده مجدد از گذرواژه‌های قدیمی با آموزش‌های مناسب قابل اصلاح است اما یک ویژگی امنیتی نیز وجود دارد که زندگی هکرها را به جهنم تبدیل کرده است.

"تنها چیزی که از آن تنفر داشتم احرازهویت دو‌عاملی بود بخصوص تایید از طریق پیام‌کوتاه. که فکر می‌کنم سه شرکت بزرگ ارائه‌دهنده ایمیل یعنی مایکروسافت، یاهو و گوگل این ویژگی را بخاطر من به حساب‌هایشان اضافه کرده‌اند. من وارد حساب ایمیل میلیون‌ها نفر شدم و هرزنامه‌های ارسالی از جانب من باعث ایجاد آشفتگی شد."

البته بعید به‌نظر می‌رسد که این شرکت‌ها بخاطر وجود این هکر پشتیبانی از احرازهویت دو‌عاملی را اضافه کرده باشند، ولی یک مورد کاملا صحیح است که هم گوگل و هم مایکروسافت خواهان استفاده از احراز هویت دوعاملی هستند و استفاده از آنرا به‌طور مداوم به کاربران خود توصیه می‌کنند.

گوگل اعلام کرده است کاربرانی که شماره‌ تلفن بازیابی را به حساب‌های کاربری خود اضافه کرده‌اند و بطور غیرمستقیم احرازهویت دوعاملی مبتنی بر پیامک را نیز فعال کرده‌اند، امنیت حساب خود را افزایش داده‌اند.

تحقیقات گوگل نشان می‌دهد اضافه‌کردن یک شماره‌تلفن بازیابی به حساب گوگل می‌تواند تا 100درصد از حملات اتوماتیک، 99درصد از حملات گسترده فیشینگ و 66 درصد از حملات هدفمند را مسدود ‌کند.

در ماه گذشته مایکروسافت اعلام کرد که  استفاده از روش احرازهویت چندعاملی منجر به مسدودسازی 99.9 درصد از حملات هک روی پلتفرم‌های مایکروسافت شده است.

درباره آریس

آریس خدمات خود را در زمینه‌های مشاوره، طراحی و راه‌اندازی مراکز داده، تولید محصولات نرم‌افزاری مبتنی بر تکنولوژی‌های متن‌باز و مشاوره نرم‌افزار به مشتریان خود عرضه می‌دارد. امروزه شرکت آریس ارایه دهنده محصولات و خدمات مختلفی است و مشتریان آن را سازمان‌ها و شرکت‌های بزرگ و کوچک تشکیل می‌دهند. 

ارتباط با آریس

 تهران، یوسف آباد، بالاتر از میدان سلماس، خیابان۱۰/۱، پلاک ۵۰، واحد ۳

کد پستی ۱۴۱۳۷۶۳۱۶۵

  ۸۸۰۲۴۶۸۰ (۰۲۱)

  info@arissystem.com