هکرها و رمزهای عبور: یک راهنما در زمینه نقض حریم اطلاعات

گروه IT: وقتی یک کمپانی به شما اعلام می‌کند که اطلاعاتتان دزدیده شده‌، فقط یک اطلاع رسانی ساده نیست، اطلاعات شما واقعا دزدیده شده‌ و امکان سواستفاده از آن‌ها برای سارقان یا دولت‌های دیگر فراهم شده است.

به گزارش بولتن نیوز،فکر کنید یک شرکت که اطلاعات شخصی‌تان را در اختیار دارد به شما می‌گوید اطلاعات شخصی‌تان دزدیده شده‌ است. حال اگر این شرکت یاهو و اعلام کننده‌ی خبر، بخش مدیریت کارمندان ایالات متحده باشد وضعیت نگران‌کننده می‌شود. در صورتی که اشتراک یاهو شما هم جزو اطلاعات به سرقت رفته باشد، یاهو برای شما ایمیلی می‌فرستد که برخی از اصطلاحات فنی و حقوقی در آن درج شده است. البته برای آگاهی از این اصطلاحات قانونی و فنی، نیاز نیست، قانون شناس یا متخصص علوم کامپیوتر باشید.

رمزنگاری، هش (نامفهوم نمایش دادن اطلاعات)، هیچ کدام یا هر دو؟

شرکتی که اطلاعات شما از آنجا به سرقت رفته است، معمولا درباره اینکه چطور اطلاعات خصوصی شما را قبل از دزدیده شدن توسط هکرها نگهداری می‌کرده به شما اطلاعاتی می‌دهد.

در این اطلاعیه‌ها تعدادی از کلمات و عبارت‌های تخصصی دیده می‌شوند که بسیاری از مردم با این عبارت‌ها و مفاهیم‌شان آشنایی ندارند. با توضیحاتی که به شما می‌دهیم مفهوم عبارت‌های تخصصی را بیشتر متوجه خواهید شد.

Plain Text: اگر اطلاعات شما در حالت Plain Text دزدیده شود، اتفاق بدی افتاده است. به این معنا که این اطلاعات توسط هر شخصی که سواد خواندن داشته باشد قابل خواندن است! این بدترین اتفاقی است که می‌تواند برای اطلاعات شما رخ دهد. اگر رمز عبورتان OhMyGod باشد دقیقا همین رمز به دست سارقان اطلاعات می‌افتد و کل اطلاعات شما در ایده‌آل‌ترین حالت به‌ دست سارقان و دولت‌های بیگانه می‌افتد. برای جلوگیری از این اتفاق، بسیاری از وبسایت‌ها رمزهای عبور شما را به صورت رمز شده و غیرقابل خواندن توسط دیگران در سیستم خود ذخیره می‌کنند.

Encrypted : وقتی که توسط یک ارتباط محافظت شده وارد یک وبسایت می‌شوید، اطلاعات نام کاربری و رمز عبور شما رمزگذاری یا درهم تنیده می‌شوند. در این وضعیت هیچ شخصی حتی با شنود و بررسی ارتباط‌تان با وبسایت مورد نظر امکان دسترسی به رمز عبور و دیگر اطلاعات‌تان را نخواهد داشت. رمز گذاری یک فرایند بازگشت‌پذیر است. اطلاعات شما قبل از ارسال به سرور وبسایت، رمز گذاری می‌شوند. اطلاعات شما پس از دریافت در وب سایت مقصد از حالت رمزگذاری شده توسط فرایند رمزگشایی خارج می‌شوند و برای تایید هویت‌تان مورد استفاده قرار می‌گیرند. به کل این فرایند، رمزنگاری اطلاعات می‌گویند. وبسایت‌هایی که ابتدای آدرس آن‌ها Https است از این فرایند استفاده می‌کنند.

Hashed : بعضی وقت‌ها شرکت‌ها اعلام می‌کنند که اطلاعات شما به شکل هش شده (hashed) نگهداری می‌شده است. فرآیند هش کردن یا درهم سازی اطلاعات، رمز‌های عبور شما در هر تعداد کاراکتری که باشند را به یک سری کاراکتر ترکیب شده از اعداد و حروف با تعداد ثابت تبدیل می‌کند. هش کردن، الگوریتم‌های متفاوتی دارد که مشهورترین آن‌ها الگوریتم MD5 است.

به طور مثال عبارت در حالت هش کردن در MD5 به این عبارت تبدیل می‌شود: 2d74e731f1116d72e97b246af6052f20 و همینطور عبارت طولانی‌تر Salam Doostane azizam در هش کردن با الگوریتم MD5 به عبارت: d7002effcc4ff723f2d3bf0caf7af02e تبدیل می‌شود.

فرایند درهم سازی اطلاعات (هش کردن) به صورت یک فرایند برگشت‌پذیر طراحی نشده است. به این معنا که در حالت عادی نمی‌توان از روی کاراکترهای هش شده، عبارت اصلی قبل از درهم سازی را متوجه شد. وب سایت‌ها معمولا از روش هش کردن برای ذخیره رمزهای عبور شما بصورت هش (درهم سازی) شده به جای رمز عبور اصلی در حالت Plain Text استفاده می‌کنند. هنگامی که رمز عبور خودتان را برای ورود به اشتراکتان در آن وبسایت می‌نویسید، وب سایت مجددا گذرواژه نوشته شده توسط شما را هش می‌کند و با رمز عبوری که قبلا از شما دریافت کرده و به صورت هش شده ذخیره کرده است، مقایسه می‌کند. بعد از مقایسه کاراکتر به کاراکتر هر دو عبارت در صورت صحیح بودن رمز به شما اجازه دسترسی به اشتراک را می‌دهد.

Salted و peppered : به طور معمول، گذرواژه‌ها علاوه بر اینکه هش می‌شوند طی یک فرایند salted می‌شوند و گاهی اوقات peppered می‌شوند. اگر بخواهیم از فاز آشپزی و انواع چیپس بیرون بیاییم، این طور باید گفت که مفهوم salted کردن داده‌ها یک فرایند ریاضی است که رشته‌های تصادفی و غیر قابل پیش‌بینی بیشتری را به گذرواژه هش شده اضافه می‌کند.

در فرایند peppered کردن داده‌ها یک سری کاراکتر متشکل از حروف، اعداد و علائم ( مثل *^$) به انتهای گذرواژه هش شده‌ی salted شده اضافه می‌شود. salted و peppered کردن عبارت‌های هش شده کار را برای دزدان اطلاعات جهت حدس زدن رمز عبور شما بسیار سخت‌تر می‌کند. دزدها با استفاده از ابزارهایی که عبارت‌های اصلی قبل از هش شدن را به صورت شانسی امتحان می‌کنند در تلاش هستند تا رمزهای شما را پیدا کنند.

 الگوریتم MD5 : این الگوریتم همانگونه که اشاره کردیم یکی از راهکارهای هش کردن و درهم سازی اطلاعات است، اما جزو بهترین آن‌ها نیست و از سال ۲۰۰۴ محققان تلاش کردند تا راهکارهایی برای شکستن این الگوریتم پیدا کنند. برای امنیت بیشتر اطلاعات در روش درهم سازی، آژانس امنیت ملی امریکا (NSA) دو الگوریتم SHA و SHA1 و همینطور الگوریتم‌های سری SHA را ارائه کرد. این الگوریتم‌ها به مراتب امنیت بالاتری را نسبت به MD5 ارائه می‌دهند.

سال ۲۰۱۳ که مشخصات یک میلیارد اشتراک کاربری یاهو دزدیده شد، اطلاعات اشتراک‌ها توسط الگوریتم MD5 درهم سازی شده بود. الگوریتم‌های متفاوتی از SHA-2 تا SHA256 به تازگی توسعه داده شده‌اند. وقتی که در سال ۲۰۱۴ مجددا اطلاعات کاربران یاهو دزدیده شد، این بار یاهو از یک الگوریتم درهم سازی دیگری استفاده کرد که Bcrypt نام دارد.

عبارت Bcrypt : الگوریتم Bcrypt یکی دیگر از الگوریتم‌های هش کردن اطلاعات است. این الگوریتم راهکارهای متفاوتی نسبت به الگوریتم‌های MD5 و خانواده SHA در پیش می‌گیرد. به این معنا که در برابر راه‌های شکستن الگوریتم‌های هش و تبدیل عبارت‌های هش شده به گذرواژه اصلی افراد مقاوم است. الگوریتم Bcrypt نیازی به salted و peppered کردن عبارت هش شده ندارد و به خوبی از رمز عبور شما محافظت می‌کند. اما اگر شما رمز عبور خودتان را بسیار سست، آسان و قابل حدس زدن تعیین کرده باشید (عبارت‌های ۱۲۳۵۴۵۶ و qwe123 را به یاد بیاورید) آن گاه حتی الگوریتم Bcrypt هم برای محافظت از اطلاعات شما کار سختی در پیش دارد و مقاومت کمتری خواهد داشت.

مفاهیمی که شرکت‌ها درباره‌ی نگهداری از اطلاعاتتان می‌گویند:

در اطلاعیه‌هایی که توسط شرکت‌های نگهدارنده اطلاعات شخصی‌تان، برای شما فرستاده می‌شوند، عبارت‌هایی حقوقی دیده می‌شود. این عبارت‌ها ممکن است مقداری گنگ و نامفهوم باشند. ممکن است واقعا ندانید چرا شرکت در اطلاعیه‌اش این موارد را به شما می‌گوید. بعضی از عبارت‌های پرکاربردی که شرکت‌ها و وکلایشان به شما می‌گویند را بررسی می‌کنیم:

دزدیده نشدن اطلاعات کارت‌های اعتباری یا مرتبط با مراقبت‌های سلامتی شما: وقتی شما با استرس نامه‌ای که در مورد دزدیده شدن اطلاعاتتان برایتان فرستاده شده است را می‌خوانید، خواندن این عبارت می‌تواند برای شما مقداری آرامش بخش باشد. اما بعضی وقت‌ها افراد علاوه بر مشخصات مالی و سلامتی خودشان اطلاعات مهم دیگری هم دارند. اطلاعاتی نظیر عضویت در برخی وب‌سایت‌ها و سرویس‌های متفاوت که ممکن است افشای برخی از این موارد برای افراد واقعا دردسرساز ‌شود.

دزدان تحت حمایت دولت‌ها: یاهو باور دارد که اطلاعات حدود ۵۰۰ میلیون کاربر در سال ۲۰۱۴ توسط افراد تحت حمایت دولت‌های خارجی دزدیده شده است. به این معنا که یاهو عقیده دارد یک دولت بیگانه افراد با تجربه‌ای را برای سرقت اطلاعات ارزشمند از یاهو استخدام کرده است. شرکت‌های مختلف بر اساس شواهد پشت پرده و اطلاعاتی که مراجع قانونی و قضایی در اختیارشان قرار می‌دهند این ارزیابی‌ها را ارائه می‌کنند.

وقتی صحبت از هکرهای تحت حمایت دولت‌های خارجی مطرح می‌شود، واقعا حمله تخصصی و کاملا پیچیده‌ای شکل گرفته است. اما این وضعیت به معنای این نیست که شرکت در برابر تهدیدات و خطرات هکرهایی که پشتوانه دولتی ندارند مقاوم است. هکرهایی که حملات با پیچیدگی کمتری انجام می‌دهند و بیشتر انگیزه‌هایی شخصی یا مالی دارند. حتی هکرهای قدرتمند تحت حمایت دولت‌های خارجی هم زمانی می‌توانند اطلاعات ۵۰۰ میلیون مشترک یاهو را بدزدند که امنیت و حفاظت از اطلاعات کاربران در این شرکت ضعیف و با سهل انگاری همراه باشد.

ارزش قائل شدن شرکت‌ها برای اطلاعات حریم خصوصی شما: شرکت‌ها در این اطلاعیه‌ها اعلام می‌کنند برای حریم خصوصی و اطلاعات شخصی شما ارزش و احترام قائل هستند. بعضی وقت‌ها دزدیده شدن یک سری از اطلاعات برای افراد متفاوت اهمیت بیشتری پیدا می‌کند. اما شرکت‌ها وقتی اطلاعیه‌ای در مورد دزدیده شدن اطلاعات شما منتشر می‌کنند به اینکه این اتفاق چقدر بد است توجهی نشان نمی‌دهند. یک راه خوب برای این‌که بدانید این شرکت چقدر در مورد ادعای خود صداقت دارد، بد نیست از خودتان بپرسید این ادعا چقدر با شدت هک شدن و لو رفتن اطلاعات ارزشمند شما تناسب دارد ؟