۲۰۱۴: سال مرگ گذرواژه
شرکت هیتاچی برای تشخیص هویت کارکنانش از اسکنری استفاده میکند که از روی سیاهرگهای سر انگشت هویت را تایید میکند
تعداد گذر واژه هایی که باید به خاطر سپرد روز بروز بیشتر میشود و با اینکه این همه در مورد انتخاب گذر واژه ها هشدار داده می شود بر اساس آخرین کلیک تحقیقی که روی شش میلیون گذر واژه صورت گرفته نشان میدهد که شایعترین گذرواژهها password و ۱۲۳۴۵۶ هستند؛ و عملا بیشتر این شش میلیون گذرواژه در واقعه ده هزار گذر واژه تکراری یا شبیه به هم هستند.
با انکه توصیه میشود تاحد امکان گذرواژهها را پیچیده کرد، مردم معمولا آن را تا حد امکان ساده میکنند که راحتتر یادشان بماند، یا گذرواژههای تکراری دارند یا از ترفندهای سادهای استفاده می کنند که حدس زدنشان آسان است مثلا از حرف o بجای صفر(0) استفاده میکنند یا از I بجای عدد یک (1).
اما تعداد و دفعات نیاز به گذرواژها روز به روز بیشتر میشود و ناکار آمدی روز افزون آنها باعث شده بسیاری به فکر جایگزین بیفتند.
اخبار هک شدن شبکههای اطلاعاتی دولتی و خصوصی و فردی تقریبا هر روز در رسانهها دیده میشود. هر بار که هکرها به بانک گذرواژه دسترسی پیدا میکنند، رفتار مردم را در انتخاب گذرواژه تجزیه و تحلیل می کنند و حتی برای تحلیل گذرواژهها نرم افزار وجود دارد.
مدتی است که گوگل و بسیاری دیگر از خدمات دهندگان اینترنتی گذر واژه دو مرحلهای را عرضه کردهاند. اگر کسی از کامپیوتری نا آشنا بخواهد به جی میل دسترسی پیدا کند، پس از عبور از مرحله اول، کدی به موبایل او ارسال میشود تا هویت فردی که میخواهد وارد سیستم شود دوباره تایید شود.
دو توصیه ساده
ابتدا گذرواژه سادهای که میتوانید به آسانی خاطر بسپارید انتخاب کنید و بعد بتدریج آن را پیجیده کنید.
از روش فاعل-مفعول-فعل (PAO) استفاده کنید. معروفترین مثال آن "بیل گیتس دوچرخه را قورت میدهد" است. به این ترتیب گذرواژه ها در خاطر میمانند اما حدس زدن آنها دشوار است.
اما هر چه می گذرد توجه به اشیا واقعی و منحصر بفرد بیشتر میشود. بنابراین بزودی چیزی مثل کلید هم به این گذر واژههای دو مرحلهای اضافه خواهد شد. یک شی واقعی مثل کلید که راهی برای تقلید یا بازنمایی کاذبِ آن وجود نداشته باشد.
فیس بوک دو سالی هست که برای کارکنان خود از کلیک یوبیکی استفاده میکند، یک کارت دیجیتالی کوچک به محل یواِسبی کامپیوتر وصل می شود و دقیقا مثل این است که گذرواژه خود را در محل موردنظر تایپ کنید. گوگل هم استفاده آزمایشی از آن را شروع کرده است.
اما روشهای دیگری هم وجود دارند از جمله استفاده از رمزبان (token)؛ مثلا نوعی از این رمزبانها به اندازه یک پاککن بزرگ است که در تولید آن یک نشانه (در واقع یک نقص) جزئی ایجاد شده که منحصر به فرد است.
تا زمانی که این رمزبان در فاصله چند متری کامپیوتر یا تبلت قرار دارد و با بلوتوث به آن وصل است، امنیت ورود تضمین است.
کامپیوتر یا تبلت علامت ارسالی از رمزبان را میخواند و اگر با آنچه قبلا در نظر گرفته شده تطبیق کند، اجازه ورود میدهد؛ بنابراین نه میتوان آن را هک کرد نه میتوان حدس زد.
اساس این روش و روشهای مشابه نظریهای بود که حدود یک دهه پیش مطرح شد؛ اینکه تفاوتهای جزئی فیزیکی مثلا تغییر جزئی ضخامت یک میکروچیپ یا تغییر ناچیزی در ساختار بلور (کریستال)، علامت الکترومغناطیسی را که ارسال میشود کاملا تغییر میدهد.
استفاده از رمزبان هنوز هم روشی مطمئن محسوب میشود
آخرین تحول استفاده از گذرواژه شیمیایی است. یک صفحه کلید کوچک با استفاده از یونهای آهن، اسید، باز یا اشعه ماورا بنفش مولکول می سازد. اگر مولکولِ درست ساخته شود، قفل را باز میکند.
البته روشهای دیگری هم وجود دارند که بسیار ایمنتر هستند اما استفاده روزمره از آنها دشوار است.
دولتها امروز بسرعت به سمت استفاده از روشهای بیومتریک حرکت میکنند. استفاده از ویژگیهای فیزیکی مثل ویژگیهای چهره یا عنبیه یا ضربان قلب و استفاده از رمزبانهایی که در لباس فرد تعبیه میشوند.
به این ترتیب امکان سرقت گذرواژه تا حد زیادی منتفی میشود، دستکم گذرواژهها از دسترس هکرها دور میمانند.
با اینکه هنوز رایجترین روش، همین گذرواژههای حرفی و عددی است اما روشن است که این روش دیگر جواب نمیدهد.
روشهای نو خیلی زود جایگزین گذرواژهها خواهند شد، از این رو بسیاری سال ۲۰۱۴ را سال مرگ گذرواژه لقب داده اند.