احراز هویت

بیشتر نشت‌های داده گزارش‌شده به دلیل استفاده از گذرواژه‌های ضعیف، پیش‌فرض یا دزدیده‌شده است (طبق این گزارش Verizon). از گذرواژه‌های بلند، قوی و یکتا استفاده کنید، آن‌ها را در یک مدیر گذرواژه امن مدیریت کنید، احراز هویت دومرحله‌ای را فعال کنید، نشت‌ها را پیگیری کنید و هنگام ورود به حساب‌ها دقت داشته باشید.

0 از 21 (0%) تکمیل شده، 0 مورد نادیده گرفته شده

انجام شده؟	پیشنهاد	سطح	جزئیات
نادیده گرفتن	استفاده از گذرواژه قوی	ضروری	اگر گذرواژه شما خیلی کوتاه باشد یا شامل کلمات فرهنگ لغت، مکان‌ها یا نام‌ها باشد، به راحتی با حمله جست‌وجوی فراگیر (brute force) شکسته می‌شود یا قابل حدس است. ساده‌ترین راه برای ساخت گذرواژه قوی، بلند بودن آن است (۱۲ کاراکتر یا بیشتر) — می‌توانید از «عبارت عبور» شامل چند کلمه استفاده کنید. یا از مولد گذرواژه برای ساخت گذرواژه‌ای بلند، قوی و تصادفی بهره بگیرید. ابزار How Secure Is My Password? از Security.org را امتحان کنید تا ببینید گذرواژه‌های رایج چقدر سریع شکسته می‌شوند. درباره ساخت گذرواژه قوی بیشتر بخوانید: securityinabox.org.
نادیده گرفتن	گذرواژه را تکرار نکنید	ضروری	اگر کسی از یک گذرواژه در چند سایت استفاده کند و یکی از آن‌ها دچار نشت شود، مجرم می‌تواند به‌سادگی به دیگر حساب‌ها دسترسی پیدا کند. این کار معمولا با درخواست‌های ورود خودکار در مقیاس بزرگ انجام می‌شود و به آن Credential Stuffing می‌گویند. متاسفانه رایج است، اما پیشگیری ساده است — برای هر حساب آنلاین یک گذرواژه متفاوت داشته باشید.
نادیده گرفتن	استفاده از مدیر گذرواژه امن	ضروری	برای بیشتر افراد، به خاطر سپردن صدها گذرواژه قوی و یکتا تقریبا غیرممکن است. مدیر گذرواژه برنامه‌ای است که اطلاعات ورود شما را تولید، ذخیره و به‌صورت خودکار پر می‌کند. همه گذرواژه‌های شما با یک گذرواژه اصلی رمزنگاری می‌شوند (که باید به خاطر بسپارید و بسیار قوی باشد). بیشتر مدیران گذرواژه افزونه مرورگر و برنامه موبایل دارند، بنابراین روی هر دستگاهی که هستید گذرواژه‌ها خودکار پر می‌شوند. گزینه‌ای همه‌فن‌حریف Bitwarden است، یا مدیران گذرواژه پیشنهادی را ببینید.
نادیده گرفتن	از اشتراک‌گذاری گذرواژه پرهیز کنید	ضروری	گاهی ممکن است لازم باشد دسترسی یک حساب را با شخص دیگری به اشتراک بگذارید، اما در حالت کلی از این کار اجتناب کنید چون احتمال نفوذ را افزایش می‌دهد. اگر واقعا نیاز به اشتراک‌گذاری دارید — مثلا در تیمی با حساب مشترک — این کار را از طریق قابلیت‌های داخلی مدیر گذرواژه انجام دهید.
نادیده گرفتن	فعال‌سازی احراز هویت دومرحله‌ای	ضروری	در 2FA باید هم چیزی که می‌دانید (گذرواژه) و هم چیزی که دارید (مثل کد روی گوشی) ارائه شود. بنابراین اگر کسی گذرواژه شما را داشته باشد (مثلا با فیشینگ، بدافزار یا نشت داده)، نمی‌تواند وارد حساب شما شود. شروع کار ساده است: یک برنامه احرازکننده روی گوشی نصب کنید، سپس در تنظیمات امنیتی حساب مراحل فعال‌سازی 2FA را دنبال کنید. دفعه بعد که روی دستگاه جدید وارد شوید، کدی که در برنامه نمایش داده می‌شود را وارد می‌کنید (بدون اینترنت کار می‌کند و معمولا هر ۳۰ ثانیه تغییر می‌کند).
نادیده گرفتن	کدهای پشتیبان را امن نگه دارید	ضروری	هنگام فعال‌سازی احراز هویت چندمرحله‌ای، معمولا چند کد پشتیبان دریافت می‌کنید که در صورت از دست رفتن یا خرابی روش 2FA بتوانید از آن‌ها استفاده کنید. این کدها را در جای امن نگه دارید تا گم نشوند یا به دست دیگران نیفتند. آن‌ها را روی کاغذ یا در محلی امن روی دیسک (مثل فضای آفلاین یا فایل/درایو رمزنگاری‌شده) نگه‌داری کنید. این کدها را در مدیر گذرواژه ذخیره نکنید؛ منابع 2FA و گذرواژه‌ها باید جدا باشند.
نادیده گرفتن	ثبت‌نام برای هشدار نشت داده	اختیاری	پس از یک نشت بزرگ، داده‌های درز کرده اغلب در اینترنت منتشر می‌شوند. چندین وب‌سایت این داده‌ها را جمع‌آوری می‌کنند و امکان جست‌وجوی ایمیل شما را می‌دهند. سرویس‌های Firefox Monitor، Have I Been Pwned و DeHashed امکان پایش دارند و اگر ایمیل شما در مجموعه جدیدی دیده شود اطلاع می‌دهند. دانستن این موضوع در اسرع وقت مفید است تا گذرواژه حساب‌های آسیب‌دیده را تغییر دهید. Have I Been Pwned همچنین اعلان سراسری دامنه دارد و می‌تواند در صورت ظاهر شدن ایمیل‌های دامنه شما هشدار بدهد (برای زمانی که از نام‌های مستعار در فورواردینگ ناشناس استفاده می‌کنید).
نادیده گرفتن	پوشاندن گذرواژه/پین هنگام ورود	اختیاری	هنگام تایپ گذرواژه در مکان‌های عمومی، مطمئن شوید در دید مستقیم دوربین مداربسته نیستید و کسی از پشت سر صفحه را نمی‌بیند. هنگام تایپ، دست خود را روی صفحه‌کلید بگیرید و گذرواژه‌های متن‌واضح را روی صفحه نشان ندهید.
نادیده گرفتن	گذرواژه‌های حیاتی را دوره‌ای به‌روزرسانی کنید	اختیاری	نشت پایگاه‌داده‌ها رایج است و احتمالا چند گذرواژه شما همین حالا جایی در اینترنت وجود دارد. تغییر دوره‌ای گذرواژه حساب‌های حساس می‌تواند ریسک را کاهش دهد. اما اگر گذرواژه‌هایتان بلند، قوی و یکتا باشند، نیازی نیست خیلی مکرر این کار را انجام دهید — سالی یک‌بار کافی است. الزام به تغییر دوره‌ای گذرواژه در سازمان‌ها دیگر توصیه نمی‌شود، چون باعث انتخاب گذرواژه‌های ضعیف‌تر می‌شود.
نادیده گرفتن	گذرواژه را در مرورگر ذخیره نکنید	اختیاری	بیشتر مرورگرها پیشنهاد ذخیره اطلاعات ورود را می‌دهند. این کار را نپذیرید، چون همیشه رمزنگاری نشده‌اند و ممکن است امکان دسترسی به حساب‌هایتان را فراهم کنند. به‌جایش از مدیر گذرواژه برای ذخیره و پرکردن خودکار گذرواژه‌ها استفاده کنید.
نادیده گرفتن	از ورود در دستگاه دیگران خودداری کنید	اختیاری	روی رایانه دیگران وارد حساب‌های خود نشوید، چون نمی‌توانید مطمئن باشید سیستم آن‌ها پاک است. درباره دستگاه‌های عمومی محتاط‌تر باشید چون بدافزار و ردیابی در آن‌ها رایج‌تر است. استفاده از دستگاه دیگران برای حساب‌های حساس مثل بانکداری آنلاین بسیار خطرناک است. اگر مجبور شدید، حتما از نشست خصوصی/ناشناس استفاده کنید (Ctrl+Shift+N یا Cmd+Shift+N) تا مرورگر اطلاعات ورود، کوکی‌ها و تاریخچه را ذخیره نکند.
نادیده گرفتن	از راهنمای گذرواژه پرهیز کنید	اختیاری	برخی سایت‌ها اجازه می‌دهند راهنمای گذرواژه تعیین کنید. اغلب حدس زدن پاسخ‌ها آسان است. اگر اجباری بود، پاسخ‌های تصادفی انتخاب کنید و آن‌ها را در مدیر گذرواژه ذخیره کنید (`نام اولین مدرسه: 6D-02-8B-!a-E8-8F-81`).
نادیده گرفتن	به پرسش‌های امنیتی واقعی پاسخ ندهید	اختیاری	اگر سایتی پرسش امنیتی می‌پرسد (مثل محل تولد، نام خانوادگی مادر یا اولین خودرو)، پاسخ واقعی ندهید. برای هکرها یافتن این اطلاعات با جست‌وجوی آنلاین یا مهندسی اجتماعی آسان است. به‌جایش پاسخ ساختگی بسازید و در مدیر گذرواژه ذخیره کنید. استفاده از واژه‌های واقعی بهتر از کاراکترهای تصادفی است (طبق این توضیح).
نادیده گرفتن	از پین ۴ رقمی استفاده نکنید	اختیاری	برای گوشی یا رایانه از پین کوتاه استفاده نکنید. به‌جایش از گذرواژه متنی یا پین بسیار طولانی‌تر استفاده کنید. پین‌های عددی به‌راحتی شکسته می‌شوند (پین ۴ رقمی فقط ۱۰ هزار ترکیب دارد، در حالی که کد ۴ کاراکتری حروفی-عددی ۷.۴ میلیون ترکیب دارد).
نادیده گرفتن	از پیامک برای 2FA استفاده نکنید	اختیاری	هنگام فعال‌سازی احراز هویت چندمرحله‌ای، اگر امکان دارد از کدهای برنامه‌ای یا توکن سخت‌افزاری استفاده کنید. پیامک در برابر تهدیدهایی مثل تعویض سیم‌کارت و رهگیری آسیب‌پذیر است. همچنین معلوم نیست شماره شما چقدر امن نگه‌داری می‌شود یا برای چه کارهای دیگری استفاده می‌شود. از نظر عملی نیز پیامک فقط با آنتن‌دهی کار می‌کند و ممکن است کند باشد. اگر برای بازیابی حساب مجبور به استفاده از شماره پیامکی هستید، بهتر است یک شماره اعتباری جداگانه فقط برای بازیابی داشته باشید.
نادیده گرفتن	از مدیر گذرواژه برای تولید OTP استفاده نکنید	پیشرفته	بسیاری از مدیران گذرواژه قادر به تولید کدهای 2FA هستند. بهتر است از مدیر گذرواژه اصلی خود به‌عنوان احرازکننده 2FA استفاده نکنید، چون در صورت نفوذ، یک نقطه شکست واحد ایجاد می‌شود. به‌جایش از یک برنامه احرازکننده مجزا روی گوشی یا لپ‌تاپ استفاده کنید.
نادیده گرفتن	از باز کردن با چهره پرهیز کنید	پیشرفته	بیشتر گوشی‌ها و لپ‌تاپ‌ها قابلیت احراز هویت چهره دارند و با دوربین تصویر چهره را با هش ذخیره‌شده مقایسه می‌کنند. این روش راحت است، اما راه‌های زیادی برای فریب دادن آن و دسترسی به دستگاه با عکس دیجیتال یا بازسازی از تصاویر دوربین مداربسته وجود دارد. برخلاف گذرواژه، احتمالا عکس‌ها و ویدئوهایی از چهره شما در اینترنت یا دوربین‌ها وجود دارد.
نادیده گرفتن	مراقب کی‌لاگرها باشید	پیشرفته	کی‌لاگر سخت‌افزاری دستگاهی فیزیکی است که بین کیبورد و پورت USB قرار می‌گیرد و همه کلیدها را ثبت می‌کند و گاهی به سرور راه دور می‌فرستد. این کار به هکر دسترسی به هر چیزی که تایپ می‌کنید (از جمله گذرواژه‌ها) می‌دهد. بهترین راه محافظت، بررسی اتصال USB پس از رها کردن سیستم است. ممکن است کی‌لاگر داخل بدنه کیبورد هم نصب شود، پس نشانه‌های دست‌کاری را بررسی کنید و اگر لازم است کیبورد خودتان را همراه ببرید. داده‌هایی که با صفحه‌کلید مجازی تایپ می‌شوند، از کلیپ‌بورد چسبانده می‌شوند یا توسط مدیر گذرواژه خودکار پر می‌شوند، توسط کی‌لاگر سخت‌افزاری قابل رهگیری نیستند.
نادیده گرفتن	استفاده از توکن سخت‌افزاری را در نظر بگیرید	پیشرفته	کلید امنیتی U2F/FIDO2 یک دستگاه USB (یا NFC) است که هنگام ورود به سرویس آنلاین وارد می‌کنید تا هویت شما را به‌جای وارد کردن OTP تایید کند. SoloKey و NitroKey نمونه‌هایی از این کلیدها هستند. این روش مزایای امنیتی زیادی دارد. چون مرورگر مستقیم با دستگاه ارتباط می‌گیرد، نمی‌توان آن را درباره میزبان درخواست‌کننده فریب داد، زیرا گواهی TLS بررسی می‌شود. این مطلب توضیح خوبی درباره امنیت توکن‌های FIDO U2F است. البته کلید فیزیکی را باید در جای امن نگه‌داری کنید یا همراه خود داشته باشید. برخی حساب‌ها اجازه می‌دهند چند روش 2FA هم‌زمان فعال باشد.
نادیده گرفتن	مدیر گذرواژه آفلاین را در نظر بگیرید	پیشرفته	برای امنیت بیشتر، یک مدیر گذرواژه آفلاین رمزنگاری‌شده کنترل کامل داده‌ها را به شما می‌دهد. KeePass گزینه‌ای محبوب است و افزونه‌ها و فورک‌های متعددی با سازگاری و امکانات بیشتر دارد. کلاینت‌های محبوب شامل: KeePassXC (دسکتاپ)، KeePassDX (اندروید) و StrongBox (iOS) هستند. ایراد آن این است که ممکن است کمی کم‌راحت‌تر باشد و پشتیبان‌گیری و نگه‌داری امن به عهده شماست.
نادیده گرفتن	نام کاربری یکتا را در نظر بگیرید	پیشرفته	داشتن گذرواژه‌های متفاوت برای هر حساب گام خوبی است، اما اگر همچنین نام کاربری، ایمیل یا شماره تلفن یکتا برای ورود استفاده کنید، دسترسی غیرمجاز بسیار سخت‌تر می‌شود. ساده‌ترین روش برای داشتن چند ایمیل، استفاده از نام‌های مستعار خودکار برای فورواردینگ ناشناس است؛ به‌طوری که [هرچیزی]@yourdomain.com به صندوق شما می‌رسد و می‌توانید برای هر حساب ایمیل متفاوت داشته باشید (نگاه کنید به ارائه‌دهندگان نام مستعار ایمیل). نام‌های کاربری ساده‌ترند چون می‌توانید با مدیر گذرواژه تولید، ذخیره و خودکار پرشان کنید. شماره‌های مجازی نیز از طریق ارائه‌دهنده VOIP قابل تهیه‌اند.

لینک های مفید

دفاع دیجیتال

احراز هویت

نرم افزارهای پیشنهادی

دفاع دیجیتال