چرا پسوردتان نمی‌تواند نماد باشد و یا از ۱۶ کارکتر بیشتر باشد؟

فرایند ایجاد کلمه عبور در وب سایت‌های مختلف، مانند ملاقات از یک کشور خارجی با آداب و رسوم ناآشنا است.

به گزارش سافت‌گذر به نقل از ایتنا؛ در حالی که اغلب سایت‌های بانکی اجازه ساخت کلمه عبور/ پسورد با ۸ کارکتر را به شما می دهد، یک سایت فقط از شما ۸ کارکتر می‌خواهد، دیگری به شما اجازه ساخت پسورد با ۶۴ کارکتر می‌دهد، یکی به شما اجازه ساخت پسورد با عدد و حروف می‌دهد، یکی با خط فاصله، یکی دیگر با علامت تاکید، یکی با کارکترهایی مانند @#$&% بدون کارکترهایی مانند ^*()[]! می دهد، یکی دیگر زمان را در قواعد پسورد دخیل می کند و در یک بازه زمانی باید پسورد خود را عوض کنید، بعضی اوقات نیز باید از حروف درشت در پسورد استفاده کنید، برخی دیگر اجازه استفاده از عدد در پسورد را نمی دهدو ... شما چی فکر می‌کنید؟

به هر حال امروزه بدون داشتن اکانت، نمی‌توانید به سایت‌های مختلف سر بزنید و اغلب آنها از شما می خواهند تا نام و رمز عبور username&password ساخته و بعد به مرور سایت ادامه دهید. 

دقیقا در همین جاست که ساخت نام و رمز عبور یکسان برای وب سایتهای مختلف مطرح شده و مشکل از همین جا آغاز می شود، چرا که کاربر حال ندارد برای هر وب سایتی پسورد جداگانه ای درست کند و نکته دیگر اینکه برای اینکه به آسانی به خاطر آورده شود، پسوردها به زندگی کاربر ربط پیدا کرده و کارکترهای نزدیک به فرد شیوع می یابد. استفاده از کلمات و جملات و اصطلاحات ساده باعث می شود تا مشکلات بیشتر شود.

توماس باکدال در کتاب خود - نوشته شده در سال ۲۰۰۷- ، راه ساختن پسورد از روی جملات را به صورت مخفف به کاربران آموزش می دهد و می گوید رمز عبور ساخته شده از یک سری کلمات کنار هم، می تواند کاربر پسند و محکم باشد، اما حتی این راه حل نیز در عمل بدلیل ایجاد محدودیت کارکتر در ساخت پسورد، در وب سایت‌های مختلف مانع از ایجاد پسورد قوی و محکم می شود.

به نظر می رسد هر سایتی برای ایجاد پسورد، تعریف خاص خود را دارد اما به ندرت، اگر نگوییم هرگز، روشن است چرا ما نمی توانیم پسورد طولانی یا کوتاه، متنوع یا ساده بسازیم. صرف نظر از برنامه پسورد سازی، کلمه عبور طولانی خسته کننده به نظر می رسد و پسورد بدون نماد، کوتاه است....

از طرف دیگر هر کمپانی باید تعادل بین این موارد را به وجود بیاورد: آنچه که باعث به خاطر آوردن پسورد می شود، آنچه که یک پسورد را امن می سازد، و آنچه منجر به مدیریت سیستم هایشان می شود.

چرا ما محدودیم؟
کارگزاری مالی چارلز شواب، بعنوان سیستم مالی محدودیت بین حداکثر ۸ کارکتر و حداقل ۶ کارکتر برای کاربران خود تعریف کرده است. واقعیت این است که اطلاعات مالی مشتریان، نمی تواند بیشتر از ۸ کارکتر، عدد و سمبل داشته باشد.

سارا بولگاتز، مدیر PR در چارلز شوآب تاکید می کند این کمپانی در حال ارزیابی این موضوع است تا ببیند آیا می شود از کارکترهای بیشتر از ۸ ، برای مشتریان استفاده کند؟و اکانت های مظنون با سوال امنیتی اضافه کنترل شوند! (سوالات امنیتی به راحتی پس زده می شوند و بولگاتز دلیل قانع کننده ای نمی آورد که چرا کلمه عبور به ۸ کارکتر محدود است)

احراز هویت (Authentication) دو مرحله ای، بهترین رویکرد برای جلوگیری از سرقت، از حساب کاربری محسوب می شود. چارلز شوآب ارائه رایگان توکن امنیتی که کد شش رقمی همراه با پسورد تولید می کند را پیشنهاد می کند که به هر حال احراز هویت دو مرحله ای به فیشینگ حساس است.

تعریف مایکروسافت جور دیگری است: کاربران باید پسورد خود را کمتر از ۱۶ کارکتر و بیشتر از ۸ کارکتر که شامل ترکیبی از حروف بزرگ و کوچک و اعداد و نماد ها است، تعریف کنند. مایکروسافت معتقد است با داشتن پسوردهایی با کارکترهای طولانی راه جلوگیری از هک شدن پسورد نیست، چرا که بزرگترین مشکل کاربران این کمپانی نرم افزارهای پسورد شکن بوده است.

سخنگوی مایکروسافت در این زمینه می گوید: ما دریافته ایم که مجرمان کامپیوتری از بدافزار، فیشینگ و ایمیلهایی که روی آن کلیک کرده و کاربر پسوردش را به مجرمان ناخوداگاه می فرستد، استفاده می کنند و طولانی تر کردن پسورد نمی تواند در این زمینه راه گشا باشد. از سوی دیگر اریک دوئر از مایکروسافت می گوید پیاده سازی سیاست طولانی کردن پسورد و عرضه محصولات جدید، بازار را دچار مشکل می کند.

کاربران نیز می گوید ایجاد پسورد طولانی تر باعث می شود تا آنها مجبور شوند پسورد را به صورت دستی در جایی ذخیره کنند که این موضوع خطر را افزایش می دهد.

کمپانی هایی مانند Evernote (عرضه کننده سرویس آرشیو) از ۶ تا ۶۴ کارکتر را در ساخت پسورد برای کاربران گنجانده و همه نمادها به جز space را در سیستم پسورد خود گنجانده اند. کلمات عبور مجاز در اینترفیس evernote تعبیه شده است و حالا برخی برنامه های جانبی کارکتر space را در خود گنجانده است و این موضوع برای کمپانی evernote مشکل ایجاد کرده است.

وجود نماد در پسورد مورد دیگری از مشاجره و بحث درباره کلمات عبور برای کاربران است. مثلا کمپانی AT&T از ۸ تا ۲۴ کارکتر را برای کلمه عبور تعریف کرده که شامل نماد نیز می شود اما از آنجایی که مشتریان با این سیستم خیلی راضی نیستند AT&T می گوید باید نمادها را محدود کرد و سیاست تعریف کلمه عبور را تغییر دهیم چرا که مشتریان و کاربران خود را با مشکل مواجه دیده و کل سرویس و خدمات را کنار می گذارند.

بنابراین در ایده آل ترین مدل نیز بدلیل مقاومت کاربر، کمپانی مجبور به حذف قوانین سخت گیرانه می شود و دوباره این سوال مطرح می شود که سیاست بانکها مبنی بر انتخاب ۸ کارکتر و اینکه نرم افزارهای پسورد شکن کارکترهای طولانی را می توانند بخوانند و نیز هکرها پسورد را از طرق دیگر به دست می آورند؛ آیا ضرورتی برای پیاده سازی کلمه عبور طولانی وجود دارد؟

ازسوی دیگر پسورد آسان نیز کاربران را تنبل می سازد و راه میانه می تواند مناسب تلقی شود.

در مجموع می توان گفت کلمه عبور طولانی و ایجاد محدودیت برای ساخت پسورد، بعید است اثرات قابل توجهی روی امنیت بگذارد.