ایجاد یک رمز عبور فراموش نشدنی

چگونه یک رمز عبور قوی بسازیم و آن را فراموش نکنیم؟

در دنیای امروز، جریان اطلاعات جدید هرگز متوقف نمی‌ شود. در سال 2025، فضای ذهنی ما برای به ‌خاطر سپردن چیزهایی مانند رمز عبور ایمیلی که در سال 2020 برای ثبت ‌نام مادرتان در یک فروشگاه اینترنتی ساخته ‌اید، کمتر و کمتر می ‌شود. توصیه می ‌کنیم کمی وقت بگذارید تا با فراموشی، رمز عبور ضعیف و مجرمان سایبری مقابله کنید.

همان ‌طور که کارشناسان ما بارها ثابت کرده ‌اند، شکستن رمزهای عبور فقط به زمان و هزینه بستگی دارد - و در بسیاری از موارد، این کار با صرف زمان و هزینه بسیار کم انجام ‌می شود. ماموریت ما این است که فرآیند شکستن رمز عبور را تا حد امکان پیچیده کنیم، ‌طوری که هکرها انگیزه ‌ای برای دسترسی به داده‌ های شما نداشته باشند.

بررسی سال گذشته نشان داد که الگوریتم‌ های هوشمند - چه روی یک کارت گرافیک قدرتمند مانند RTX 4090 اجرا شوند و چه روی سخت‌ افزار ارزان قیمت اجاره ای در فضای ابری - می‌ توانند 59 درصد از رمزهای عبور موجود در جهان را در کمتر از یک ساعت بشکنند. اکنون در میانه‌ مرحله دوم این پژوهش هستیم و به زودی نتایج جدید را منتشر خواهیم کرد تا ببینیم آیا طی یک سال گذشته شرایط بهتر شده یا نه. برای اطلاع از نتایج نهایی، مقالات یا کانال تلگرام ما را دنبال کنید تا جزو اولین کسانی باشید که از تغییرات مطلع می شوند.

در گفت ‌و گوی امروز، فقط به امن ‌ترین روش ‌های احراز هویت و ساخت رمزهای عبور قدرتمند نمی ‌پردازیم؛ بلکه راهکارهایی را برای به ‌خاطر سپردن آن ها بررسی می کنیم و به این پرسش پاسخ می‌ دهیم که چرا استفاده از پسورد منیجر در سال 2025 انتخابی هوشمندانه است.

امروزه روش‌ های مختلفی برای ورود به سرویس‌ ها و وب ‌سایت ‌های آنلاین وجود دارد:

• استفاده از ترکیب سنتی نام کاربری و رمز عبور
• ورود با استفاده از سرویس‌ هایی مانند گوگل، فیسبوک، اپل و ...
• استفاده از احراز هویت دو مرحله ‌ای (2FA) با یکی از روش ‌های زیر:
1. کد یکبار مصرف (OTP) از طریق پیامک
2. اپلیکیشن ‌های تایید هویت مانند Kaspersky Password Manager ،Google Authenticator یا Microsoft Authenticator
3. کلید سخت‌ افزاری مانند Flipper ،YubiKey یا توکن USB
• استفاده از کلیدهای عبور (Passkeys) و احراز هویت بیومتریک مانند اثر انگشت یا تشخیص چهره

بدیهی است که هر یک از این روش‌ ها می‌ توانند در معرض تهدید قرار بگیرند (برای مثال، اگر توکن سخت ‌افزاری خود را در حالی که هنوز به پورت USB یک کامپیوتر رها شده در مکان عمومی وصل است، جا بگذارید)، یا می‌ توان آن ‌ها را ایمن ‌تر کرد (مثلا با ایجاد رمز عبور پیچیده شامل بیش از 20 کاراکتر تصادفی). بنابراین، از آن‌ جا که دوران رمزهای عبور سنتی هنوز به پایان نرسیده است، بیایید بررسی کنیم که چگونه می ‌توانیم وضعیت فعلی خود را بهبود دهیم؛ با ساخت و به‌ خاطر سپردن یک رمز عبور ساده اما به ‌یادماندنی.

پیش از پاسخ به این پرسش، بیایید چند اصل پایه‌ ای در مورد رمزهای عبور را یادآوری کنیم:

• طول پیشنهادی رمز عبور بین 12 تا 16 کاراکتر است.
• رمز عبور باید شامل ترکیبی از انواع مختلف کاراکترها باشد: اعداد، حروف کوچک و بزرگ، و نمادهای ویژه (مثل @، #، $ و غیره).
• رمز عبور نباید حاوی اطلاعات شخصی باشد (مثل نام، تاریخ تولد یا شماره تلفن).
• هر حساب کاربری باید رمز عبور منحصر به ‌فرد خود را داشته باشد و از تکرار آن در چند سرویس باید پرهیز کرد.

حالا برویم سراغ نکته ‌اصلی: یک رمز عبور پیچیده معمولا سخت به خاطر سپرده می ‌شود؛ اما یک رمز عبور ساده به ‌راحتی قابل شکستن است. برای اینکه بتوانید میان این دو حالت تعادل برقرار کنید، مجموعه ‌ای از قوانین ساده اما موثر و آزموده ‌شده را تهیه کرده ‌ایم تا به شما در ساخت رمزهایی کمک کنند که هم امن و هم به‌ راحتی قابل یادآوری باشند.

چند واژه بی‌ ربط را پشت سر هم قرار دهید - مشابه عباراتی که هنگام ساخت کیف پول های رمزارز (Seed Phrase) استفاده می‌ شود - و در پایان، چند عدد و نماد خاص اضافه کنید که برای شما معنی دار باشند اما حدس زدن آن ها برای مهاجمان آسان نباشد.
مثال: DryLandStandGift2015;)
واژه ‌های کوتاه، راحت ‌تر به‌ خاطر سپرده می ‌شوند، و عدد انتخابی نباید سال تولد شما یا یکی از عزیزانتان باشد. در عوض، می ‌تواند ترکیبی معنادار و قابل یادآوری باشد؛ مانند: سالی که اولین‌ بار به دریا رفتید، شماره پلاک اولین خودرو یا تاریخ ازدواجتان.

به یک خط مورد علاقه از یک آهنگ یا دیالوگ به ‌یادماندنی از یک فیلم فکر کنید، و سپس هر حرف دوم یا سوم را با یک کاراکتر خاص جایگزین کنید - آن هم نه با ترتیب‌ های متداول روی صفحه ‌کلید. استفاده از نمادهای رایجی که روی صفحه ‌کلید عددی گوشی در دسترس هستند، کار را راحت ‌تر می‌ کند. با این روش، می ‌توانید رمزهای قدرتمند بسازید که هم تایپ آن سریع است و هم به‌ خاطر سپردنش آسان‌ تر از ظاهرش به ‌نظر می ‌رسد.

برای مثال، اگر از طرفداران دنیای «هری پاتر» باشید، شاید بخواهید از افسون پرواز معروف آن یعنی Wingardium Leviosa استفاده کنید. حالا بیایید این افسون را طبق قانون بالا و با افزودن چند نماد خاص، به یک رمز عبور قوی تبدیل کنیم:
Wi4ga/di0mL&vi@sa
در نگاه اول، چنین رمزی ممکن است غیرقابل ‌حفظ به‌ نظر برسد، اما تنها چیزی که نیاز دارد کمی تمرین تایپ است. کافی است دو یا سه بار آن را تایپ کنید تا ببینید که انگشتانتان به‌ طور ناخودآگاه به‌ سراغ کلیدهای درست می ‌روند.

با رشد چشم ‌گیر ابزارهایی مانند ChatGPT و سایر مدل ‌های زبانی بزرگ (LLM)، بسیاری از کاربران شروع به استفاده از آن ‌ها برای تولید رمز عبور کرده‌ اند. و طبیعی است که این کار وسوسه‌ انگیز باشد: به ‌جای فکر کردن و تلاش برای ساخت یک رمز عبور قوی، تنها کافی است از یک دستیار هوش مصنوعی بخواهید آن را برایتان تولید کند - آن‌ هم فورا و طبق خواسته ‌شما، حتی به‌ صورتی که قابل حفظ کردن (mnemonic) باشد.

اما متاسفانه، خطر اصلی استفاده از هوش مصنوعی برای ساخت رمز عبور این است که ترکیب ‌های تولید شده ممکن است تنها به چشم انسان تصادفی به‌ نظر برسند و آن ‌قدرها هم قابل ‌اعتماد نیستند...

الکسی آنتونوف، سرپرست تیم علوم داده در کسپرسکی و مسئول مطالعه ‌قبلی در زمینه ‌قدرت رمزهای عبور، هزار رمز را با استفاده از مدل ‌های ChatGPT ،Llama و DeepSeek تولید کرده است. همه ‌مدل ‌ها به‌ خوبی می ‌دانستند که یک رمز عبور خوب باید حداقل شامل 12 کاراکتر باشد و ترکیبی از حروف بزرگ و کوچک، اعداد و نمادهای خاص را دربرگیرد. اما با این حال، مدل‌ های DeepSeek و Llama گاهی رمزهایی تولید می ‌کردند که از کلمات موجود در واژه‌ نامه ساخته شده بودند و فقط برخی از حروف آن‌ ها با اعداد یا نمادهای مشابه جایگزین شده بودند - مانند: B@n@n@7 یا S1mP1eL1on. نکته ‌جالب ‌تر اینجاست که هر دو مدل علاقه ‌خاصی به رمز عبور مشهور "Password" داشتند و شکل ‌های مختلفی از آن را تولید می ‌کردند، مثل: P@ssw0rd ،P@ssw0rd!23 ،P@ssw0rd1 و P@ssw0rdV. بدیهی است که این نمونه ‌ها، رمزهای امنی محسوب نمی ‌شوند، چرا که الگوریتم ‌های هوشمند حملات brute-force به‌ خوبی با ترفند جایگزینی حروف آشنا هستند.

در این میان، ChatGPT عملکرد بهتری داشت. در ادامه، چند نمونه از رمزهایی که توسط این مدل تولید شده ‌اند ارائه می ‌شود:

• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• P@zq^XWLY#v9
• v#@LqYXW^9pz

این رمزها در نگاه اول به نظر می ‌رسند که ترکیبی کاملا تصادفی از حروف، نمادهای خاص و اعداد هستند. اما اگر دقیق‌ تر نگاه کنید، می ‌توانید الگوهایی را در آن‌ ها تشخیص دهید. برای مثال، برخی کاراکترها مانند 9، W ،p ،x و L نسبت به سایر کاراکترها بیشتر استفاده شده‌ اند. ما برای بررسی دقیق ‌تر، هیستوگرام فراوانی کاراکترها را در میان تمام رمزهای تولید شده ترسیم کردیم، و نتایج جالبی به دست آمد: ChatGPT بیش از همه از حروف x و p استفاده کرده است. Llama علاقه‌ خاصی به نماد # دارد و همانند ChatGPT، کاراکتر p را نیز زیاد به‌ کار می ‌برد. DeepSeek بیشتر از کاراکترهای t و w استفاده می ‌کند. در مقابل، اگر از یک تولید کننده اعداد کاملا تصادفی استفاده می ‌شد، هیچ کاراکتری نسبت به بقیه ترجیح داده نمی ‌شد، و توزیع تمامی حروف و نمادها تقریبا یکسان بود. این ویژگی باعث می‌ شد رمزها غیرقابل پیش ‌بینی ‌تر و در نتیجه امن ‌تر باشند.

فراوانی استفاده از کاراکترها توسط مدل‌ های زبانی مختلف هنگام تولید هزار رمز عبور. توجه داشته باشید که تقریبا در هر رمزی که توسط ChatGPT تولید شده است، حروف x ،p ،I و L وجود دارد.

علاوه بر این، مدل ‌های زبانی بزرگ (LLMs) نیز مانند انسان‌ ها، اغلب فراموش می ‌کنند که کاراکترهای خاص یا اعداد را در رمزها قرار دهند. نبود این نمادها در 26 درصد از رمزهای تولید شده توسط ChatGPT و 32 درصد از رمزهای تولید شده توسط Llama و 29 درصد از رمزهای تولید شده توسط DeepSeek دیده شد.

دانستن این جزئیات می ‌تواند به مجرمان سایبری کمک کند تا رمزهای تولید شده توسط هوش مصنوعی را خیلی سریع‌ تر با روش brute-force بشکنند. ما تمام رمزهای تولید شده توسط این مدل‌ ها را با همان الگوریتمی که در مطالعه قبلی استفاده کرده بودیم بررسی کردیم، و به یک روند نگران‌ کننده رسیدیم: 88 درصد از رمزهای تولید شده توسط DeepSeek و 87 درصد از رمزهای تولید شده توسط Llama امنیت کافی نداشتند. ChatGPT عملکرد بهتری داشت - فقط 33 درصد از رمزهای آن ناامن بودند.

متاسفانه، مدل‌ های زبانی بزرگ نمی ‌توانند رمزهایی تولید کنند که کاملا تصادفی و غیرقابل ‌پیش‌ بینی باشند. همچنین ممکن است برای شما همان رمزی را تولید کنند که برای کاربران دیگر نیز ساخته ‌اند. پس چه باید کرد؟

ما توصیه می ‌کنیم برای تولید رمز عبور از سرویس Password Checker کسپرسکی یا بهتر از آن، کسپرسکی پسورد منیجر (Kaspersky Password Manager) استفاده کنید. این دو ابزار از تولید کننده ‌های رمزنگاری ‌شده و ایمن بهره می ‌برند که رمز‌هایی بدون الگوی قابل‌ تشخیص ایجاد می‌ کنند و در نتیجه، تصادفی ‌بودن واقعی آن‌ ها تضمین می ‌شود. پس از تولید یک رمز قوی، می ‌توانید یک عبارت یادآور (mnemonic phrase) برای به‌ خاطر سپردن آن بسازید.

فرض کنید ابزار تولید رمز عبور، ترکیب زیر را به شما بدهد:
HSVpk*VR0Gkq#WwJ
در این صورت، یک عبارت یادآور برای کمک به حفظ رمز عبور می‌ تواند چیزی شبیه این باشد: در یک وسیله نقلیه‌ پرسرعت (HSV) از یک قله (pk) عبور می‌ کنید و یک ستاره (*) را در واقعیت مجازی (VR) می‌ بینید. سپس در بی ‌وزنی (0G) سقوط می‌ کنید و شاه و ملکه (kq) را می ‌بینید که پشت میله‌ های زندان (#) در زندان جادوگر سفید (WwJ) اسیر شده‌ اند.

در چنین مواردی، تنها راهکار موثر استفاده از عبارات یادآور (mnemonics) است - بنابراین امیدواریم از تصویرسازی ‌های انتزاعی و حتی گاهی عجیب‌ و غریب خوشتان بیاید! می ‌توانید حتی صحنه ‌ای را که رمز عبورتان را توصیف می ‌کند، نقاشی کنید یا به‌ صورت بصری ترسیم کنید؛ همان ‌طور که در مثال بالا نشان داده شد. چنین تصویری معمولا فقط برای خودتان معنا دارد و دیگران نمی ‌توانند از آن چیزی متوجه شوند. این روش، راهی آسان برای به ‌خاطر سپردن یک رمز عبور است. اما اگر ده ‌ها یا صدها رمز داشته باشید، چه باید کرد؟

ایده‌ خوبی نیست. برای حل مشکل به ‌خاطر سپردن رمزهای عبور، توسعه‌ دهندگان مرورگرها قابلیتی را فراهم کرده ‌اند که بتوانید رمز‌ها را در خود مرورگر تولید و ذخیره کنید. این قابلیت از نظر راحتی بسیار مفید است؛ زیرا مرورگر به‌ صورت خودکار فرم‌ های ورود را برایتان پر می ‌کند. اما متاسفانه، مرورگرها جایگزین مناسبی برای مدیریت رمز عبور نیستند و ذخیره‌ رمز در آن‌ ها از نظر امنیتی بسیار ضعیف و پر ریسک است.

مشکل اینجاست که مجرمان سایبری مدت‌ هاست یاد گرفته ‌اند چگونه با استفاده از اسکریپت ‌های ساده، در عرض چند ثانیه به رمز‌های ذخیره ‌شده در مرورگرها دسترسی پیدا کنند. از سوی دیگر، نحوه همگام‌ سازی داده ‌ها در مرورگرها از طریق فضای ابری - مثلا از طریق حساب کاربری گوگل - نه‌ تنها کمک‌ کننده نیست، بلکه به ضرر کاربران هم تمام می ‌شود. کافی است شخصی به رمز‌ آن حساب اصلی دسترسی پیدا کند (مثلا از طریق فیشینگ یا هک)، در این صورت تمام رمز‌های ذخیره‌ شده ‌دیگر به ‌راحتی برای او قابل مشاهده خواهند بود.

یک پسورد منیجر واقعی تمام رمزهای شما را در یک گنجینه ‌رمزنگاری ‌شده (Encrypted Vault) ذخیره می ‌کند. به‌ عنوان مثال، Kaspersky Password Manager همه‌ رمزهای شما را در گنجینه ‌ای نگه‌ داری می ‌کند که با الگوریتم رمزنگاری متقارن AES-256 محافظت شده است - همان الگوریتمی که توسط آژانس امنیت ملی ایالات متحده (NSA) برای ذخیره‌ اسرار دولتی به کار می‌ رود. این الگوریتم از یک رمز عبور اصلی (Master Password) به ‌عنوان کلید رمزنگاری استفاده می ‌کند؛ رمزی که فقط شما آن را می ‌دانید (حتی ما هم به آن دسترسی نداریم). هر بار که می‌ خواهید به Kaspersky Password Manager دسترسی پیدا کنید، برنامه این رمز را از شما درخواست کرده و سپس برای نشست فعلی، گنجینه را رمزگشایی می ‌کند. در همین گنجینه‌ رمزنگاری‌ شده، می ‌توانید اطلاعات مهم دیگری مانند شماره کارت ‌های بانکی، اسکن مدارک یا یادداشت‌ های شخصی را نیز ذخیره کنید.

کسپرسکی پسورد منیجر امکانات مفید دیگری نیز در اختیار شما قرار می ‌دهد:

• امکان تولید رمزهای منحصر به ‌فرد و واقعا تصادفی با استفاده از الگوریتم های رمزنگاری ‌شده را فراهم می کند.
• می تواند به صورت خودکار رمز‌ها را در کامپیوتر و گوشی هوشمند شما وارد کند. (پرکردن خودکار یا Autofill).
• این برنامه برای هر دو پلتفرم اصلی موبایل iOS و Android و همچنین سیستم ‌عامل‌ های macOS و Windows عرضه شده و افزونه‌ هایی برای مرورگرهای محبوب نیز دارد.
• پایگاه داده‌ رمزها بین تمام دستگاه‌ های شما به ‌صورت رمزنگاری ‌شده همگام‌ سازی می‌ شود.
• می ‌توانید به‌ جای Google Authenticator، از این برنامه برای تولید کدهای احراز هویت دو مرحله ‌ای (2FA) برای همه‌ حساب‌ ها و روی همه‌ دستگاه ‌ها (از جمله کامپیوترها) استفاده کنید.
• بررسی می‌ کند که آیا رمزهای شما در نشت ‌های اطلاعاتی فاش شده‌ اند یا نه، و در صورت نیاز برای تغییر آن ها به شما هشدار می‌ دهد.

با استفاده از Kaspersky Password Manager، تنها کاری که باید انجام دهید این است که با استفاده از روش ‌هایی که پیش ‌تر توضیح داده شد، یک رمز عبور اصلی قوی و قابل‌ یادآوری بسازید و آن را خوب به خاطر بسپارید. این رمز عبور برای رمزگذاری گنجینه (Vault) استفاده می ‌شود. فقط یادتان باشد: اگر رمز اصلی را فراموش کنید، راهی برای بازیابی آن وجود ندارد و باید همه ‌چیز را از اول شروع کنید. حتی کارکنان شرکت کسپرسکی نیز به این گنجینه رمزگذاری ‌شده دسترسی ندارند - ما هم رمز عبور اصلی شما را نمی ‌دانیم.

پس در سال 2025 چگونه باید به ‌درستی از رمزهای عبور محافظت کنیم؟

• بر اساس نکات مطرح‌ شده، یک رمز عبور اصلی امن بسازید و با استفاده از سرویس Password Checker قدرت رمزنگاری آن را بسنجید.
• اگر ساخت رمز عبور قوی برایتان دشوار است، در همان سرویس یک رمز ایجاد کرده و با کمک روش‌ های به خاطر سپردن (mnemonic) آن را به ذهن بسپارید.
• اپلیکیشن Kaspersky Password Manager را روی همه‌ دستگاه‌ های خود نصب کنید. با این برنامه، تنها کافی است رمز عبور اصلی را به خاطر بسپارید؛ بقیه را برنامه برایتان نگه ‌داری و تکمیل می ‌کند. خرید کسپرسکی پسورد منیجر
• از کلیدهای عبور (Passkeys) و انواع روش های احراز هویت دو مرحله‌ ای (2FA) استفاده کنید - ترجیحا از طریق اپلیکیشن. ترکیب رمزهای قوی با احراز هویت ایمن، لایه‌ محافظتی بسیار قدرتمندی در برابر دسترسی غیرمجاز ایجاد می ‌کند.
• برای ایمن ماندن، روزانه مقالات ما را مطالعه کنید.