RaazNet

رازنتبتا

دانشنامه
در این صفحه

ذخیره‌سازی امن رمز عبور و مدیران رمز عبور

راهنمای جامع ذخیره‌سازی امن اعتبارنامه‌ها با استفاده از مدیران رمز عبور، متناسب با بافت ایران شامل قطعی اینترنت و خطر توقیف دستگاه.

Time10 minutes

ذخیره‌سازی امن و مدیریت رمزهای عبور

تکیه بر حافظه شخصی یا ذخیره‌سازی رمزها در مرورگر، یک آسیب‌پذیری امنیتی جدی محسوب می‌شود. با وجود تهدیداتی که از نظارت گسترده و کمپین‌های فیشینگ تا توقیف فیزیکی دستگاه‌ها و قطعی اینترنت را در بر می‌گیرد، روشی که برای ذخیره اعتبارنامه‌های خود استفاده می‌کنید، به اندازه قدرت خودِ رمزهای عبور حیاتی است.

این راهنما جزئیات گذار از روش‌های ذخیره‌سازی ناامن به سمت «پسورد منیجرها» (Password Managers) قدرتمند و رمزنگاری‌شده را شرح می‌دهد؛ با تمرکزی ویژه بر ابزارهایی که در زمان قطعی اینترنت (محدودیت‌های شبکه ملی اطلاعات) همچنان کارآمد باقی می‌مانند.

چرا پسورد منیجرها ضروری هستند؟

کاربران معمولی ده‌ها حساب کاربری دارند. استفاده مجدد از یک رمز عبور برای چند حساب، یک «نقطه شکست واحد» (Single Point of Failure) ایجاد می‌کند؛ اگر یکی از سرویس‌ها هک شود، مهاجمان (از جمله عوامل دولتی) با استفاده از تکنیک Credential Stuffing (تزریق اعتبارنامه)، به تمامی حساب‌های دیگر شما دسترسی پیدا می‌کنند.

یک مدیر رمز عبور این مشکل را با روش‌های زیر حل می‌کند:

  1. تولید رمزهای عبور با آنتروپی بالا: ایجاد رشته‌های طولانی و تصادفی (مانند Xy9#mP2$Lq!zR5) که حدس زدن آن‌ها از نظر ریاضی غیرممکن است.
  2. ذخیره‌سازی رمزنگاری‌شده: نگهداری تمام اعتبارنامه‌ها در یک «گاوصندوق» (Vault) که توسط استانداردهای مدرن رمزنگاری (AES-256 یا ChaCha20) محافظت می‌شود.
  3. محافظت در برابر فیشینگ: قابلیت پر کردن خودکار (Auto-fill) تنها در آدرس‌های اینترنتی معتبر کار می‌کند و اگر اشتباهاً روی یک لینک جعلی کلیک کنید (مثلاً یک صفحه ورود جعلی جیمیل که از طریق پیامک ارسال شده)، از شما محافظت می‌کند.

بافت ایران: ذخیره‌سازی ابری در مقابل محلی

هنگام انتخاب یک مدیر رمز عبور در ایران، باید دو بردار تهدید خاص را در نظر بگیرید: قطعی اینترنت و دسترسی فیزیکی.

۱. پسورد منیجرهای آفلاین (محلی) - (توصیه شده)

این برنامه‌ها فایل دیتابیس رمزنگاری‌شده شما (kdbx.) را مستقیماً روی دستگاهتان ذخیره می‌کنند. هیچ داده‌ای به سرور ابری ارسال نمی‌شود.

  • مزایا:
    • مقاوم در برابر سانسور: در زمان اختلالات «فیلترنت» یا قطعی کامل اینترنت بدون مشکل کار می‌کند.
    • حریم خصوصی: تنها شما نسخه‌ای از داده‌هایتان را در اختیار دارید. هیچ سرور شخص ثالثی نمی‌تواند آن را نشت دهد.
    • ضد تحریم: نیاز به ساخت حساب کاربری ندارد؛ بنابراین ریسک مسدود شدن سرویس برای آی‌پی‌های ایران وجود ندارد.
  • معایب:
    • مسئولیت پشتیبان‌گیری: شما باید به‌صورت دستی از فایل دیتابیس خود روی دستگاه‌های دیگر نسخه پشتیبان تهیه کنید. اگر دستگاه را گم کنید و بک‌آپ نداشته باشید، داده‌ها برای همیشه از دست می‌روند.
    • راحتی همگام‌سازی (Sync): همگام‌سازی بین گوشی و لپ‌تاپ نیازمند انتقال دستی فایل (از طریق کابل USB یا ابزارهایی مثل Syncthing) است.

۲. پسورد منیجرهای مبتنی بر ابر (Cloud-Based)

این سرویس‌ها یک نسخه رمزنگاری‌شده از گاوصندوق شما را روی سرورهای خود ذخیره کرده و تغییرات را به‌صورت لحظه‌ای بین دستگاه‌ها همگام می‌کنند.

  • مزایا:
    • راحتی: رمزهای عبور به‌صورت یکپارچه در تمام دستگاه‌ها در دسترس هستند.
    • پشتیبان‌گیری خودکار: ارائه‌دهنده سرویس مسئولیت افزونگی داده‌ها را بر عهده دارد.
  • معایب:
    • وابستگی به اتصال: اگرچه داده‌ها به‌صورت محلی کش (Cache) می‌شوند، اما راه‌اندازی اولیه یا همگام‌سازی تغییرات در صورت مسدود بودن سرویس، نیازمند VPN است.
    • تحلیل ترافیک: سرویس‌دهندگان اینترنت (ISP) می‌توانند ببینند که شما به سرور یک مدیر رمز عبور متصل می‌شوید (هرچند نمی‌توانند محتوا را بخوانند).

[!tip] توصیه برای کاربران پرخطر برای فعالان مدنی و روزنامه‌نگاران در ایران، استفاده از پسورد منیجرها آفلاین (خانواده KeePass) توصیه می‌شود تا ریسک مسدود شدن سرور کاهش یابد و ردپای دیجیتال به حداقل برسد.

ابزارهای پیشنهادی

ما نرم‌افزارهای متن‌باز (Open Source) را توصیه می‌کنیم. کد متن‌باز به پژوهشگران امنیتی اجازه می‌دهد تا بررسی کنند که رمزنگاری به‌درستی پیاده‌سازی شده و هیچ «درِ پشتی» (Backdoor) وجود ندارد.

بهترین گزینه برای دسکتاپ (ویندوز، لینوکس، مک): KeePassXC

نرم‌افزار KeePassXC استانداردِ جامعه برای مدیریت رمز عبور آفلاین است. این برنامه رایگان، متن‌باز و بسیار امن است.

  • رمزنگاری: استفاده از AES-256 یا Twofish با تابع مشتق کلید Argon2id (بسیار مقاوم در برابر حملات Brute force).
  • ویژگی‌ها: تولیدکننده رمز عبور دقیق، پشتیبانی از Diceware و ادغام با SSH agent.
  • راه‌اندازی:
    1. دانلود از سایت رسمی (در صورت امکان امضای GPG را تایید کنید).
    2. یک دیتابیس جدید بسازید.
    3. برای حداکثر امنیت، در تنظیمات دیتابیس، Key Derivation Function را روی Argon2id تنظیم کنید.

بهترین گزینه برای اندروید: KeePassDX

برنامه KeePassDX یک کلاینت اندرویدی سازگار با فایل‌های دیتابیس KeePass است.

  • امنیت: کاملاً آفلاین؛ دسترسی به اینترنت را درخواست نمی‌کند.
  • صفحه کلید: شامل یک "Magikeyboard" است که رمزها را بدون استفاده از کلیپ‌بورد (که سایر برنامه‌ها می‌توانند آن را بخوانند) به‌صورت خودکار وارد می‌کند.
  • بیومتریک: از بازگشایی با اثر انگشت پشتیبانی می‌کند، اما با احتیاط استفاده کنید (بخش «عبور از مرز» در پایین را ببینید).

بهترین گزینه برای آی‌اواس (iOS): Strongbox یا KeePassium

هر دو برنامه‌هایی عالی و دوست‌دار متن‌باز هستند که از فایل‌های دیتابیس KeePass پشتیبانی می‌کنند.

  • Strongbox: بسیار قابل تنظیم، پشتیبانی از کلیدهای سخت‌افزاری (YubiKey).
  • KeePassium: رابط کاربری تمیز، مدیریت فایل قوی.

بهترین گزینه ابری: Bitwarden

اگر به همگام‌سازی ابری نیاز دارید، Bitwarden امن‌ترین انتخاب است. برخلاف رقبای انحصاری، متن‌باز است و توسط شرکت‌های ثالث ممیزی امنیتی شده است.

  • میزبانی شخصی (Self-Hosting): کاربران حرفه‌ای می‌توانند یک نمونه Bitwarden (با استفاده از Vaultwarden) را روی یک VPS شخصی میزبانی کنند تا بدون تکیه بر سرورهای مرکزی که ممکن است فیلتر شوند، از راحتی فضای ابری بهره‌مند شوند.
  • نسخه رایگان: نسخه رایگان کاملاً کاربردی است و نیازی به روش‌های پرداخت (و مشکلات ناشی از تحریم‌های بانکی) ندارد.

پیکربندی امنیتی و بهترین روش‌ها

۱. رمز عبور اصلی (Diceware)

رمز عبور اصلی شما (Master Password)، کلید پادشاهی شماست. باید به یاد ماندنی اما غیرقابل شکستن باشد. از جزئیات شخصی استفاده نکنید. از روش Diceware استفاده کنید:

  • ۵ تا ۷ کلمه تصادفی انتخاب کنید.
  • مثال: correct-horse-battery-staple-spider (از این مثال استفاده نکنید).
  • این روش یک عبارت عبور با آنتروپی بالا ایجاد می‌کند که تایپ آن آسان‌تر از کاراکترهای تصادفی است.

۲. فایل‌های کلید (احراز هویت دو مرحله‌ای برای دیتابیس)

برای پسورد منیجرهای آفلاین مانند KeePassXC، می‌توانید علاوه بر رمز عبور، از یک Keyfile استفاده کنید. این یک فایل (مثلاً یک عکس یا یک فایل متنی تصادفی) است که باید برای باز کردن دیتابیس حضور داشته باشد.

  • استراتژی: دیتابیس را روی لپ‌تاپ نگه دارید، اما Keyfile را روی یک فلش USB یا گوشی خود ذخیره کنید. مهاجمی که لپ‌تاپ را بدزدد، بدون داشتن فلش USB نمی‌تواند گاوصندوق را باز کند.

۳. خطرات ادغام با مرورگر

اکثر پسورد منیجرها افزونه‌های مرورگر ارائه می‌دهند. اگرچه این کار راحت است، اما «سطح حمله» را افزایش می‌دهد.

  • روش امن: اگر از KeePassXC استفاده می‌کنید، از افزونه رسمی KeePassXC-Browser استفاده کنید که به‌صورت امن با برنامه دسکتاپ ارتباط برقرار می‌کند.
  • روش ناامن: هرگز رمزها را مستقیماً در مرورگر (مدیران داخلی کروم/اج/فایرفاکس) ذخیره نکنید. بدافزارهایی موسوم به "Info Stealers" (که در نرم‌افزارهای کرک شده در ایران رایج هستند) مشخصاً ذخیره‌سازی مرورگرها را هدف قرار می‌دهند.

۴. پشتیبان‌گیری از دیتابیس

قانون ۳-۲-۱:

  • ۳ نسخه از دیتابیس خود داشته باشید.
  • ۲ نوع رسانه مختلف (مثلاً SSD لپ‌تاپ + فلش USB).
  • ۱ مکان خارج از سایت (مثلاً یک فضای ابری مطمئن با کلید رمزنگاری جداگانه، یا یک هارد فیزیکی در خانه یکی از بستگان مورد اعتماد).

[!warning] پشتیبان‌گیری ابری اگر از دیتابیس KeePass خود در یک سرویس ابری (Google Drive, Dropbox) نسخه پشتیبان تهیه می‌کنید، اطمینان حاصل کنید که «رمز عبور اصلی» بسیار قوی است. با اینکه فایل رمزنگاری شده است، قرار دادن آن روی سرور ابری در صورت هک شدن حساب ابری، آن را در معرض دانلود توسط دشمنان قرار می‌دهد.

امنیت عملیاتی (OpSec) برای ایران

جلوگیری از بازگشایی اجباری قفل

اگر بازداشت شوید یا در ایست بازرسی متوقف گردید، نیروهای امنیتی ممکن است شما را مجبور به باز کردن قفل گوشی کنند.

  1. بیومتریک: FaceID یا اثر انگشت را برای برنامه مدیر رمز عبور خود غیرفعال کنید. برای باز کردن آن حتماً رمز عبور اصلی یا پین کد را درخواست کنید.
  2. اجبار/ویژگی‌های مخفی:
    • برخی برنامه‌ها اجازه می‌دهند آیکون برنامه را مخفی کرده یا نام آن را تغییر دهید.
    • KeePassDX امکان ایجاد یک دیتابیس جداگانه «Panic» (اضطراری) را می‌دهد. اگر مجبور به باز کردن برنامه شدید، می‌توانید یک دیتابیس ساختگی (Dummy) حاوی رمزهای غیرحساس را باز کنید، در حالی که دیتابیس اصلی مخفی باقی می‌ماند.

تشخیص نفوذ

  • پاک‌سازی کلیپ‌بورد: مدیر رمز عبور خود را تنظیم کنید تا کلیپ‌بورد را پس از ۳۰ ثانیه پاک کند. این کار از خوانده شدن رمز کپی‌شده توسط سایر برنامه‌ها جلوگیری می‌کند.
  • بررسی نشت اطلاعات: به‌صورت دوره‌ای ایمیل خود را در Have I Been Pwned (با استفاده از VPN) بررسی کنید. اگر رمز عبور اصلی شما قبلاً جای دیگری استفاده شده است، بلافاصله آن را تغییر دهید.

راهنمای مهاجرت

اگر در حال حاضر از گوگل کروم یا یک دفترچه یادداشت برای ذخیره رمزها استفاده می‌کنید:

  1. خروجی گرفتن (Export): در کروم به مسیر Settings > Autofill > Password Manager > Settings > Export Passwords بروید. این کار یک فایل csv. ایجاد می‌کند.
    • هشدار: این فایل متنی و رمزنگاری‌نشده است. هر کس آن را ببیند تمام رمزهای شما را دارد.
  2. وارد کردن (Import): برنامه KeePassXC یا Bitwarden را باز کنید و گزینه Import from CSV را انتخاب کنید. فایل ایجاد شده توسط کروم را انتخاب کنید.
  3. حذف ایمن: بلافاصله فایل csv. را حذف کنید. در ویندوز از ابزارهای خردکننده فایل (مانند BleachBit) و در مک از گزینه "Delete Immediately" استفاده کنید.
  4. پاک‌سازی: به کروم برگردید و تمام رمزهای ذخیره‌شده را حذف کنید تا اطمینان حاصل شود هیچ نسخه رمزنگاری‌نشده‌ای باقی نمانده است.

جدول مقایسه

ویژگیKeePassXC (محلی)Bitwarden (ابری)داخلی مرورگر
امنیتبالا (تحت کنترل کاربر)بالا (ممیزی شده)پایین (هدف بدافزارها)
مقاومت در برابر سانسورعالی (آفلاین کار می‌کند)متوسط (نیاز به VPN)بالا
راحتی همگام‌سازیکم (دستی)بالا (خودکار)بالا
هزینهرایگان (متن‌باز)رایگان (متن‌باز)رایگان
توصیه شده برایپروفایل‌های پرخطراستفاده عمومیاستفاده نکنید
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.