RaazNet

رازنتبتا

دانشنامه
در این صفحه

مبانی رمز عبور قوی

راهنمای جامع درک، ایجاد و نگهداری رمزهای عبور قوی، متناسب با بافت امنیت دیجیتال ایران.

Time10 minutes

اصول و مبانی رمز عبور قوی

رمزهای عبور خط مقدم دفاع در امنیت دیجیتال هستند. آن‌ها به عنوان "کلیدهای" هویت دیجیتال شما عمل می‌کنند و از همه چیز، مکالمات خصوصی و عکس‌ها گرفته تا دارایی‌های مالی و داده‌های حساس عملیاتی، محافظت می‌کنند. در ایران، جایی که کاربران با نظارت هدفمند، فیشینگ‌های دولتی و احتمال توقیف دستگاه‌ها روبرو هستند، میزان قدرت رمز عبور شما حیاتی است.

این راهنما مکانیسم رمزهای عبور قوی، نحوه تلاش مهاجمان برای شکستن آن‌ها و امن‌ترین روش‌ها برای ایجاد اعتبارنامه‌هایی که واقعاً بتوانید به خاطر بسپارید را توضیح می‌دهد.

اصول کلیدی قدرت رمز عبور

برای سال‌ها، به کاربران گفته می‌شد که از رمزهای عبور "پیچیده" مانند P@ssw0rd1! استفاده کنند. استانداردهای مدرن امنیتی (مانند دستورالعمل‌های NIST 2025) تغییر کرده‌اند. امروزه، طول و یکتایی (منحصربه‌فرد بودن) بسیار مهم‌تر از پیچیدگی ظاهری هستند.

۱. طول در برابر پیچیدگی

آنتروپی ریاضی (میزان تصادفی بودن) با افزایش طول رمز عبور به شکل قابل توجهی افزایش می‌یابد. شکستن یک رمز عبور کوتاه با نمادهای عجیب برای کامپیوتر آسان‌تر از یک عبارت طولانی متشکل از کلمات تصادفی است.

  • ضعیف: Tr0ub4dor&3 (به‌خاطر سپردن آن برای انسان سخت، اما حدس زدن آن برای کامپیوتر آسان است).
  • قوی: correct horse battery staple (به‌خاطر سپردن آن برای انسان آسان، اما حدس زدن آن برای کامپیوتر سخت است).

توصیه: رمزهای عبور شما باید حداقل ۱۲ تا ۱۶ کاراکتر باشند. برای کلیدهای رمزگذاری حیاتی (مانند رمز BitLocker یا VeraCrypt خود)، هدف را روی ۲۰ کاراکتر یا بیشتر بگذارید.

۲. یکتایی (منحصربه‌فرد بودن)

شما باید برای هر حساب کاربری از یک رمز عبور یکتا و جداگانه استفاده کنید.

  • ریسک: اگر از رمز عبور یکسانی برای اینستاگرام و یک فروشگاه آنلاین کوچک استفاده کنید و آن فروشگاه هک شود، مهاجمان بلافاصله آن رمز را روی حساب‌های اینستاگرام، جیمیل و توییتر شما امتحان خواهند کرد. به این کار Credential Stuffing گفته می‌شود.
  • راه‌حل: هرگز رمزهای عبور را تکرار نکنید.

۳. آنتروپی (تصادفی بودن)

یک رمز عبور باید غیرقابل پیش‌بینی باشد. انسان‌ها در ایجاد تصادف واقعی بسیار بد عمل می‌کنند؛ ما به طور قابل پیش‌بینی حرف اول را بزرگ می‌نویسیم، از سال (مثلاً 2024) در انتهای رمز استفاده می‌کنیم، یا از الگوهای ساده‌ای مثل qwerty بهره می‌بریم. رمزهای عبور امن بر پایه تصادف واقعی بنا شده‌اند.

چگونه رمز عبور قوی بسازیم

ما دو استراتژی متفاوت را بسته به اینکه نیاز به حفظ کردن رمز دارید یا خیر، پیشنهاد می‌کنیم.

استراتژی الف: رمزهای تولید شده توسط ماشین (برای ۹۹٪ حساب‌ها)

برای تقریبا تمام حساب‌های خود (توییتر، ایمیل، دیجی‌کالا، اسنپ)، شما نباید رمز عبور خود را بدانید. شما باید از یک مدیر رمز عبور (Password Manager) برای تولید و ذخیره‌سازی یک رشته تصادفی از کاراکترها استفاده کنید.

  • مثال: X7f!m9#L2$pQz@v4
  • نحوه استفاده: این رمز را با استفاده از مدیر رمز عبور خود کپی و پیست کنید.
  • چرا: حدس زدن این رمز از نظر ریاضی غیرممکن است و شما را در برابر حملات دیکشنری (Dictionary Attacks) محافظت می‌کند.

[!INFO] راهنمای ما در خصوص [[Secure-Password-Storage-and-Managers]] را برای انتخاب ابزار مناسب مطالعه کنید.

استراتژی ب: عبارت‌های عبور دایس‌ور (برای رمزهای اصلی)

شما هنوز هم نیاز دارید چند رمز عبور را حفظ کنید: رمز عبور اصلی (Master Password) مدیر رمز عبور، رمز قفل صفحه لپ‌تاپ/موبایل و کلید رمزگذاری دیسک. برای این موارد، از روش دایس‌ور (Diceware) استفاده کنید.

دایس‌ور (Diceware) چیست؟ دایس‌ور با انتخاب کلمات تصادفی از یک لیست شماره‌گذاری شده، یک "عبارت عبور" (Passphrase) ایجاد می‌کند.

  1. تاس بریزید: یک تاس معمولی ۶ وجهی را پنج بار بیندازید تا یک عدد ۵ رقمی به دست آورید (مثلاً 4-1-2-5-3).
  2. جستجو کنید: کلمه مربوط به عدد 41253 را در یک لیست کلمات استاندارد (مانند لیست کلمات EFF) پیدا کنید.
  3. تکرار کنید: این کار را ۶ یا ۷ بار انجام دهید.

مثال نتیجه: viewable fastness reluctant squishy seventeen shown pencil

چرا این روش کار می‌کند:

  • آنتروپی بالا: یک عبارت ۷ کلمه‌ای از یک لیست ۷۷۷۶ کلمه‌ای، دارای حدود ۹۰ بیت آنتروپی است که آن را حتی در برابر حملات بروت‌فورس توسط بازیگران دولتی قدرتمند مقاوم می‌کند.
  • قابلیت به‌خاطر سپاری: ساختن یک داستان با این کلمات بسیار آسان‌تر از حفظ کردن رشته پیچیده‌ای مثل G7*b9!x است.

امنیت متناسب با بافت بومی: آنچه در ایران باید از آن اجتناب کرد

مهاجمان در ایران اغلب از دیکشنری‌های بومی‌سازی شده و داده‌های مهندسی اجتماعی برای شکستن رمزهای عبور استفاده می‌کنند. به طور خاص از موارد زیر پرهیز کنید:

۱. اجتناب از "فینگلیش"

بسیاری از کاربران ایرانی با تایپ کلمات فارسی با حروف انگلیسی (فینگلیش) یا تطبیق دادن جایگاه حروف فارسی روی کیبورد انگلیسی (مثلاً تایپ sibzamini یا s,dfcldkd بر اساس چیدمان کیبورد) رمز عبور می‌سازند.

  • ریسک: هکرها و گروه‌های وابسته به دولت از لیست‌ کلمات (Wordlists) تخصصی "فینگلیش" در ابزارهای بروت‌فورس خود استفاده می‌کنند. این رمزها به همان سادگی کلمات انگلیسی استاندارد شکسته می‌شوند.

۲. اجتناب از اطلاعات هویتی شخصی

از هیچ بخشی از اطلاعات زیر استفاده نکنید:

  • کد ملی
  • شماره شناسنامه
  • شماره موبایل
  • سال تولد (۱۳۶۰، ۱۳۷۵ و غیره)

دیتابیس‌های ایرانی حاوی این اطلاعات مرتباً نشت کرده یا در دسترس عوامل دولتی هستند. رمز عبوری که شامل 1370 یا ۴ رقم آخر شماره موبایل باشد، ناامن است.

۳. اجتناب از الگوهای رایج ایرانی

  • نام تیم‌های فوتبال ایرانی (پرسپولیس/استقلال).
  • نام‌های رایج (علی، مریم، محمد) که با 123 دنبال می‌شوند.
  • عبارات مذهبی یا ابیات مشهور شعر.

درک روش‌های حمله

برای دفاع از خود، باید بدانید دشمن چگونه تلاش می‌کند وارد شود.

۱. حملات بروت‌فورس و دیکشنری (Brute Force & Dictionary)

مهاجمان از نرم‌افزارها برای امتحان کردن میلیون‌ها ترکیب در ثانیه استفاده می‌کنند.

  • حمله دیکشنری: تمام کلمات موجود در دیکشنری (انگلیسی و فارسی/فینگلیش) را امتحان می‌کند.
  • بروت‌فورس: تمام ترکیب‌های ممکن کاراکترها را امتحان می‌کند (aaaa، aaab و غیره).
  • دفاع: "طول" بهترین دفاع است. هر کلمه یا کاراکتر اضافی، زمان مورد نیاز برای شکستن رمز را به صورت نمایی افزایش می‌دهد.

۲. آب‌جارو کردن رمز عبور (Password Spraying) / Credential Stuffing

  • استافینگ (Stuffing): مهاجمان یک دیتابیس لو رفته (مثلاً از یک فروم هک شده) را برمی‌دارند و دقیقاً همان جفت ایمیل/رمز عبور را روی تلگرام یا گوگل امتحان می‌کنند.
  • اسپری کردن (Spraying): مهاجمان یک رمز عبور رایج (مثل Tehran1403) را روی هزاران حساب کاربری مختلف امتحان می‌کنند تا باعث قفل شدن حساب‌ها نشوند.
  • دفاع: رمزهای عبور یکتا برای هر سایت.

۳. فیشینگ (مهندسی اجتماعی)

مهاجمان پیامک‌های جعلی (مثلاً ابلاغیه قضایی جعلی "سامانه ثنا") یا ایمیل‌هایی ارسال می‌کنند تا شما را فریب دهند که رمز عبور خود را در یک صفحه جعلی وارد کنید.

  • دفاع: مدیران رمز عبور (Password Managers) در اینجا کمک می‌کنند—اگر آدرس وب‌سایت دقیقاً مطابقت نداشته باشد (مثلاً g00gle.com به جای google.com)، آن‌ها فیلد رمز عبور را پر نمی‌کنند.

۴. کی‌لاگرها و مشاهده فیزیکی

  • کی‌لاگرها: بدافزارهایی که ضربات کلید شما را ضبط می‌کنند.
  • نظارت: در ایران، مراقب دوربین‌های مداربسته (CCTV) در کافه‌ها یا فضاهای عمومی باشید که ممکن است تایپ کردن رمز عبور توسط شما را ضبط کنند.
  • دفاع: دستگاه‌ها را عاری از بدافزار نگه دارید و هنگام تایپ در اماکن عمومی، کیبورد را بپوشانید.

نگهداری و مدیریت رمز عبور

به صورت دلبخواهی و دوره‌ای تغییر ندهید

توصیه‌های قدیمی پیشنهاد می‌کردند رمز عبور را هر ۹۰ روز عوض کنید. این کار اکنون یک روش غلط محسوب می‌شود (NIST 2025). تغییرات اجباری مکرر باعث می‌شود کاربران رمزهای ضعیف‌تری انتخاب کنند (تغییر Tehran1 به Tehran2).

  • چه زمانی تغییر دهیم: تنها در صورتی رمز را عوض کنید که مشکوک به هک شدن حساب هستید یا سرویس‌دهنده اعلام نشت اطلاعات کرده است.

بررسی نشت اطلاعات (Breaches)

به طور مرتب بررسی کنید که آیا ایمیل یا شماره تلفن شما بخشی از یک نشت اطلاعات بوده است یا خیر.

  • ابزار: Have I Been Pwned
  • اقدام: اگر ایمیل شما در یک نشت اطلاعاتی وجود داشت، بلافاصله رمز عبور آن سایت خاص را تغییر دهید.

سوالات بازیابی

"سوالات امنیتی" (مثلاً "نام پدر شما چیست؟") یک ضعف امنیتی هستند. پاسخ‌ها اغلب در اسناد عمومی موجودند یا حدس زدن آن‌ها آسان است.

  • بهترین روش: با پاسخ مثل یک رمز عبور برخورد کنید. یک رشته تصادفی با استفاده از مدیر رمز عبور خود بسازید و آن را ذخیره کنید.
    • سوال: "نام خانوادگی مادر شما قبل از ازدواج چیست؟"
    • پاسخ: X7f!m9#L2$pQz

چک‌لیست خلاصه

  1. از یک مدیر رمز عبور استفاده کنید برای تمام حساب‌ها به جز تعداد اندکی که باید حفظ کنید.
  2. یک رمز عبور یکتا بسازید برای هر سرویس جداگانه.
  3. از دایس‌ور (عبارات عبور) استفاده کنید برای رمز عبور اصلی و رمزگذاری دستگاه (حداقل ۶-۷ کلمه تصادفی).
  4. از فینگلیش پرهیز کنید و همچنین از داده‌های شخصی (کد ملی، شماره موبایل).
  5. رمزها را تغییر ندهید (چرخش دوره‌ای) مگر اینکه نشت اطلاعات رخ دهد.
  6. احراز هویت دو مرحله‌ای (MFA) را فعال کنید در هر جایی که ممکن است، تا لایه‌ای فراتر از رمز عبور اضافه کنید.

گام بعدی: اکنون که اصول بنیادین را درک کردید، به یک روش امن برای ذخیره این اعتبارنامه‌های یکتا نیاز دارید. به سراغ مطلب [[Secure-Password-Storage-and-Managers]] بروید.

منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.