اخیرا تعداد بسیار زیادی اطلاعات ورود به سایت‌های مختلف در قالب یک دیتابیس عظیم لو رفته که ممکن است رمزعبور و اطلاعات ورود شما هم در میان آنها باشد.

در ادامه به ابعاد این درز عظیم اطلاعات و چگونگی مقابله با آن پرداخته شده است.

این درز عظیم اطلاعات شخصی با عنوان «Collection #1» یا «مجموعه شماره یک» اولین بار در هفته دوم ژانویه ۲۰۱۹ در شبکه اشتراک فایل MEGA منتشر شد که شامل ۸۷ گیگابایت اطلاعات است. اطلاعاتی در قالب جداولی با ۲ میلیارد و ۶۹۲ میلیون و ۸۱۸ هزار و ۲۳۸ ردیف که در قالب دوازده هزار قایل منتشر شدند. پیش از این نیز بارها اطلاعات ورود کاربران به برخی سایت‌ها لو رفته است، اما این بزرگترین درز اطلاعات در تاریخ اینترنت است که ایمیل‌ها و رمزهای ورود به سایت‌های مختلف را در خود دارد.

اگر چه این فایل‌ها از سرویس MEGA حذف شدند، اما به گفته تونی هانت (Tony Hunt) که محقق در حوزه امنیت است این فایل کماکان در تالارهای گفتگوی مرتبط با هک دست‌به‌دست می‌شود.

آقای هانت اطلاعات «مجموعه شماره یک» را در سایتش Have Been I Pwned?‎ منتشر کرد تا کاربران بتوانند با جستجو در آن متوجه شوند اطلاعات ورودشان به چند سایت در این مجموعه وجود دارد. در این وبسایت در مجموع اطلاعات نزدیک به شش و نیم میلیارد حساب لو رفته از ۳۴۰ وبسایت با هدف کمک به صاحبان آن- ذخیره شده است.

کاربران می‌توانند با جستجوی آدرس ایمیل خود در این سایت، وضعیت سایت‌هایی که در آنها ثبت‌نام کرده و اطلاعات ورودشان در آن سایت‌ها لو رفته را بازبینی کنند. از این طریق می‌توانند با تغییر رمزعبور خود در آن سایت‌ها و سرویس‌ها نسبت به قطع دسترسی هکرها اقدام کنند.

به گفته هانت بیش از یک میلیارد و ۱۶۰ میلیون ترکیب یکتا از آدرس‌های ایمیل و رمزهای عبور در «مجموعه شماره یک» وجود دارد که بیش از ۱۴۰ میلیون ایمیل قبل از پیدایش این مجموعه، در سایت Have been I Pwned? وجود نداشته‌اند.

بیش از ۷۰۰ میلیون از حساب‌های لو رفته در این مجموعه حدود ۲۱ میلیون رمزعبور مشترک داشته‌اند. این فاجعه‌ای در انتخاب رمزعبور مناسب و توجه به اهمیت امنیت است. اغلب آنها علاوه بر انتخاب رمزعبور ساده، رمزهای عبور یکسانی را برای سایت‌ها و سرویس‌های مختلف استفاده کرده‌اند. بیشترین پسوردهای استفاده شده شامل 123456 و 123456789 می‌شود.

شناسایی عامل یا عاملان ساخت و انتشار این مجموعه تقریبا غیرممکن است، اما به گفته هانت این مجموعه ترکیبی از درز اطلاعات قبل است که به صورت یکجا منتشر شده. تخمین او، تجمیع بیش از دو هزار درز اطلاعات مشابه به صورت یکجاست.

پیش از این، بزرگترین درز اطلاعات یکتا مربوط به هک یاهو در سال ۲۰۱۳ بود که به واسطه آن اطلاعات بیش از سه میلیارد حساب لو رفت و عامل حمله هم هرگز اعلام یا مشخص نشد.

چه باید کرد؟

اما با توجه به انتشار «مجموعه شماره یک»، برای حفاظت از اطلاعات ورود چه باید کرد؟

اولین قدم به طور قطع تغییر رمزهای عبور در همه سایت‌ها و سرویس‌ها و عدم استفاده از رمزهای قبلی در هیچ سایت، سرویس یا اپلیکیشنی است. هیچ دو پسوردی در هیچ دو سایت یا اپی هرگز نباید یکسان باشند.

اما استفاده از رمزهای عبور یکتا به معنی از بر کردن صدها رمزعبور در حافظه نیست. سرویس‌هایی مثل LastPass و 1Password وجود دارند که در جایگاه ابزار مدیریت رمزهای عبور می‌توانید از آنها در این مسیر استفاده کنید. با کمک این ابزارها می‌توان رمزهای عبور قوی، پیچیده و امن را برای سایت‌ها و سرویس‌های مورد استفاده خود ساخته و به راحتی مورد استفاده قرار دهید.

اگر از جمله افرادی هستید که اعتماد به ابزار مدیریت رمزهای عبور برای‌تان منطقی به نظر نمی‌رسد، حتما توجه داشته باشید که به هنگام انتخاب رمزعبور، ترکیبی از حروف کوچک و بزرگ، اعداد و کارکترهای خاص را استفاده کنید. برای مثال پسوردی مانند ITCUYF&%Dcr4w7$86tdgCUDYc با کمک LastPass ساخته شده. استفاده از ابزارهای مدیریت رمزعبور، در تولید رمزهای عبور قابل اتکا نیز به شما کمک می‌کند.

اما فارغ از استفاده از ابزارهای مدیریت رمزهای عبور، استفاده از متدهای جانبی برای احراز هویت نیز توصیه می‌شوند. ورود دومرحله‌ای از جمله مهمترین آنهاست که در حال حاضر بسیاری از سایت‌ها و سرویس‌ها آن را پشتیبانی می‌کنند. در این روش یک اپلیکیشن کدساز روی تلفن هوشمند شما کدهایی چند رقمی زمان‌دار برای شما تولید می‌کند که در کنار پسورد، برای ورود به سایت مورد نظرتان ضروری هستند. امکان دریافت این کدها از طریق پیامک هم وجود دارد. اما توصیه، استفاده از اپلیکیشن‌هایی مانند LastPass Authenticator و Google Authenticator است.

فعال کردن این قابلیت در سایت‌هایی که از آن پشتیبانی می‌کنند، دست ماهرترین هکرها را هم از حساب‌های شما دور کرده یا کار را برای آنها بسیار سخت‌تر می‌کند. حتی اگر آنها به پسورد شما دسترسی داشته باشند، بدون کد ورود دومرحله‌ای نمی‌توانند به حساب‌تان وارد شوند و بدین ترتیب اطلاعات‌تان از دسترسی‌های غیرمجاز حفاظت شده است.