مقاله 1Password 3 نرم‌افزار امنيتي مرورگرهاي MAC

[Fahim 9563]

امنيت بيشتر مرورگرهاي Mac با بهره گيري از نرم افزار 1Password

نويسنده: ولاديمر جراسك منبع: مجله Inseure ترجمه: محمد ناصح

 

اشاره: تاكنون چند مرتبه به‌عنوان يك متخصص امنيتي به دوستان و اعضاي خانواده خود يادآوري كرده‌ايد كه استفاده از يك رمز عبور براي تمام حساب‌ها، كار درستي نيست و خطرات امنيتي به‌دنبال دارد؟ با وجود اين، به گزارش آژانس امنيتي CCP بسياري از كاربران دقيقاً همين كار را انجام مي‌دهند! اين افراد كار خود را اين‌گونه توجيه مي‌كنند: «به‌خاطر سپردن تمام رمزهاي عبور، بسيار مشكل است. به همين دليل من تنها از يك رمز عبور پيچيده استفاده مي‌كنم.» واضح است كه اين گفته صحت ندارد و پيچيدگي رمز عبور مورد‌استفاده چنين كاربراني موجب افزايش امنيت اطلاعات آن‌ها نمي‌شود. در اين مقاله يك راه‌حل كارآمد و قابل اجرا براي حفظ امنيت كاربران مك و آي‌فون ارائه مي‌كنيم. همچنين نحوه استفاده از ابزار 1Password را براي مديريت تمام رمزهاي عبور، ذخيره اطلاعات مهم و فراهم كردن امكان دسترسي به آن‌ها را از طريق آي‌فون مورد بررسي قرار مي‌دهيم. براي اين كار از نسخه‌3 اين ابزاراستفاده مي‌كنيم.

آشنايي با 1Password

قبل از معرفي 1Password بهتر است به قابليت‌هاي مرورگر‌ها در اين زمينه نگاهي داشته باشيم. ويژگي «به خاطر داشتن رمز عبور‌» در مرورگرهاي سافاري يا فايرفاكس براي كار با رمزهاي عبور وب مناسب است، اما قابليت‌هاي محدودي دارد و معمولاً كاربر را درگير ساخت رمزهاي عبور جديد براي سايت‌هاي جديد مي‌كند. در اين وضعيت، دو راه پيش‌رو داريد: يا بايد از يك رمز عبور براي چندين سايت استفاده كنيد يا بايد از ابزارهاي متفرقه توليد رمز عبور بهره ‌بگيريد. اما براي انجام اين كارها مي‌توانيد از ابزار 1Password نيز استفاده كنيد.

 

اين ابزار مانند يك هسته مديريتي در كامپيوتر مك عمل مي‌كند و در تمام مرورگرهاي اصلي موجود روي كامپيوتر افزونه‌اي را ضميمه مي‌كند. در حال حاضر، جريان كاري مورد استفاده براي ايجاد و ثبت رمز‌هاي عبور در كامپيوتر شخصي من به شرح زير است:

1- ورود به صفحه ثبت‌نام

2- درج اطلاعات موردنياز شامل نام كاربري؛ مي‌توان براي انجام اين كار هم از ابزار 1Password استفاده كرد.

3- كليك روي آيكون ابزار 1Password و انتخاب ويژگي

Strong password generator براي ايجاد پيچيده‌ترين رمزعبوري كه سايت موردنظر از آن پشتيباني مي‌كند.

4- كليك روي دكمه Submit واقع در صفحه وب؛ با اين كار ابزار 1Password پيغامي را براي دريافت مجوز ذخيره اطلاعات در بانك اطلاعاتي خود نمايش مي‌دهد.

در مراجعه‌هاي بعدي به‌‌سايت كافي است روي آيكون 1Password كليك كرده و گزينه Fill the login را انتخاب و وارد سايت شويد. در جريان كار از ويژگي Autosubmit استفاده كنيد تا مجبور نباشيد، روي دكمه Submit در صفحه وب كليك كنيد (شكل زير).

 

رمز پيچيده

بزرگ‌ترين مزيت استفاده از ابزار 1Password امكان توليد رمزهاي عبور پيچيده و منحصربه‌فرد براي سايت‌هاي مختلف با استفاده از ويژگي Strong Password Generation است. گزينه‌هاي اين كادرمحاوره‌اي بسيار ساده هستند. در بخش Advanced مي‌توانيد ترتيبي دهيد كه رمز‌عبور جزء عبارات با‌معني باشد يا كاراكترهاي آن به‌طور اتفاقي انتخاب شوند. اگر به يادآوري رمزهاي‌عبور نيازي نداريد، گزينه Random را انتخاب كنيد (شكل ‌زير). با استفاده از گزينه Random مي‌توان رمزعبوري با تعداد ارقام و نماد‌هاي ازپيش تعيين شده توليد كرد. اين قابليت براي سايت‌هايي كه از درج نمادها درون كادر رمزعبور پشتيباني نمي‌كنند، كارايي دارد. همچنين با انتخاب تعداد ارقام (حداكثر 10 رقم) برابر با طول رمزعبور مي‌توان ترتيبي داد كه براي توليد آن تنها از ارقام استفاده شود.

 

رابط كاربري

با وجود اين‌كه قصد بررسي ويژگي‌هاي ظاهري 1Password را نداريم، خوب است دست‌كم نمايي از رابط كاربري اين برنامه را مشاهده كنيد. شكل‌ زير اقلام موجود در بخش Vault را به‌شرح زير نمايش مي‌دهد:

 

ويژگي Logins: اين ويژگي، تمام ‌سايت‌هايي را كه رمزعبور دارند، ذخيره مي‌كند.

ويژگي Accounts: اين ويژگي، رمزهاي عبور مربوط به خدمات غيروبي مانند سرورهاي FTP، شبكه‌هاي بي‌سيم، حساب‌هاي ايميل و بانك‌هاي اطلاعاتي را ذخيره مي‌كند. با وجود اين‌كه 1Password در چنين خدماتي نمي‌تواند مشخصات كاربر را به‌طور خودكار وارد كند، اما امكان كپي‌كردن اطلاعات موجود را به‌سادگي فراهم مي‌كند.

 

ويژگي Identities: اگر همواره در حال ثبت‌نام درون ‌سايت‌هاي جديد و درج مشخصات خود در آن‌ها هستيد، ويژگي Identities امكان ساخت چندين هويت مجازي و درج اطلاعات‌آن‌ها را درون ‌سايت‌هاي موردنظر فراهم مي‌كند. نتايج حاصل از به‌كارگيري اين ويژگي گاهي مطابق انتظار نيست، زيرا استانداردهاي مورداستفاده براي نام‌گذاري اجزاي مختلف فرم‌‌ثبت‌نام در بسياري از موارد رعايت نمي‌شود.

 

ويژگي Secure Notes: سيستم‌عامل مك براي ذخيره اطلاعات ساخت‌نيافته، ويژگيSticky Notes را در اختيار كاربران قرار داده است. ويژگي Secure Notes نيز چيزي شبيه آن است، با اين تفاوت كه توسط ويژگي‌هاي امنيتي ابزار 1Password محافظت مي‌شود.

 

ويژگي Software: اين ويژگي جديد در 1Password 3 عرضه شده است. كافي است يك برنامه را از پوشه Applications بكشيد و رها كنيد تا 1Password يك ورودي جديد توليد كرده، نسخه برنامه را شناسايي و يك آيكون جديد را به اين قسمت اضافه كند. مي‌توانيد از اين ويژگي براي ذخيره مجوز تمام نرم‌افزارهاي مورد استفاده خود بهره بگيريد.

 

ويژگي Wallet: اين ويژگي‌ براي درج مشخصات كارت اعتباري در صفحات پرداخت اينترنتي كارايي دارد و در 99 درصد موارد به خوبي عمل مي‌كند. عملكرد اين ويژگي نيز براساس همان معيارهايي است كه در ويژگي Identities ذكر شد.

 

پشت صحنه

ابزار 1Password 3 از يك نوع اختصاصي مجموعه كليد (Key chaine) بهره مي‌برد كه در مقايسه باMac OS X Keychain مزاياي بيشتري دارد. هنگام استفاده از زنجيره كليدي Agile، هر ورودي در واقع يك فايل در‌سيستم فايلي است (شكل زير).

 

 

كليد كدگذاري اطلاعات از يك رمزعبور اصلي گرفته‌مي‌شود كه هنگام Unlock كردن زنجيره كليدي كاربرد دارد. ساختار فايل مذكور را در فهرست زير مشاهده مي‌كنيد.

{“keyID”:”4E0D436BBF524E47222234102707

B514FF1”,”locationKey”:”theweb.co.uk”,”encry

pted”:”U2FdfRsjddsk463jdgso38hhLNsdGVkX

19jB7GLg2kw+hlRjZEETUNyom8zwACz8rliN/

/BATiS7tbersko8r7lqwehro132iqwegfo8132db

ewyi9+RoYqtuSslg==\u0000”,”typeName”:”we

bforms.WebForm”,”openContents”:{“contents

Hash”:”39105b88”,”passwordStrength”:46,”us

ername Hash”:”dad1289817469123481649643

845244cdf76fed50a84”,”securityLevel”:”SL5”,”

password Hash”:”673f12f43886923487592347

592345b2c221678cc710f24”},”location”:”https:

//consulting-jobs.theweb.co.uk”,”uuid”:”0CBD0

B9345793456B423D5B160”,”updatedAt”:1215

729057,”createdAt”:1215729057,”title”:”test

Web”,”folderUuid”:”F0CFF318736744349AC9

3FC0F004741E”}

 

 

پيكربندي

با بررسي تنظيمات 1Password متوجه قابليت‌هاي اين ابزار مي‌شويد. با استفاده از اين تنظيمات مي‌توانيد ترتيبي دهيد كه پس از گذشت زمان مشخصي مجموعه كليد 1Password به‌طور خودكار قفل شود، كامپيوتر در حالت Sleep قرارگيرد يا محافظ صفحه‌نمايش فعال شود.

 

گزينه Never prompt for master password براي ذخيره رمزعبور اصلي 1Password در زنجيره كليدي سيستم‌عامل Mac OS X كارايي دارد. اين گزينه هنگام ورود كاربر به سيستم، به‌طور خودكار 1Password را Unlock مي‌كند. با وجود اين كه زنجيره كليدي Mac OS X امنيت بالايي را تأمين مي‌كند، بهتر است ابزار 1Password را به‌طور دستي Unlock كرد (شكل زير).

 

 

هر كجا كه باشيد

يكي از ويژگي‌هاي 1Password كه مي‌تواند براي كاربران مفيد باشد، 1Password Anywhere نام دارد. چنان‌كه پيش‌از اين گفته شد، زنجيره 1Password در واقع يك پوشه است. اين پوشه را مي‌توان روي يك حافظه فلش ذخيره كرد يا آن را روي يك دستگاه ذخيره‌سازي آنلاين قرار داده و با استفاده از مرورگر به آن دسترسي يافت. اين قابليت امكان دسترسي به تمام اطلاعات موجود در 1Password را از طريق تمام مرورگرهاي جديد فراهم مي‌كند. رابط وب تقريباً در تمام مرورگرها يكسان است (شكل زير).

 

با Unlock كردن‌ 1Password مي‌توانيد تمام اطلاعات آن را بخوانيد، اما امكان ويرايش اين اطلاعات را نداريد. با توجه به اين كه اطلاعات 1Password در مقابل حمله‌هاي آفلاين آسيب‌پذير است، توصيه مي‌كنيم اين اطلاعات را در موقعيت‌هاي متعدد ذخيره نكنيد. با اين اوصاف، ميزان پيچيدگي رمزعبور اصلي، كليد ايمن‌سازي اطلاعات 1Password است.

 

مشكلات

ابزار 1Password در اغلب موارد به‌خوبي عمل مي‌كند، اما هنگام استفاده از رمز‌هاي عبور نشانه‌گذاري شده، مشكلاتي بروز مي‌كند. به‌عنوان‌مثال، سايت

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

را درنظر بگيريد. براي ورود به اين سيستم بايد آدرس ايميل و كدپستي خود را وارد كنيد. در صفحه بعدي از شما خواسته مي‌شود به‌طور فرضي دومين و چهارمين كاراكتر از رمزعبور خود را وارد‌كنيد. ابزار 1Password هيچ راهي براي تشخيص كاراكترهاي موردنظر ‌سايت در اختيار ندارد. در اين شرايط، جريان كار كمي پيچيده‌تر است. بايد ابزار 1Password را باز كرده و اطلاعات مربوط به سايت را بيابيد؛ سپس رمزعبور آن به نمايش در‌مي‌آيد.

 

يك مشكل ديگر 1Password اين است كه گاهي به‌خوبي عمل نمي‌كند؛ به‌ويژه درسايت‌هاي پيچيده كه ورود يا ثبت‌نام در آن‌ها با اجراي كد جاوااسكريپت انجام مي‌گيرد. اين ابزار درباره بعضي از ‌سايت‌ها اصلاً عمل نمي‌كند. البته بايد بگويم كه توسعه‌دهندگان 1Password پس از اطلاع از اين وضعيت، سايت‌هاي مذكور را بررسي كرده و بعضي از اين مشكلات را در نسخه‌هاي جديد نرم‌افزار برطرف كردند.

 

‌نسخه آي‌فون

اغلب ما از كامپيوترهاي روميزي استفاده مي‌كنيم و در‌نتيجه همواره به‌كامپيوتر خود دسترسي نداريم، اما گوشي‌موبايل يكي از ابزارهايي است كه همواره به‌همراه داريم. مناسب‌ترين نرم‌افزاري كه مي‌توان همراه 1Password به‌كار گرفت، 1Password Touch Pro است. نرم‌افزار مذكور تمام اطلاعات 1Password را با گوشي آي‌فون منطبق (sync) مي‌كند.

البته، در اينجا مدل امنيتي كمي متفاوت است؛ اطلاعات و‌رودي 1Password Touch با استفاده از يك كد 4 رقمي محافظت مي‌شود. هريك از اقلام بانك اطلاعاتي 1Password داراي شاخصي است كه لزوم استفاده از يك رمزعبور را براي Unlock كردن همين اطلاعات در 1Password Touch تعيين مي‌كند (شكل زير).

 

 

رمز عبور اصلي برنامه تحت آي‌فون از نسخه تحت‌مك همين برنامه مستقل است و زماني تعيين مي‌شود كه 1Password Touch براي نخستين‌بار نصب و اجرا مي‌شود. براي دسترسي به اطلاعات بسيار مهم بايد كد 4 رقمي و سپس رمزعبور اصلي را وارد‌كنيد. اگر تمايلي به‌ذخيره اطلاعات بسيار مهم روي گوشي آي‌فون نداريد،‌ مطابق شكل زير مي‌توانيد تنها بعضي از پوشه‌هاي حاوي اطلاعات را انتخاب كنيد.

 

استفاده از 1Password Touch بسيار ساده است و ويژگي‌هاي جالب توجهي را مانند مرورگر يكپارچه با قابليت ورود خودكار يا كپي كردن اطلاعات در اختيار كاربرمي‌گذارد. اين نرم‌افزار با استفاده از پروتكل Bonjour با امنيت بالا با نرم‌افزارهاي دسكتاپ منطبق‌سازي (sync) مي‌شود. ساختار منطبق‌سازي نيز به‌ نسبت ساده است.

 

در باره نويسنده:

ولاديمير جراسك، يك متخصص امنيتي مجرب است كه در حال حاضر به‌عنوان معمار امنيتي در شركت نوكيا فعاليت مي‌كند. او داراي گواهي‌نامه‌هاي CISSP-ISSAP، ISSMP، CISM و CISA بوده و عضو ISSA UK‌ است.