چند روش ساده برای امنیت گذر واژه (پسورد)
ساعت ۱٠:۳۸ ‎ب.ظ روز ۱۳٩۱/٦/٥ : توسط : نادررشیدی

چند روش ساده برای امنیت گذر واژه (پسورد)

در عصر فناوری اطلاعات که روز به روز بر پیچیدگی آن افزوده می شود یکی از نخستین مسائل امنیتی که باید کاربران رعایت کنند استفاده از گذرواژه های امن است. در این بخش نکاتی جهت بهبود امنیت گذرواژه یا همان پسورد خدمت شما ارائه میدهیم.

مؤسسه یاهو اذعان کرد که هکرها فایلی قدیمی حاوی اطلاعات متعلق به کاربران خدمات یاهو وویسز را از این مؤسسه ربودند. شیوه نگهداری این گذرواژه­‌ها که کدگذاری نشده بودند، نمونه­‌ای شاخص از اقدامات ضعیف امنیتی و مدیریت ضعیف گذرواژه است.

بنا بر اعلام شرکت امنیت اِسِت از 440 هزار گذرواژه، متداول‌ترین گذرواژه­‌ها به ترتیب عبارت بودند از "123456"، "password"، "welcome"، "ninja" و "abc123". فصل مشترک تمام هک­‌ها استفاده از گنجینه­ گذرواژه­‌هاست که تأکیدی است بر دشواری مدیریت گذرواژه­‌ها برای افراد و شرکت­‌ها.


بر اساس مطلب سایت سازمان فناوری اطلاعات، این موقعیت حقیقتی بنیادین را آشکار می­‌کند: وقتی موضوع امنیت در میان است راحت می­‌توان به دیگران گفت که چه کار کنند؛ در واقع، آن­چه دشوار است واداشتن افراد به اجرای توصیه­‌ها است. در این متن مجموعه­‌ای از نکات برای سازمان­ها و کارکنان­شان ارائه شده است تا مدیریت گذرواژه­‌ها و قدرتمندتر کردن آن­ها و در عین حال سهولت به خاطر سپردن­شان میسر شود.

1. بازی­‌های ذهنی: به خاطر سپردن گذرواژه­ برای همه مشکل است. بر اساس نتایج سنجشی که شرکت لیبرمن سافت­ور (Liberman Software) در اکتبر 2011 بر روی 300 متخصص آی­‌تی انجام داد، 51 درصد از پاسخگویان حداقل 10 گذرواژه داشتند که باید برای کاربرد در محیط کار به یاد می­‌سپردند و 42 درصد گفتند که در سازمان­ کارکنان بخش آی­‌تی از گذرواژه­‌های مشترک برای دسترسی به سیستم­‌ها و نرم­‌افزارهای کاربردی استفاده می­‌کنند.

2. اندازه گذرواژه مهم است: گذرواژه هر چه طولانی­‌تر باشد، بهتر است. هشت کاراکتر همیشه کارآمد نیست. در واقع، بسیاری توصیه می­‌کنند که در صورت امکان از گذرواژه­‌هایی با 12 تا 14 کاراکتر استفاده شود. به گفته پی­یرلوییجی استلا، مدیر بخش فناوری نت­ورک باکس (Network Box) نکته اصلی که باید در هنگام تصمیم­‌گیری درباره گذرواژه به خاطر سپرد، این است که با انسان­‌ها سروکار داریم.

او توصیه می‌کند که جمله­‌ای معنی­‌دار برای خود بسازید و با حذف فاصله یا قرار دادن کاراکتری مابین کلمات، گذرواژه خود را شکل بدهید. بعد از آن می‌توانید با تغییر بخش­‌هایی کوچک آن را به گذرواژه­‌های دیگر بدل سازید. به گفته وی، اساساً از فرایندی ذهنی استفاده کنید که امکان بازسازی گذرواژه را در صورت فراموش کردنش فراهم سازد و حتماً از گذرواژه­‌های طولانی استفاده کنید، مثلاً با 20 حرف یا بیش­تر.

3. مشکل کاربرد گذرواژه­‌های تکراری: بررسی گذرواژه­‌های لورفته در اتفاق مربوط به یاهو نشان داد که مردم برای سایت­‌ها و خدمات متفاوت از گذرواژه‌های واحد استفاده می­‌کنند. شاید این کار بعضی وقت­‌ها خیلی مهم نباشد. برای مثال، اگر هکری به گذرواژه‌ای دست یابد که کسی در سایت­‌های مختلف از آن استفاده کرده اما آن سایت­‌ها حاوی اطلاعات حساسی درباره فرد مذکور نباشد، می­‌توان از اثرات جانبی آن چشم­‌پوشی کرد. اما اگر هکری گذرواژه ای‌میل کسی را بفهمد و این گذرواژه همانی باشد که آن فرد برای سایت تجارت الکترونیک نیز از آن استفاده می­‌کند، مشکل بروز خواهد کرد. به همین دلیل از کاربرد گذرواژه­‌های تکراری باید اجتناب کرد.

4. ترکیب حروف گذرواژه: در گذرواژه­‌ها باید از انواع کاراکترها استفاده کرد، مثلاً اعداد یا علایم مختلف سجاوندی؛ البته در صورت امکان. این اقدام موجب می­‌شود که نتوان به آسانی گذرواژه را حدس زد. در واقع، استفاده از کلمات واقعی می­‌تواند حساب کاربری را در برابر "حملات دیکشنری" آسیب­‌پذیر سازد. در این نوع حملات، گذرواژه­‌های متداول مورد حمله قرار می­‌گیرند. به علاوه، از اطلاعات شخصی قابل کشف در گذرواژه‌ها، مثل روز تولد و امثال آن استفاده نکنید.

5. چرخه عمر گذرواژه: در حالی که بعضی سازمان­‌ها کاربران را به تغییر گذرواژه­‌ها در دوره­‌های چندماهه وادار می­‌سازند، این سیاست اگر منجر به تغییر بیش از حد گذرواژه­‌ها شود می­‌تواند به نتیجه عکس بیانجامد. نتیجه این وضعیت منجر به کاربرد گذرواژه­‌های ضعیف­‌تر می­‌شود که به یاد سپردن­شان راحت­‌تر است. سازمان­‌ها باید پیش از تعیین محدودیت زمانی به این نکته توجه کنند که احتمال حدس زدن گذرواژه فعلی یا نفوذ در آن در مقابل احتمال سرقت آن در صورت تغییر نکردنش چقدر است. هوشمندانه­‌تر این است که از ابتدا کاربران به تعیین گذرواژه­ای قدرتمند ترغیب شوند، نه آن که مرتب به تغییر گذرواژه واداشته شوند.

6. ذخیره کردن گذرواژه: دلیل دیگری که به تأثیر بیش­تر هک شدن یاهو انجامید، این بود که گذرواژه­‌ها رمزگذاری نشده بودند. این گذرواژه­‌ها در فایلی قدیمی حاوی اطلاعات ورود به سیستم ذخیره شده بودند. اگر اطلاعات هویتی لازم برای ورود به سیستم رمزگذاری شده بود، مجرمان سایبری نمی­‌توانستند بدون رمزگشایی از آن­‌ها استفاده کنند و رمزگشایی این اطلاعات نیز برای آنان کاری بسیار دشوار بود.

7. کنترل شدید حساب­‌های کاربری برتر: استفاده از حساب­‌های کاربری که کاربران آن­‌ها از امتیاز بالایی برخوردارند باید به شدت تحت کنترل باشد. مؤسسه IOUG در سنجشی درباره امنیت پایگاه داده در سال 2011 دریافت که 65 درصد از پاسخگویان یا نمی­‌دانستند و یا مطمئن نبودند که بتوانند سوء­استفاده از حساب­‌های کاربری برتر را پیگیری کنند.

ردگیری کسانی که از این حساب­‌ها استفاده می­‌کنند و چگونگی کاربرد آن­ها ممکن است برای شرکت­‌ها بسیار دشوار باشد. راب راشوالد، مدیر راهبرد امنیت ایمپروا (Imperva) می­‌گوید: نکته اصلی این است که این نوع حساب­‌ها تحت نظارت باشند، نه فقط برای استفاده پنهانی یا برای زمانی که برای این موضوع درخواست می­‌شود، بلکه همچنین برای هنگام دسترسی غیرمجاز به داده/آی­‌پی که نشانه آلودگی است.

8. وقتی گذرواژه­‌ها کافی نیستند: بعضی وقت­‌ها گذرواژه­‌ها به تنهایی امنیت کافی ایجاد نمی­‌کنند. بسیاری از سازمان­‌ها استفاده از روش تأیید دو مرحله­‌ای، مانند ارسال پیام به تلفن همراه جهت تأیید تبادلات بانکی آنلاین را آغاز کرده­‌اند. در بعضی شرایط، برای مشاغل استفاده از این روش برای ایجاد یک لایه امنیتی دیگر منطقی است.

منبع :بر گرفته از وبلاگ سید عباس رضوی