سه‌شنبه 11 مارس 14 | 10:24

نکات کلیدی براي امنيت “رمزهای عبور”

در بخش های قبلی به مباحث حملات سایبری، نحوه پیشگیری امنیت در ایمیل، حملات مهندسی اجتماعی و نحوه مقابله با آنها، راهکارهای کاهش Spam و محتویات فعال و کوکی ها، نرم افزارهای ضد ویروس، کنترل دسترسی افراد به اطلاعات یک کامپیوتر و فایروال ها پرداختیم. در این بخش از آموزش به رمزهای عبور می پردازیم.


رمزهای عبور، روشی به منظور تائيد کاربران بوده و تنها حفاظ موجود بين کاربر و اطلاعات موجود بر روی يک کامپيوتر می باشند. مهاجمان با بکارگيری برنامه های متعدد نرم افزاری، قادر به حدس رمز های عبور و يا اصطلاحا “کراک” نمودن آنان می باشند. با انتخاب مناسب رمزهای عبور و نگهداری ايمن آنان، امکان حدس آنان مشکل و بالطبع افراد غير مجاز قادر به دستيابی اطلاعات شخصی شما نخواهند بود.

 

 

اهمیت يک رمز عبور

انسان عصر اطلاعات در طی مدت زمان حيات خود و متناسب با فعاليت های روزانه خود نيازمند استفاده از رمزهای عبور متفاوتی می باشد. بخاطر سپردن شماره کد دستگاه موبايل خود، شماره کد دستگاههای متفاوتی نظير دستگاهای ATM برای دريافت پول، شماره کد لازم به منظور ورود به يک سيستم کامپيوتری، شماره کد مربوط به برنامه های کامپيوتری نظير برنامه های پست الکترونيکی، امضای ديجيتالی درون يک بانک Online و يا فروشگاههای مجازی و موارد بسيار ديگر، نمونه هائی در اين زمينه می باشند. نگهداری اين همه عدد، حرف و شايد هم ترکيب آنان، کاربران را مستاصل و گاها نگران می نمايد. مهاجمان با آگاهی از رمز عبور شما قادر به برنامه ريزی يک تهاجم بزرگ و دستيابی به اطلاعات شما می باشند.

يکی از بهترين روش های حفاظت از اطلاعات، حصول اطمينان از اين موضوع است که صرفا افراد مجاز قادر به دستيابی به اطلاعات می باشد. فرآيند تائيد هويت و اعتبار کاربران در دنيای سايبر شرايط و ويژگی های خاص خود را داشته و شايد بتوان اين ادعا را داشت که اين موضوع بمراتب پيچيده تر از دنيای غيرسايبر است. رمزهای عبور يکی از متداولترين روش های موجود در خصوص تائيد افراد می باشد. در صورتی که شما رمزهای عبور را بدرستی انتخاب نکرده و يا از آنان بدرستی مراقبت ننمائيد، قطعا پتانسيل فوق جايگاه و کارآئی واقعی خود را از دست خواهد داد. تعداد زيادی از سيستم ها و سرويس ها صرفا بدليل عدم ايمن بودن رمزهای عبور با مشکل مواجه شده و برخی از ويروس ها و کرم ها با حدس و تشخيص رمزهای عبور ضعيف، توانسته اند به اهداف مخرب خود دست يابند.

 

 

انتخاب يک رمزعبور خوب

اکثر افراد از رمزهای عبوری استفاده می نمايند که مبتنی بر اطلاعات شخصی آنان می باشد، چراکه بخاطر سپردن اين نوع رمزهای عبور برای آنان ساده تر می باشد. بديهی است به همان نسبت، مهاجمان نيز با سادگی بيشتری قادر به تشخيص و کراک نمودن رمزهای عبور خواهند بود. به عنوان نمونه، يک رمز عبور چهار حرفی را در نظر بگيريد. ممکن است اين عدد ارتباطی با تاريخ تولد شما داشته و يا چهار شماره آخر شماره دانشجوئی و يا کارمندی و شماره تلفن باشد. اين نوع رمزهای عبور دارای استعداد لازم برای حملات از نوع “ديکشنری “، می باشند. مهاجمان در اين نوع از حملات با توجه به کلمات موجود در ديکشنری، سعی در حدس و تشخيص رمزهای عبور می نمايند.

با اين که تايپ نادرست برخی کلمات نظير daytt در مقابل استفاده از date ممکن است مقاومت بيشتری در مقابل حملات از نوع ديکشنری را داشته باشد، يک روش مناسب ديگر می تواند شامل استفاده از مجموعه ای کلمات و بکارگيری روش هائی خاص به منظور افزايش قدرت بخاطر سپردن اطلاعات در حافظه باشد. مثلا در مقابل رمز عبور “hoops”، از “IITpbb”، استفاده نمائيد. ( بر گرفته شده از کلمات عبارت: I Like To Play Basketball ) استفاده از حروف بزرگ و کوچک و ترکيب آنان با يکديگر نيز می تواند ضريب مقاومت رمزهای عبور را در مقابل حملات از نوع “ديکشنری” تا اندازه ای افزايش دهد. به منظور افزايش ضريب مقاومت رمزهای عبور، می بايست از رمزهای عبور پيچيده ای استفاده نمود که از ترکيب اعداد، حروف الفبائی و حروف ويژه، ايجاد شده باشند.

پس از تعريف يک رمز عبور مناسب، برخی از کاربران از آن به منظور دستيابی به هر سيستم و يا برنامه های نرم افزاری استفاده می نمايند. ( کليد جادوئی !) اين نوع از کاربران می بايست به اين نکته توجه نمايند که در صورتی که يک مهاجم رمز عبور شما را حدس و تشخيص دهد، وی به تمامی سيستم هائی که با اين رمز عبور کار می کنند، دستيابی پيدا می نمايد. به منظور تعريف رمزعبور، موارد زير پيشنهاد می گردد:

– عدم استفاده از رمزهای عبوری که مبتنی بر اطلاعات شخصی می باشند. اين نوع رمزهای عبور به سادگی حدس و تشخيص داده می شوند.

 

عدم استفاده از کلماتی که می توان آنان را در هر ديکشنری و يا زبانی پيدا نمود.

پياده سازی يک سيستم و روش خاص به منظور بخاطرسپردن رمزهای عبور پيچيده

استفاده از حروف بزرگ و کوچک در زمان تعريف رمزعبور

استفاده از ترکيب حروف، اعداد و حروف ويژه

استفاده از رمزهای عبور متفاوت برای سيستم های متفاوت

 

 

حفاظت از رمزهای عبور

پس از انتخاب يک رمزعبور که امکان حدس و تشخيص آن مشکل است، می بايست تمهيدات لازم در خصوص نگهداری آنان پيش بينی گردد. در اين رابطه موارد زير پيشنهاد می گردد:

– از دادن رمز عبور خود به ساير افراد جدا اجتناب گردد.

– از نوشتن رمز عبور بر روی کاغذ و گذاشتن آن بر روی ميز محل کار، نزديک کامپيوتر و يا چسباندن آن بر روی کامپيوتر، جدا اجتناب گردد. افراديکه امکان دستيابی فيزيکی به محل کار شما را داشته باشند، براحتی قادر به تشخيص رمز عبور شما خواهند بود.

– هرگز به خواسته افراديکه ( مهاجمان ) از طريق تلفن و يا نامه از شما درخواست رمز عبور را می نمايند، توجه ننمائيد.

در صورتی که مرکز ارائه دهنده خدمات اينترنت شما، انتخاب سيستم تائيد را برعهده شما گذاشته است، سعی نمائيد يکی از گزينه های Kerberos, challenge/response, و يا public key encryption را در مقابل رمزهای عبور ساده، انتخاب نمائيد .

تعداد زيادی از برنامه ها امکان بخاطر سپردن رمزهای عبور را ارائه می نمايند، برخی از اين برنامه ها دارای سطوحمناسب امنيتی به منظور حفاظت از اطلاعات نمی باشند. برخی برنامه ها نظير برنامه های سرويس گيرنده پست الکترونيکی، اطلاعات را به صورت متن ( غيررمزشده) در يک فايل بر روی کامپيوتر ذخيره می نمايند. اين بدان معنی است که افراديکه به کامپيوتر شما دستيابی دارند، قادر به کشف تمامی رمزهای عبور و دستيابی به اطلاعات شما خواهند بود. بدين دليل، همواره بخاطر داشته باشيد زمانی که از يک کامپيوتر عمومی ( در کتابخانه، کافی نت و يا يک کامپيوتر مشترک در اداره ) استفاده می نمائيد، عمليات logout را انجام دهيد. برخی از برنامه ها از يک مدل رمزنگاری مناسب به منظور حفاظت اطلاعات استفاده می نمايند. اين نوع برنامه ها ممکن است دارای امکانات ارزشمندی به منظور مديريت رمزهای عبور باشند.

ثبت نظر

نام:
رایانامه: (اختیاری)

متن: