اخبار > رمز عبور امن




رمز عبور امن

مقدمه
به‌طورمعمول اكثر كاربران وسايل الكترونيك ازجمله رايانه، اينترنت، موبايل براي محافظت سيستم خود از افراد غيرمجاز از رمز عبور استفاده ميكنند. به‌عنوان‌مثال افراد براي دريافت پول از دستگاه عابر بانك، خريد اينترنتي، خريد از طريق دستگاه POS، ورود به رايانه و ايميل از رمز عبور استفاده ميكنند. رمز عبور به‌طورمعمول از دنباله اعداد، حروف، كاراكترهاي غير حرفي تشكيل‌شده است؛ ازاين‌رو به خاطر سپردن تمام اين حروف و اعداد تركيبي به‌مرورزمان با توجه به محدوديت حافظه كاربران سخت و با مخاطره فراموشي همراه است.
امروزه رايجترين روش احراز هويت استفاده از رمز عبور است؛ اما اگر رمز عبور شما (ازنظر امنيتي) به‌درستي انتخاب نشود و محرمانگي آن حفظ نگردد، هيچ تأثيري در حفظ امنيت حسابهاي كاربريتان ندارد. بسياري از سيستمها و خدمات الكترونيكي به دليل انتخاب رمز عبور ضعيف آسيب¬پذير هستند و حتي بعضي از ويروسها و كرمها ميتوانند رمز عبور اين سيستمها را حدس زده و به آنها آسيب برسانند.
انتخاب رمز عبور با امنيت بالا
رمزهاي عبور به‌عنوان اولين لايه حفاظتي مفيد هستند، ولي آن‌ها توسط روش‌هاي گوناگوني توسط نفوذگران قابل حدس هستند و به‌تنهايي براي حفظ امنيت كافي نيستند كه در بخش بعد به آن‌ها اشاره مي‌شود. اما روش‌هايي نيز براي افزايش امنيت رمز عبور مطرح شده كه در ادامه مورد بررسي قرار ميگيرند.

  • از رمز عبور يكسان براي حسابهاي مختلف استفاده نشود. براي هر حساب كاربري يك رمز عبور مجزا انتخاب شود. انتخاب رمز عبور يكسان براي حسابهاي كاربري مختلف به مصداق وجود يك كليد براي باز كردن درب خانه، ماشين و دفتر كار است. حال فرض شود فرد بدخواهي به اين كليد دسترسي پيدا كند، ممكن است به‌تمامي آن‌ها دستبرد بزند.
  • رمز عبور بايد داراي حداقل 16 كاراكتر و شامل حداقل يك عدد، يك حرف بزرگ، يك حرف كوچك و يك نماد خاص باشد. رمز عبور با طول بلند، امن¬تر از يك رمز عبور با طول كوتاه است؛ زيرا حدس زدن آن سختتر و زمان بيشتري براي Crack شدن نياز دارد. به‌عنوان‌مثال "This pwd is 4 my BANK Account!" يك رمز عبور قوي محسوب مي‌شود.
  • از رمزهاي ساده مانند "123456" و "password" كه به‌راحتي قابل حدس زدن مي‌باشند استفاده نشود.
  • از نام خود، دوستان، حيوانات خانگي، كد پستي، شماره پلاك، شماره تلفن، تاريخ تولد، شماره ملي و اطلاعاتي از اين قبيل در رمز عبور استفاده نشود. تحقيقات نشان داده است كه بسياري از مردم رمز عبور را بر اساس اطلاعات شخصي خود انتخاب مي¬كنند؛ درصورتي‌كه اين كار باعث مي¬شود نفوذگر به‌راحتي رمز عبور آنان را حدس زده و يا كرك كند. يك شماره PIN چهاررقمي را در نظر بگيريد. آيا تركيبي از روز، ماه و سال تولد كاربر است؟ يا شايد چهار رقم آخر شماره ملي كاربر است؟ يا چهار رقم آخر شماره تلفن اوست؟ در اين صورت به نظر ميرسد اين PIN چهار رقمي به‌سادگي و توسط هركسي قابل شناسايي است.
  • از كلمات معروف (اصطلاحا ديكشنري) در رمز عبور استفاده نكنيد. به‌عنوان‌مثال كلماتي مانند apple، ايران، تهران، به‌عنوان رمز عبور انتخاب نشود.
  • به مرورگر رايانه (Firefox، Chrome، Safari، Opera، IE) مجوز ذخيره رمزهاي عبور داده نشود؛ زيرا تمام رمزهاي ذخيره‌شده در مرورگر قابل‌مشاهده هستند.
  • به‌ حساب‌هاي مهم (مانند ايميل شخصي، حساب بانكي) از طريق رايانه ديگران يا هنگامي‌كه به يك شبكه وايرلس عمومي، شبكه TOR يا VPN متصل هستيد، وارد نشويد.
  • اطلاعات حساس از طريق پروتكل¬هاي HTTP و FTP ارسال نشود؛ زيرا اطلاعات در اين پروتكل ها قابل شنود هستند. براي انتقال اطلاعات حساس از پروتكل هايي مانند HTTPS و SFTP استفاده شود.
  • رمز عبور بايد در بازه مشخص زماني به‌عنوان مثال به صورت ماهيانه تغيير كند.
  • رمز عبور را توسط نرم‌افزارهاي "مديريت رمز عبور" مانند KeePass يا روي ديسك‌هاي رمزگذاري شده با روش هايي مانند BitLocker ذخيره شود. رمز عبور به صورت نوشته شده روي ميز كار قرار داده نشود. همچنين رمز عبور از طريق ايميل براي ديگران ارسال نشود.
  • رمز عبور در شبكه¬هاي ابري  مانند Google Drive، iCloud و غيره ذخيره نشود.
  • وب سايت هاي مهم مانند حساب ايميل و حسابهاي بانكي توسط Bookmark مرورگر باز شود. قبل از اينكه رمز عبور وارد شود، حتماً از صحت آدرس اينترنتي  بازشده در مرورگر اطمينان حاصل شود. نفوذگرها از اين طريق حمله فيشينگ  را پيادهسازي ميكنند.
  • رمز عبور را در اختيار كسي قرار ندهيد، حتي اگر دوستان نزديك و قابل‌اعتماد باشند.
  • رايانه خود را توسط آنتي‌ويروس و فايروال امن نگه داريد.
  • اقداماتي جهت امنيت بيشتر عمليات احراز هويت
بسياري از سازمان‌ها از روشهاي ديگري براي احراز هويت استفاده ميكنند؛ كه در ادامه به بررسي اين روش‌ها پرداخته مي‌شود.
  • احراز هويت دومرحله‌اي : با استفاده از احراز هويت دومرحله‌اي، رمز عبور يك عامل از احراز هويت است. درصورتي‌كه نفوذگر موفق به دستيابي به رمز عبور شود، بدون عامل دوم نمي‌تواند وارد حساب كاربر شود. اين نظريه شبيه به اين است كه يك گاوصندوق با تركيب دو كليد باز شود. البته در اكثر معماري‌هاي موجود كليد دوم "يك‌بارمصرف" است و به‌محض اينكه يك بار از آن استفاده شود، باطل ميشود. به‌عنوان‌مثال ايميل‌ها علاوه بر رمز عبور، يك رمز تصادفي براي كاربر پيامك ميكنند كه براي ورود به‌حساب ايميل، واردكردن آن در كادر مربوطه الزامي است.
  • گواهي وب شخصي : برخلاف گواهي استفاده‌شده براي وب سايتها، گواهي وب شخصي براي شناسايي كاربران استفاده ميشود. اين وب سايتها از كليد عمومي و خصوصي براي تائيد كاربران استفاده ميكنند. در اين مدل اطلاعات كاربري در گواهينامه ذخيره‌شده است و علاوه بر آن براي تكميل احراز هويت نياز به يك رمز عبور نيز مي‌باشد.
فراموش كردن رمز عبور
كاربران ممكن است رمز عبور خود را فراموش كنند يا رايانه خود را فرمت و رمز عبور و گواهي‌نامه‌هاي احراز هويت خود را از دست دهند. بعضي از سازمانها در اين شرايط روشهاي خاصي براي بازيابي اطلاعات كاربران دارند. در اكثر مواقع سازمانها و وب سايتها از طريق سؤالات محرمانه  يا ارسال ايميل لينك بازيابي رمز عبور، عمليات تغيير رمز عبور را انجام ميدهند.
وقتي كاربر يك حساب جديد (ايميل، حساب بانكي) ايجاد ميكند، اين سايت‌ها از كاربر درخواست مي‌كنند كه به سؤالاتي پاسخ دهد. حال درزماني كه كاربر رمز عبور خود را فراموش كند، همان سؤالات از كاربر پرسيده مي‌شود. اين سؤالات معمولاً در مورد اطلاعات شخصي مانند نام خود يا پدر و مادر، شماره ملي، تاريخ تولد، نام حيوان خانگي و از اين قبيل هستند. تصور شود كاربر در يك شبكه اجتماعي مانند فيس‌بوك عضويت دارد تمامي اطلاعات شخصي خود را در آن نوشته يا به طرق مختلف و در صفحات ديگران در مورد اطلاعات و علايق شخصي اظهارنظر كرده و يا عكسي را در زمينه ي خاصي اصطلاحاً Like كرده است. نفوذگران از طريق جمع‌آوري تمام اين اطلاعات و شناسايي دقيق آن‌ها مي-توانند به حساب¬هاي مهم كاربران نفوذ كنند. به‌عنوان‌مثال يكي از سؤالات ممكن است چنين باشد : "نام خواننده موردعلاقه شما چيست؟". به‌عنوان‌مثال جواب كاربر به اين سؤال "reza sadeghi" است. از طرف ديگر، كاربر در صفحه فيس‌بوك خود "رضا صادقي" را به علاقه‌مندي‌هاي خود اضافه كرده است. همين اشتباه كافي است تا ايميل شخصي كاربر توسط يك نفوذگر بازيابي شود. يكي از راهكارهاي مطرح در اين زمينه اين است كه از دادن اطلاعات واقعي پرهيز شود.


دوشنبه ١٤ فروردين ١٣٩٦ ٠٨:٣٠ Notifications ١٥٠٩٧