انتخاب رمز عبور مناسب برای احراز هویت
راه های مختلفی برای احراز هویت وجود دارد. هر روش یا عامل احراز هویت، مزایا و اشکالات مختص به خود را داراست. بنابراین بسیار مهم است که هر روش به درستی ارزیابی شود تا بتوان برای استقرار یک روش در یک سیستم به خوبی تصمیم گیری نمود. یکی از این روش ها استفاده از رمز عبور می باشد. در ادامه به توضیح این روش میپردازیم.
انتخاب رمزعبور
رایجترین روش احراز هویت، استفاده از رمزهای عبور است. همچنین این روش به عنوان ضعیف ترین شکل حفاظت محسوب می شود. این روش در دسته اول عوامل احراز هویت قرار می گیرد.
اگر رمزهای عبور هوشمندانه انتخاب شده و به درستی مدیریت شوند، می توانند بسیار کارآمد باشند. دو نوع رمز عبور وجود دارد: ایستا و پویا. رمزهای عبور ایستا تغییر نمی کنند در صورتیکه رمزهای عبور پویا پس از یک بازه زمانی مشخص تغییر می یابند. رمزهای عبور یکبار مصرف یا رمزهای عبور single-use از انواع رمزهای عبور پویا هستند که هر زمان از آن ها استفاده شود تغییر می یابند. رمزهای عبور یکبار مصرف قویترین نوع رمزعبور محسوب می شوند. انسان توانایی به خاطر آوردن یک سری نامتناهی از رشته کاراکترهای تصادفی را ندارد بنابراین رمزهای عبور یکبار مصرف اغلب به عنوان عامل های نوع دو شناخته می شوند که از دستگاه های پردازشی مانند token استفاده می کنند.
در برخی از محیط ها، رمزهای عبور اولیه برای حساب های کاربری کاربران به طور خودکار تولید می شوند. اغلب رمزهای عبور تولید شده به صورت رمز عبور ترکیبی است. رمز عبور ترکیبی، رمز عبوری است که از ترکیب دو یا چند کلمه نامرتبط به همراه عدد و نشانه در بین آن ها ساخته می شود. تولید رمزهای عبور ترکیبی برای کامپیوتر آسان است اما نباید برای مدت زمان طولانی از آن ها استفاده کرد زیرا نسبت به حملات حدس زدن رمز عبور آسیب پذیر می شوند. اگر الگوریتم تولید رمزهای عبور کشف شود، تمامی رمزهای عبور ایجاد شده توسط سیستم در معرض خطر قرار می گیرند.
یک روش رمز عبور که کمی موثرتر از رمز عبور اولیه است، عبارت عبور می باشد. عبارت عبور رشته ای از کاراکترها است که معمولا طولانی تر از رمز عبور است. استفاده از عبارت عبور فوایدی دارد از جمله آنکه توسط ابزار brute force به سختی شکسته می شوند و هم چنین کاربر را تشویق می کند تا از رمز عبور با کاراکترهای متعدد استفاده نماید در عین حال به خاطر سپردن آن آسان است.
بسیاری از سیستمها، سیاست هایی برای رمز عبور اتخاذ می نمایند تا ویژگی ها و املای رمز عبور را محدود نمایند. رایج ترین محدودیت ها شامل حداقل طول رمز عبور، حداقل عمر رمز عبور، حداکثر عمر رمز عبور، استفاده از سه یا چهار نوع کاراکتر در رمز عبور (حروف کوچک، حروف بزرگ، اعداد و نشانه ها) و ممانعت از استفاده مجدد از رمز عبور میباشد.
در سیاست های امنیتی سازمان باید به وضوح لزوم نیاز به رمز عبور قوی و چگونگی ایجاد یک رمز عبور قوی تعریف گردد. اگر رمزهای عبور توسط کاربران نهایی ایجاد میشوند، لازم است تا برای ایجاد رمز عبور قوی پیشنهادات زیر درنظر گرفته شوند:
- از نام، نام کاربری، آدرس پست الکترونیکی، شماره پرسنلی، شماره کارت ملی، شماره تلفن و نامها و کدهای شناسایی دیگر استفاده نشود.
- از کلمات فرهنگ لغت، اصطلاحات و یا کلمات اختصاری استفاده نشود.
- از کلماتی با املای غیر استاندارد همراه با حروف بزرگ استفاده گردد.
- حروف الفبا انتخاب شوند و با اعداد جایگزین گردند.
- لازم است که کاربران رمزهای عبور خود را به طور مداوم تغییر دهند.
- رمزهای عبور نباید در هیچ فرم یا قالبی نمایش داده شوند.
- باید از ایجاد لیستی از رمزهای عبور کاربران اجتناب کرد. رمزهای عبوری که به راحتی به خاطر سپرده می شوند، اغلب توسط ابزار شکستن رمز عبور به راحتی کشف می گردند.
- اگر رمز عبور مدیر شبکه یا root به خطر بیفتد، تمامی رمزهای عبور حسابهای کاربری باید تغییر یابند.
- هرگز رمزهای عبور را از طرق پست الکترونیکی انتقال ندهید.
امنیت رمز عبور
راههای مختلفی برای بدست آوردن رمز عبور توسط مهاجم یا کاربر خرابکار وجود دارد از جمله تجزیه و تحلیل ترافیک شبکه، دسترسی به فایل رمز عبور، حملات brute force، حملات dictionary و مهندسی اجتماعی.
تجزیه و تحلیل ترافیک شبکه فرآیندی است که طی آن ترافیک شبکه هنگامیکه کاربری رمز عبور خود را به منظور احراز هویت وارد میکند، جمع آوری می شود. حملات brute force و dictionary دو نوع حمله رمز عبور هستند که می توانند برای سرقت فایل پایگاه داده رمزهای عبور یا واردشدن به سیستم استفاده شوند.
راه های مختلفی برای بهبود امنیت رمزهای عبور وجود دارد. قفل شدن حساب کاربری روشی است که برای غیرفعال شدن حساب کاربری استفاده می شود. پس از آن که کاربر نام کاربری یا رمز عبور خود را به تعداد مشخصی اشتباه وارد نماید، حساب کاربری آن غیرفعال خواهد شد. روش قفل شدن حساب کاربری، حملات brute force و dictionary را متوقف می سازد. پس از آن که حساب کاربری دوباره فعال شد، پیامی شامل تاریخ، زمان و محلی (نام کامپیوتر یا آدرس IP) که آخرین ورود موفقیت آمیز یا ناموفق صورت گرفته است، نمایش داده می شود. کاربرانی که گمان می کنند حساب کاربری آنها مورد حمله قرار گرفته است می توانند این گزارش را برای مدیر شبکه ارسال نمایند. یک سیستم تشخیص نفوذ می تواند به راحتی حملات ورود به حساب کاربری را شناسایی نماید و به اطلاع مدیر شبکه برساند. گزینه های دیگری برای بهبود امنیت رمز عبور وجود دارند:
- از قویترین شکل موجود رمزگذاری (one-way encryption) برای ذخیره سازی رمزعبور استفاده نمایید.
- هرگز اجازه ندهید که رمزهای عبور در شبکه به صورت متن ساده یا با رمزگذاری ضعیف انتقال یابند.
- از ابزارهای تایید رمز عبور و ابزارهای شکستن رمزعبور علیه فایل پایگاه داده رمزهای عبور استفاده نمایید. لازم است تا رمزهای عبور ضعیف یا رمزهای عبور کشف شده تغییر یابند.
- حسابهای کاربری که برای دوره های زمانی کوتاه مانند یک هفته یا یک ماه از آنها استفاده نمی شوند را غیرفعال نمایید. حساب های کاربری که دیگر استفاده نمی شوند را حذف نمایید.
- درباره ضرورت حفظ امنیت و استفاده از رمزهای عبور قوی آموزشهای لازم را به کاربران بدهید و درباره نوشتن رمز عبور یا به اشتراک گذاری آن هشدار دهید.