اخبار فناوری اطلاعات
چگونه یک رمزعبور امن انتخاب کنیم
بسیاری از سیستمها و خدمات الکترونیکی به دلیل انتخاب رمز عبور ضعیف آسیبپذیر هستند.
به گزارش ایتنا از مرکز ماهر، به طور معمول اکثر کاربران وسایل الکترونیک از جمله رایانه، اینترنت، تلفن همراه برای محافظت سیستم خود از افراد غیرمجاز از رمز عبور استفاده میکنند.
به عنوان مثال افراد برای دریافت پول از دستگاه عابربانک، خرید اینترنتی، خرید از طریق دستگاه POS، ورود به رایانه و ایمیل از رمز عبور استفاده میکنند.
رمز عبور به طور معمول از دنباله اعداد، حروف، کاراکترهای غیرحرفی تشکیل شده است؛ از این رو به خاطر سپردن تمام این حروف و اعداد ترکیبی به مرور زمان با توجه به محدودیت حافظه کاربران سخت و با مخاطره فراموشی همراه است.
امروزه رایجترین روش احراز هویت استفاده از رمز عبور است؛ اما اگر رمز عبور شما (از نظر امنیتی) به درستی انتخاب نشود و محرمانگی آن حفظ نگردد، هیچ تأثیری در حفظ امنیت حساب های کاربریتان ندارد.
انتخاب رمز عبور با امنیت بالا
رمزهای عبور به عنوان اولین لایه حفاظتی مفید هستند، ولی آنها توسط روشهای گوناگونی توسط نفوذگران قابل حدس هستند و به تنهایی برای حفظ امنیت کافی نیستند.
از رمز عبور یکسان برای حسابهای مختلف استفاده نشود. برای هر حساب کاربری یک رمز عبور مجزا انتخاب شود.
انتخاب رمز عبور یکسان برای حسابهای کاربری مختلف به مصداق وجود یک کلید برای باز کردن درب خانه، ماشین و دفتر کار است. حال فرض شود فرد بدخواهی به این کلید دسترسی پیدا کند، ممکن است به تمامی آنها دستبرد بزند.
رمز عبور باید دارای حداقل ۱۶ کاراکتر و شامل حداقل یک عدد، یک حرف بزرگ، یک حرف کوچک و یک نماد خاص باشد.
رمز عبور با طول بلند، امنتر از یک رمز عبور با طول کوتاه است؛ زیرا حدس زدن آن سختتر و زمان بیشتری برای Crack شدن نیاز دارد.
از رمزهای ساده مانند “۱۲۳۴۵۶” و “password” که به راحتی قابل حدس زدن میباشند، استفاده نشود. از نام خود، دوستان، کد پستی، شماره پلاک، شماره تلفن، تاریخ تولد، شماره ملی و از این قبیل در رمز عبور استفاده نشود.
تحقیقات نشان داده است که بسیاری از مردم رمز عبور را بر اساس اطلاعات شخصی خود انتخاب میکنند؛ در صورتی که این کار باعث میشود نفوذگر به راحتی رمز عبور آنان را حدس زده و یا کرک کند.
از کلمات معروف در رمز عبور استفاده نکنید. به عنوان مثال کلماتی مانند apple، ایران، تهران، به عنوان رمز عبور انتخاب نشود.
به مرورگر رایانه (Firefox، Chrome، Safari، Opera، IE) مجوز ذخیره رمزهای عبور داده نشود؛ زیرا تمام رمزهای ذخیره شده در مرورگر قابل مشاهده هستند.
به حسابهای مهم (مانند ایمیل شخصی، حساب بانکی) از طریق رایانه دیگران یا هنگامی که به یک شبکه وایرلس عمومی، شبکه TOR یا VPN متصل هستید، وارد نشوید.
اطلاعات حساس از طریق پروتکلهای HTTP و FTP ارسال نشود؛ زیرا اطلاعات در این پروتکلها قابل شنود هستند. برای انتقال اطلاعات حساس از پروتکلهایی مانند HTTPS و SFTP استفاده شود.
رمز عبور باید در بازه مشخص زمانی به عنوان مثال به صورت ماهیانه تغییر کند. رمز عبور را توسط نرمافزارهای “مدیریت رمز عبور” مانند KeePass یا روی دیسکهای رمزگذاری شده با روشهائی مانند BitLocker ذخیره شود.
رمز عبور به صورت نوشته شده روی میز کار قرار داده نشود. همچنین رمز عبور از طریق ایمیل برای دیگران ارسال نشود. رمز عبور در شبکههای ابری مانند Google Drive، iCloud و غیره ذخیره نشود.
وبسایتهای مهم مانند حساب ایمیل و حسابهای بانکی توسط Bookmark مرورگر باز شود. قبل از اینکه رمز عبور وارد شود، حتماً از صحت آدرس اینترنتی بازشده در مرورگر اطمینان حاصل شود. نفوذگرها از این طریق حمله فیشینگ را پیادهسازی میکنند.
رمز عبور را در اختیار کسی قرار ندهید، حتی اگر دوستان نزدیک و قابل اعتماد باشند. رایانه خود را توسط آنتیویروس و فایروال امن نگه دارید.
اقداماتی برای امنیت بیشتر عملیات احراز هویت
بسیاری از سازمانها از روشهای دیگری برای احراز هویت استفاده میکنند؛ که در ادامه به بررسی این روشها پرداخته میشود.
احراز هویت دومرحلهای: با استفاده از احراز هویت دو مرحلهای، رمز عبور یک عامل از احراز هویت است. در صورتی که نفوذگر موفق به دستیابی به رمز عبور شود، بدون عامل دوم نمیتواند وارد حساب کاربر شود.
این نظریه شبیه به این است که یک گاو صندوق با ترکیب دو کلید باز شود. البته در اکثر معماریهای موجود کلید دوم “یکبار مصرف” است و به محض اینکه یکبار از آن استفاده شود، باطل میشود.
به عنوان مثال ایمیلها علاوه بر رمز عبور، یک رمز تصادفی برای کاربر پیامک میکنند که برای ورود به حساب ایمیل، واردکردن آن در کادر مربوطه الزامی است.
گواهی وب شخصی: برخلاف گواهی استفاده شده برای وبسایتها، گواهی وب شخصی برای شناسایی کاربران استفاده میشود. این وبسایتها از کلید عمومی و خصوصی برای تائید کاربران استفاده میکنند.
در این مدل اطلاعات کاربری در گواهینامه ذخیره شده است و علاوه بر آن برای تکمیل احراز هویت نیاز به یک رمز عبور نیز میباشد.
فراموش کردن رمز عبور
کاربران ممکن است رمز عبور خود را فراموش کنند یا رایانه خود را فرمت و رمز عبور و گواهینامههای احراز هویت خود را از دست دهند.
بعضی از سازمانها در این شرایط روشهای خاصی برای بازیابی اطلاعات کاربران دارند. در اکثر مواقع سازمانها و وبسایتها از طریق سؤالات محرمانه یا ارسال ایمیل لینک بازیابی رمز عبور، عملیات تغییر رمز عبور را انجام میدهند.
وقتی کاربر یک حساب جدید (ایمیل، حساب بانکی) ایجاد میکند، این سایتها از کاربر درخواست میکنند که به سؤالاتی پاسخ دهد. حال در زمانی که کاربر رمز عبور خود را فراموش کند، همان سؤالات از کاربر پرسیده میشود.
این سؤالات معمولاً در مورد اطلاعات شخصی مانند نام خود یا پدر و مادر، شماره ملی، تاریخ تولد و از این قبیل هستند.
تصور شود کاربر در یک شبکه اجتماعی مانند فیسبوک عضویت دارد تمامی اطلاعات شخصی خود را در آن نوشته یا به طرق مختلف و در صفحات دیگران در مورد اطلاعات و علایق شخصی اظهارنظر کرده و یا عکسی را در زمینه خاصی اصطلاحاً Like کرده است.
نفوذگران از طریق جمعآوری تمام این اطلاعات و شناسایی دقیق آنها میتوانند به حسابهای مهم کاربران نفوذ کنند.
از طرف دیگر، کاربر در صفحه فیسبوک خود “رضا صادقی” را به علاقهمندیهای خود اضافه کرده است. همین اشتباه کافی است تا ایمیل شخصی کاربر توسط یک نفوذگر بازیابی شود. یکی از راهکارهای مطرح در این زمینه این است که از دادن اطلاعات واقعی پرهیز شود.
منبع : ایتنا