آيا رمزهای عبور به تنهائی کافی می باشند ؟
رمزهای عبور، روشی متداول به منظور حفاظت از اطلاعات می باشند ولی استفاده از آنان به تنهائی يک سطح مطلوب امنيتی را ايجاد نخواهد کرد . برای حفاظت بهتر ، بررسی و استفاده از سايت هائی که از امکانات اضافه ای برای تشخيص هويت کاربران استفاده می نمايند ، می بايست در دستور کار قرار گيرد .
• عدم استفاده از رمزهای عبور مبتنی بر اطلاعات شخصی نظير شماره شناسنامه و ...
• عدم استفاده از رمزهای عبوری که مشابه آنان را می توان در واژه نامه ها يافت .
• استفاده از رمزهای عبوری که با ترکيب اعداد ، حروف ويژه و حروف الفبائی بزرگ و کوچک ايجاد می شوند.
• عدم اشتراک رمز عبور خود با ساير افراد
با رعايت موارد فوق و يا ساير توصيه های موجود در اين زمينه ، هيچگونه تضمينی وجود نخواهد داشت که مهاجمان قادر به تشخيص رمزهای عبور نگردند و همواره احتمال لو رفتن رمزهای عبور وجود خواهد داشت . بديهی است در صورتی که رمز عبور تنها سطح حفاظت از اطلاعات باشد ، لو رفتن آنان اين امکان را در اختيار مهاجمان قرار خواهد داد که بدون هيچگونه مانع ديگر به سادگی به اطلاعات شخصی ، مالی و يا پزشکی شما دستيابی داشته باشند .
• تائيد دو فاکتوره : در اين روش از رمز عبور توام با يک بخش اطلاعات اضافی ديگر استفاده می شود . مهاجمی که برنامه ريزی لازم به منظور تشخيص رمز عبور را انجام می دهد ، بدون آگاهی از بخش دوم اطلاعات ، قادر به انجام هيچگونه عملياتی نخواهد بود . تئوری اين قضيه همانند ضرورت استفاده از دو کليد برای باز نمودن يک جعبه حاوی اشياء گرانقيمت می باشد .بخش دوم اطلاعات، يک رمز عبور با تاريخ يک بار مصرف است که پس از استفاده از آن فاقد اعتبار قانونی می گردد. در صورتی که يک مهاجم قادر به ره گيری و تشخيص رمز عبور و بخش دوم اطلاعات مرتبط با آن گردد، وی نمی تواند با استفاده از آنان به اطلاعات دستيابی داشته باشد چراکه ترکيب خاص ايجاد شده، معتبر و قابل استفاده مجدد نخواهد بود .
• گواهينامه های وب شخصی : برخلاف گواهينامه هائی که از آنان به منظور شناسائی وب سايت ها استفاده می شود ، گواهينامه های شخصی وب به منظور شناسائی افراد استفاده می گردد . وب سايتی که از گواهينامه های وب شخصی استفاده می نمايد در ارتباط با اين گواهينامه ها بوده و فرآيند تائيد آن ماحصل عملکرد کليدهای عمومی و خصوصی خواهد بود . با توجه به اين که اطلاعاتی که بر اساس آنان هويت شما شناسائی می گردد در گواهينامه موجود می باشد، به يک رمز عبور اضافه نياز نخواهد بود . بديهی است که در چنين مواردی حفاظت از کليد خصوصی می بايست در دستور کار قرار گرفته و از يک رمز عبور در ارتباط با آن استفاده گردد . با لو رفتن کليد خصوصی ، مهاجمان می توانند از آن به منظور رمزگشائی و دستيابی به اطلاعات استفاده نمايند .
اکثر سازمان ها دارای رويه هائی خاص به منظور دستيابی شما به اطلاعات می باشند . در صورتی که گواهينامه شخصی خود را از دست داده باشيد ، می بايست درخواست خود را برای صدور يک گواهينامه جديد برای سازمان مربوطه ارسال نمائيد . در رابطه با رمز عبور ، صرفا" به يک "ياد انداز " نياز خواهيد داشت . صرفنظر از اين که چه اتفاقی افتاده است ، سازمان مربوطه نيازمند روشی به منظور بررسی هويت شما می باشد . بدين منظور اغلب سازمان ها از " سوالات سری " استفاده می نمايند .
زمانی که شما يک account جديد ( نظير email و ... ) را ايجاد می نمائيد ، برخی سازمان ها شما را ملزم به پاسخگوئی به يک سوال خاص می نمايند تا در صورت فراموش کردن رمز عبور با طرح سوال فوق و مقايسه پاسخ شما با آن چيزی که قبلا" پاسخ داده شده است ، امکان شناسائی هويت شما وجود داشته باشد . با اين که ايده سوالات سری دارای ارزش و جايگاه مختص به خود است ولی متاسفانه اکثر سوالاتی که در اين رابطه مطرح و مبنای تشخيص هويت کاربران قرار خواهد گرفت در ارتباط با اطلاعات شخصی نظير تاريخ تولد ، نام فيلم مورد علاقه و مواردی از اين قبيل است . با توجه به اين که امروزه حجم اطلاعات شخصی موجود بر روی اينترنت و ساير منابع اطلاعاتی عمومی بسيار گسترده می باشد ، مهاجمان نيز اين شانس را خواهند داشت که پاسخ مرتبط با اين نوع سوالات را بدون دردسر پيدا نمايند .
فراموش نکنيد که سوالات سری ، صرفا" يک رمز عبور اضافه می باشند و هيچگونه دليلی وجود ندارد که پاسخ اين گونه سوالات،واقعی و درست باشد و دروغ گوئی بهترين سياست در اين رابطه می باشد ! پاسخ به اين گونه سوالات نيز می بايست با رعايت موارد ايمنی نظير رمزهای عبور باشد .
با اين که روش های امنيتی اضافه يک سطح حفاظتی بمراتب مطلوبتر از يک رمز عبور به تنهائی را ارائه می نمايند ولی هيچگونه تضمينی وجود نخواهد داشت که آنان بطور کامل موثر واقع شوند .با افزايش سطوح حفاظتی، صرفا" درصد موفقيت مهاجمان کاهش خواهد يافت.
چرا رمزهای عبور به تنهائی کفايت نمی کنند ؟
• عدم استفاده از رمزهای عبور مبتنی بر اطلاعات شخصی نظير شماره شناسنامه و ...
• عدم استفاده از رمزهای عبوری که مشابه آنان را می توان در واژه نامه ها يافت .
• استفاده از رمزهای عبوری که با ترکيب اعداد ، حروف ويژه و حروف الفبائی بزرگ و کوچک ايجاد می شوند.
• عدم اشتراک رمز عبور خود با ساير افراد
با رعايت موارد فوق و يا ساير توصيه های موجود در اين زمينه ، هيچگونه تضمينی وجود نخواهد داشت که مهاجمان قادر به تشخيص رمزهای عبور نگردند و همواره احتمال لو رفتن رمزهای عبور وجود خواهد داشت . بديهی است در صورتی که رمز عبور تنها سطح حفاظت از اطلاعات باشد ، لو رفتن آنان اين امکان را در اختيار مهاجمان قرار خواهد داد که بدون هيچگونه مانع ديگر به سادگی به اطلاعات شخصی ، مالی و يا پزشکی شما دستيابی داشته باشند .
ايجاد سطوح امنيتی اضافه
• تائيد دو فاکتوره : در اين روش از رمز عبور توام با يک بخش اطلاعات اضافی ديگر استفاده می شود . مهاجمی که برنامه ريزی لازم به منظور تشخيص رمز عبور را انجام می دهد ، بدون آگاهی از بخش دوم اطلاعات ، قادر به انجام هيچگونه عملياتی نخواهد بود . تئوری اين قضيه همانند ضرورت استفاده از دو کليد برای باز نمودن يک جعبه حاوی اشياء گرانقيمت می باشد .بخش دوم اطلاعات، يک رمز عبور با تاريخ يک بار مصرف است که پس از استفاده از آن فاقد اعتبار قانونی می گردد. در صورتی که يک مهاجم قادر به ره گيری و تشخيص رمز عبور و بخش دوم اطلاعات مرتبط با آن گردد، وی نمی تواند با استفاده از آنان به اطلاعات دستيابی داشته باشد چراکه ترکيب خاص ايجاد شده، معتبر و قابل استفاده مجدد نخواهد بود .
• گواهينامه های وب شخصی : برخلاف گواهينامه هائی که از آنان به منظور شناسائی وب سايت ها استفاده می شود ، گواهينامه های شخصی وب به منظور شناسائی افراد استفاده می گردد . وب سايتی که از گواهينامه های وب شخصی استفاده می نمايد در ارتباط با اين گواهينامه ها بوده و فرآيند تائيد آن ماحصل عملکرد کليدهای عمومی و خصوصی خواهد بود . با توجه به اين که اطلاعاتی که بر اساس آنان هويت شما شناسائی می گردد در گواهينامه موجود می باشد، به يک رمز عبور اضافه نياز نخواهد بود . بديهی است که در چنين مواردی حفاظت از کليد خصوصی می بايست در دستور کار قرار گرفته و از يک رمز عبور در ارتباط با آن استفاده گردد . با لو رفتن کليد خصوصی ، مهاجمان می توانند از آن به منظور رمزگشائی و دستيابی به اطلاعات استفاده نمايند .
گم شدن رمز عبور و يا گواهينامه
اکثر سازمان ها دارای رويه هائی خاص به منظور دستيابی شما به اطلاعات می باشند . در صورتی که گواهينامه شخصی خود را از دست داده باشيد ، می بايست درخواست خود را برای صدور يک گواهينامه جديد برای سازمان مربوطه ارسال نمائيد . در رابطه با رمز عبور ، صرفا" به يک "ياد انداز " نياز خواهيد داشت . صرفنظر از اين که چه اتفاقی افتاده است ، سازمان مربوطه نيازمند روشی به منظور بررسی هويت شما می باشد . بدين منظور اغلب سازمان ها از " سوالات سری " استفاده می نمايند .
زمانی که شما يک account جديد ( نظير email و ... ) را ايجاد می نمائيد ، برخی سازمان ها شما را ملزم به پاسخگوئی به يک سوال خاص می نمايند تا در صورت فراموش کردن رمز عبور با طرح سوال فوق و مقايسه پاسخ شما با آن چيزی که قبلا" پاسخ داده شده است ، امکان شناسائی هويت شما وجود داشته باشد . با اين که ايده سوالات سری دارای ارزش و جايگاه مختص به خود است ولی متاسفانه اکثر سوالاتی که در اين رابطه مطرح و مبنای تشخيص هويت کاربران قرار خواهد گرفت در ارتباط با اطلاعات شخصی نظير تاريخ تولد ، نام فيلم مورد علاقه و مواردی از اين قبيل است . با توجه به اين که امروزه حجم اطلاعات شخصی موجود بر روی اينترنت و ساير منابع اطلاعاتی عمومی بسيار گسترده می باشد ، مهاجمان نيز اين شانس را خواهند داشت که پاسخ مرتبط با اين نوع سوالات را بدون دردسر پيدا نمايند .
فراموش نکنيد که سوالات سری ، صرفا" يک رمز عبور اضافه می باشند و هيچگونه دليلی وجود ندارد که پاسخ اين گونه سوالات،واقعی و درست باشد و دروغ گوئی بهترين سياست در اين رابطه می باشد ! پاسخ به اين گونه سوالات نيز می بايست با رعايت موارد ايمنی نظير رمزهای عبور باشد .
با اين که روش های امنيتی اضافه يک سطح حفاظتی بمراتب مطلوبتر از يک رمز عبور به تنهائی را ارائه می نمايند ولی هيچگونه تضمينی وجود نخواهد داشت که آنان بطور کامل موثر واقع شوند .با افزايش سطوح حفاظتی، صرفا" درصد موفقيت مهاجمان کاهش خواهد يافت.
.jpg "معنی اسم ائلوین و نام های هم آوا با آن + میزان فراوانی در ثبت احوال")
