رمز عبور کلمه جادویی نیست
استفاده از رمزهای عبور، به منظور تایید کاربران و تنها حفاظ موجود بین کاربر و اطلاعات موجود روی یک کامپیوتر است. مهاجمان با به کارگیری برنامه های متعدد نرم افزاری، قادر به حدس رمزهای عبور یا در اصطلاح « کراک » کردن آنان هستند. تنها با انتخاب مناسب رمزهای عبور و نگهداری ایمن آنان، امکان حدس آن ها مشکل و به طبع افراد غیرمجاز قادر به دستیابی اطلاعات شخصی کاربران نخواهند بود.
انسان عصر اطلاعات طی زمان حیات خود و متناسب با فعالیت های روزانه نیازمند استفاده از رمزهای عبور متفاوتی است. به خاطر سپردن شماره کد دستگاه موبایل، شماره کد دستگاه های متفاوتی مانند دستگاهای ATM برای دریافت پول، شماره کد لازم به منظور ورود به یک سیستم کامپیوتری، شماره کد مربوط به برنامه های کامپیوتری نظیر برنامه های پست الکترونیکی، امضای دیجیتالی درون یک بانک آنلاین یا فروشگاه های مجازی و موارد بسیار دیگر، نمونه هایی در این زمینه است. نگهداری این همه عدد، حرف و شاید هم ترکیب آنان، کاربران را مستاصل و نگران می کند، زیرا مهاجمان با آگاهی از رمز عبور آن ها قادر به برنامه ریزی یک تهاجم بزرگ و دستیابی به اطلاعات کاربران هستند.
یکی از بهترین روش های حفاظت از اطلاعات، حصول اطمینان از این موضوع است که فقط افراد مجاز قادر به دستیابی به اطلاعات هستند. فرآیند تایید هویت و اعتبار کاربران در دنیای سایبر شرایط و ویژگی های خاص خود را دارد و شاید بتوان این گفت این موضوع به مراتب پیچیده تر از دنیای غیرسایبر است. استفاده از رمزهای عبور یکی از متداول ترین روش های موجود در خصوص تایید افراد است. در صورتی که کاربر رمزهای عبور را به درستی انتخاب یا از آنان به درستی مراقبت نکند، به طور قطع پتانسیل فوق جایگاه و کارآیی واقعی خود را از دست خواهد داد. تعداد زیادی از سیستم ها و سرویس ها فقط به دلیل ایمن نبودن رمزهای عبور با مشکل مواجه می شوند و برخی از ویرو س ها و کر م ها با حدس و تشخیص رمزهای عبور ضعیف، توانسته اند به اهداف مخرب خود دست یابند.
با اینکه تایپ نادرست برخی کلمات مانندdaytt در مقابل استفاده از date ممکن است در مقابل حمله های از نوع دیکشنری مقاومت بیشتری داشته باشد، یک روش مناسب دیگر می تواند شامل استفاده از مجموعه ای کلمات و به کارگیری روش هایی خاص به منظور افزایش قدرت به خاطر سپردن اطلاعات در حافظه باشد. برای مثال، در مقابل رمز عبور "hoops"، از "IITpbb"، استفاده کنید. بر گرفته شده از کلمات عبارت( I Like To Play Basketball ) . استفاده از حروف بزرگ و کوچک و ترکیب آن ها با یکدیگر نیز می تواند ضریب مقاومت رمزهای عبور را در مقابل حمله های از نوع "دیکشنری" تا اندازه ای افزایش دهد. به منظور افزایش ضریب مقاومت رمزهای عبور، باید از رمزهای عبور پیچیده ای استفاده کرد که از ترکیب اعداد، حروف الفبایی و حروف ویژه، ایجاد شده باشند.
پس از تعریف یک رمز عبور مناسب، برخی از کاربران از آن به منظور دستیابی به هر سیستم یا برنامه های نرم افزاری استفاده می کنند. (کلید جادویی (!این نوع از کاربران باید به این نکته توجه کنند که در صورتی که یک مهاجم رمز عبور آن ها را حدس بزند و تشخیص دهد، به تمامی سیستم هایی که با این رمز عبور کار می کنند، دست می یابد.
۲)عدم استفاده از کلماتی که می توان آن ها را در هر دیکشنری یا زبانی پیدا کرد.
۳)پیاده سازی یک سیستم و روش خاص به منظور به خاطر سپردن رمزهای عبور پیچیده
۴)استفاده از حروف بزرگ و کوچک در زمان تعریف رمز عبور
۵)استفاده از ترکیب حروف، اعداد و حروف ویژه
۶)استفاده از رمزهای عبور متفاوت برای سیستم های متفاوت
اما پس از انتخاب یک رمز عبور که امکان حدس و تشخیص آن مشکل است، باید تمهیدات لازم در خصوص نگهداری آن ها پیش بینی شود. به همین دلیل:
۱)از دادن رمز عبور خود به سایر افراد جدا اجتناب کنید.
۲)از نوشتن رمز عبور روی کاغذ و گذاشتن آن روی میز محل کار، نزدیک کامپیوتر یا چسباندن آن روی کامپیوتر، خودداری کنید. افرادی که امکان دستیابی فیزیکی به محل کار شما را داشته باشند، به راحتی قادر به تشخیص رمز عبور شما خواهند بود.
۳)هرگز به خواسته افرادی که (مهاجمان) از طریق نامه یا عضویت از شما درخواست رمز عبور می کنند، توجه نکنید.
۴)در صورتی که مرکز ارایه دهنده خدمات اینترنت شما، انتخاب سیستم تایید را بر عهده شما گذاشته است، سعی کنید یکی از گزینه های Kerberos، challenge/response یا public key encryption را در مقابل رمزهای عبور ساده، انتخاب کنید.
۵)تعداد زیادی از برنامه ها امکان به خاطر سپردن رمزهای عبور را ارایه می کنند. برخی از این برنامه ها دارای سطوح مناسب امنیتی به منظور حفاظت از اطلاعات نیستند. برخی برنامه ها نظیر برنامه های سرویس گیرنده پست الکترونیکی، اطلاعات را به صورت متن (غیر رمز شده) در یک فایل روی کامپیوتر ذخیره می کنند. این به آن معنی است که افرادی که به کامپیوتر شما دستیابی دارند، قادر به کشف تمامی رمزهای عبور و دستیابی به اطلاعات شما خواهند بود. به همین دلیل، همواره به خاطر داشته باشید زمانی که از یک کامپیوتر عمومی (در کتابخانه، کافی نت یا یک کامپیوتر مشترک در اداره)، استفاده می کنید، عملیات logout را انجام دهید. برخی از برنامه ها از یک مدل رمزنگاری مناسب به منظور حفاظت اطلاعات استفاده می کنند . این نوع برنامه ها ممکن است دارای امکانات ارزشمندی به منظور مدیریت رمزهای عبور باشند.
منبع:هفتهنامه بزرگراه فناوری
/ن
انسان عصر اطلاعات طی زمان حیات خود و متناسب با فعالیت های روزانه نیازمند استفاده از رمزهای عبور متفاوتی است. به خاطر سپردن شماره کد دستگاه موبایل، شماره کد دستگاه های متفاوتی مانند دستگاهای ATM برای دریافت پول، شماره کد لازم به منظور ورود به یک سیستم کامپیوتری، شماره کد مربوط به برنامه های کامپیوتری نظیر برنامه های پست الکترونیکی، امضای دیجیتالی درون یک بانک آنلاین یا فروشگاه های مجازی و موارد بسیار دیگر، نمونه هایی در این زمینه است. نگهداری این همه عدد، حرف و شاید هم ترکیب آنان، کاربران را مستاصل و نگران می کند، زیرا مهاجمان با آگاهی از رمز عبور آن ها قادر به برنامه ریزی یک تهاجم بزرگ و دستیابی به اطلاعات کاربران هستند.
یکی از بهترین روش های حفاظت از اطلاعات، حصول اطمینان از این موضوع است که فقط افراد مجاز قادر به دستیابی به اطلاعات هستند. فرآیند تایید هویت و اعتبار کاربران در دنیای سایبر شرایط و ویژگی های خاص خود را دارد و شاید بتوان این گفت این موضوع به مراتب پیچیده تر از دنیای غیرسایبر است. استفاده از رمزهای عبور یکی از متداول ترین روش های موجود در خصوص تایید افراد است. در صورتی که کاربر رمزهای عبور را به درستی انتخاب یا از آنان به درستی مراقبت نکند، به طور قطع پتانسیل فوق جایگاه و کارآیی واقعی خود را از دست خواهد داد. تعداد زیادی از سیستم ها و سرویس ها فقط به دلیل ایمن نبودن رمزهای عبور با مشکل مواجه می شوند و برخی از ویرو س ها و کر م ها با حدس و تشخیص رمزهای عبور ضعیف، توانسته اند به اهداف مخرب خود دست یابند.
● انتخاب رمز عبور خوب
با اینکه تایپ نادرست برخی کلمات مانندdaytt در مقابل استفاده از date ممکن است در مقابل حمله های از نوع دیکشنری مقاومت بیشتری داشته باشد، یک روش مناسب دیگر می تواند شامل استفاده از مجموعه ای کلمات و به کارگیری روش هایی خاص به منظور افزایش قدرت به خاطر سپردن اطلاعات در حافظه باشد. برای مثال، در مقابل رمز عبور "hoops"، از "IITpbb"، استفاده کنید. بر گرفته شده از کلمات عبارت( I Like To Play Basketball ) . استفاده از حروف بزرگ و کوچک و ترکیب آن ها با یکدیگر نیز می تواند ضریب مقاومت رمزهای عبور را در مقابل حمله های از نوع "دیکشنری" تا اندازه ای افزایش دهد. به منظور افزایش ضریب مقاومت رمزهای عبور، باید از رمزهای عبور پیچیده ای استفاده کرد که از ترکیب اعداد، حروف الفبایی و حروف ویژه، ایجاد شده باشند.
پس از تعریف یک رمز عبور مناسب، برخی از کاربران از آن به منظور دستیابی به هر سیستم یا برنامه های نرم افزاری استفاده می کنند. (کلید جادویی (!این نوع از کاربران باید به این نکته توجه کنند که در صورتی که یک مهاجم رمز عبور آن ها را حدس بزند و تشخیص دهد، به تمامی سیستم هایی که با این رمز عبور کار می کنند، دست می یابد.
برای تعریف رمز عبور پیشنهاد می شود:
۲)عدم استفاده از کلماتی که می توان آن ها را در هر دیکشنری یا زبانی پیدا کرد.
۳)پیاده سازی یک سیستم و روش خاص به منظور به خاطر سپردن رمزهای عبور پیچیده
۴)استفاده از حروف بزرگ و کوچک در زمان تعریف رمز عبور
۵)استفاده از ترکیب حروف، اعداد و حروف ویژه
۶)استفاده از رمزهای عبور متفاوت برای سیستم های متفاوت
اما پس از انتخاب یک رمز عبور که امکان حدس و تشخیص آن مشکل است، باید تمهیدات لازم در خصوص نگهداری آن ها پیش بینی شود. به همین دلیل:
۱)از دادن رمز عبور خود به سایر افراد جدا اجتناب کنید.
۲)از نوشتن رمز عبور روی کاغذ و گذاشتن آن روی میز محل کار، نزدیک کامپیوتر یا چسباندن آن روی کامپیوتر، خودداری کنید. افرادی که امکان دستیابی فیزیکی به محل کار شما را داشته باشند، به راحتی قادر به تشخیص رمز عبور شما خواهند بود.
۳)هرگز به خواسته افرادی که (مهاجمان) از طریق نامه یا عضویت از شما درخواست رمز عبور می کنند، توجه نکنید.
۴)در صورتی که مرکز ارایه دهنده خدمات اینترنت شما، انتخاب سیستم تایید را بر عهده شما گذاشته است، سعی کنید یکی از گزینه های Kerberos، challenge/response یا public key encryption را در مقابل رمزهای عبور ساده، انتخاب کنید.
۵)تعداد زیادی از برنامه ها امکان به خاطر سپردن رمزهای عبور را ارایه می کنند. برخی از این برنامه ها دارای سطوح مناسب امنیتی به منظور حفاظت از اطلاعات نیستند. برخی برنامه ها نظیر برنامه های سرویس گیرنده پست الکترونیکی، اطلاعات را به صورت متن (غیر رمز شده) در یک فایل روی کامپیوتر ذخیره می کنند. این به آن معنی است که افرادی که به کامپیوتر شما دستیابی دارند، قادر به کشف تمامی رمزهای عبور و دستیابی به اطلاعات شما خواهند بود. به همین دلیل، همواره به خاطر داشته باشید زمانی که از یک کامپیوتر عمومی (در کتابخانه، کافی نت یا یک کامپیوتر مشترک در اداره)، استفاده می کنید، عملیات logout را انجام دهید. برخی از برنامه ها از یک مدل رمزنگاری مناسب به منظور حفاظت اطلاعات استفاده می کنند . این نوع برنامه ها ممکن است دارای امکانات ارزشمندی به منظور مدیریت رمزهای عبور باشند.
منبع:هفتهنامه بزرگراه فناوری
/ن