مدیریت کلمه عبور(1989 مجموع کلمات موجود در متن) (6944 بار مطالعه شده است) 
چگونه از کلمه های عبور استفاده کنیم تا به دیگران واگذار نشوند؟
از چه کلماتی برای کلمه عبور خود استفاده می کنید؟ نام حیوان خانگی ٬ سالگرد مراسم - سالگرد ازدواج - ٬ نام فرزندان یا روز تولد ٬ موضوع مورد علاقه شما ٬ نام های عمومی و ... . راهبران شبکه و نفوذگران می دانند که درصد بالایی از افراد جامعه از کلماتی مانند اینها برای محافظت رایانه و یا ورود به سایتها٬ برای انجام کارهایشان از جمله خرید online استفاده می کنند.
خوب ٬ چه اتفاقی می افتد ؟ سرقت کد کاربری و کلمه عبور ٬ جاسوسی ٬ از دست دادن اطلاعات ٬ عکسها. آیا واقعا شما ریسک این خطرها را می پذیرید؟ در بیشتر موارد یک کلمه عبور ضعیف و کم اهمیت مابین اطلاعات شما و این سوء استفاده ها قرار دارد و می توان با گذشتن از آن به اطلاعات دست پیدا کرد.
مشکل کلمه های عبور نامناسب و ضعیف
کلمه هایی که از لغتهای ساده ای مانند نام ٬ شهرت ٬ نام فرزندان و به طور کلی نامهای عمومی استفاده می کنند. کلمه های عبور نامناسب یا ضعیف هستند. به صورت ساده تر عنوان کنیم کلمه هایی که می توان آنها را در لغتنامه پیدا کرد ٬ کلماتی نامناسب هستند.
من نمی خواهم مردم را بترسانم. اما تمرین برای انتخاب کلمه عبور مناسب از اهمیت زیادی برخوردار است. مانند قفل کردن درب منزل به هنگام خروج. وقتی شما به دنیای اینترنت متصل می شوید به مانند این است که شما در یک شهر بزرگ و خطرناک زندگی می کنید٬ حال اگر برای درب منزل قفل مناسب تهیه نکنید. امکان اینکه شما با مشکل سرقت روبرو شوید زیاد است.
مشکل کلمه های عبور قوی و معتبر
اگر شما در یک شرکت بزرگ کار کنید. شرکت مطبوع شما اجازه نخواهد داد ٬ شما از کلمه عبوری که می توان آن را در لغتنامه پیدا کرد استفاده کنید.سایتهای تجارت الکترونیکی که از امنیت بالایی برخوردار هستند و از کلمه ای که شامل حداقل ۸ حرف است٬ استفاده می کنند. اینگونه سایتها ٬ لغت شما را به چهار بخش تقسیم می کنند. حروف بزرگ و کوچک٬ عددها٬ علامتها. شما را مجبور می کنند تا حداقل از ۳ تا از این بخشها استفاده کنید. همچنین شما را به تعویض آن در مدت زمانهایی ۲ یا ۳ ماهه ترغیب می کنند. این کلمه های عبور را معتبر و قوی می نامند.
تمرین برای استفاده از کلمه عبور مناسب و معتبر به مانند استفاده از قفل برای درب منزل شما می باشد.
مشکل زمانی به وجود می آید که شما مرتب کلمه های عبور را عوض می کنید و بعد از مدتی نمی توانید آنها را به خاطر بسپارید. فراموش می کنید که کدام کلمه را انتخاب کردید. باید از مدیر شبکه خودتان یک کلمه عبور جدید درخواست کنید. شاید هم شما شروع کنید به نوشتن آنها بر روی کاغذ. بسیاری از مردم از یک کاغذ زرد رنگ که به صفحه مانیتور چسبیده است استفاده می کنند. (بارها این مورد را به شخصه در اداره های نه چندان مکانیزه کشور خودمان دیده ام)
اگر از کلمه عبور ضعیفی استفاده کنید٬ یک نفوذ گر می تواند با دستیابی به سطل زباله شما و یا سوء استفاده از سادگی شما در یک گپ دوستانه ٬ آن را به دست آورد . و اما وقتی که از کلمه عبور معتبر و قوی استفاده کنیم. تنها کاری که نفوذگر نیاز به انجام آن دارد٬ ورود به دفتر شما است. در حالتی دیگر نفوذگر از حمله ای به مانند روابط عمومی خوب -Socila Engineering- استفاده می کند که ساده ترین راه ورود به سیستم شما است.
یا همیشه به یک کلمه عبور معتبر و قوی برای محافظت نیاز داریم؟
خیر. کلمات معتبر به مراتب از امنیت بیشتری در برابر حملات گوناگون برخوردارند. به خصوص در مواردی که یک فرد بی خرد اما توانا٬ به زور نفوذ می کند. مانند نفوذهایی که به حمله لغتنامه ای معروف است ( Dictionary Attack ). نفوذگر از لیست لغت استفاده می کند که معمولا تمام کلمات یک لغتنامه را شامل می شود. به این صورت که از یک برنامه نفوذی استفاده می شود و برنامه تمام لغات را برای ورود استفاده می کند که شامل نام تمام حیوانات و اسامی افراد و غیره است.
سیستمهای زیادی بعد از چند بار تلاش برنامه٬ برای ورود به سیستم با کلمه های نادرست٬ امکان ورود تا چند لحظه را از کاربر یا همان برنامه می گیرند. ولی موضوع نگران کننده اینجا است که فرد نفوذ کننده به آن سیستم خاص وارد شده باشد و اینگونه دیوارهای دفاعی وجود نداشته باشند.
تعیین مقدار ریسک
سیستمهای کامپیوتری با درجه اطمینان بالا و پایین وجود دارند. که درصد ریسک استفاده از آنها در جهت مخالف با بالا یا پایین بودن اطمینان به آنها مشخص می شوند. برای اینکه از به خاطر سپردن ۳۰ کلمه عبور خودداری کنیم. بهتر است شما سیستمها را به چند گروه با درصد های مختلف از مقدار ریسک آنها تقسیم کنید که در یک سطح قرار می گیرند و از کلمه های عبور تکراری استفاده کنید. سیستمهای حرفه ای معتقد هستند که این کار میزان امنیت را پایین می آورد. ولی بیایید با یک دید واقع بینانه به موضوع نگاه کنیم. اگر شما کلمه رمز را فراموش کنید و برای ورود کلمات استفاده شده در مکانهای دیگر را هم امتحان کنید٬ احتمالا شما ان سیستم را مطمئن می کنید که از این کلمه برای رمز استفاده کرده اید. گروه بندی سیستمها برای رمز گزاری روشهای متفاوتی دارد که من -نویسنده- نظر خودم را عنوان می کنم.
سیستمهای با ریسک پایین
اگر شما از کارتهای اعتباری٬ شماره گواهینامه رانندگی٬ شماره کارت ملی و یا دیگر سیستمهای قابل ردیابی استفاده نمی کنید. نیازی به یک کلمه رمز معتبر و قوی ندارید. مانند سایت New York Times ٬ بردهای تبلیغاتی٬ فرومها و هزاران سایت دیگر که قبل از ورود و فرستادن یک متن٬ از شما ایجاد یک کد کاربری برای ورود را درخواست می کند. از یک کلمه ساده و پیش پا افتاده که یادآوری آن برای شما ساده است استفاده کنید.
هنگام تایپ یک کلمه رمز برای ورود به یک سیستم٬ شما باید دقت کنید تا اگر بلافاصله شما به صفحه ای رمز شده وارد نشدید٬ رمز شما قابل بازیابی توسط مردم ناشناس خواهد بود.به شکل قفل یا کلید در منوی وضعیت مرورگر٬ یا آدرس اینترنت -http- در محل آدرس مرورگر خود توجه کنید. اگر این علامتها ظاهر نشدند٬ یا اخطاری به مفهوم عدم اطمینان به سایت ظاهر شد. از یک رمز ساده استفاده کنید. پیشنهاد می کنم ٬ از این رمز در سایتهای مشابه هم استفاده کنید.
سایتهای با درجه ریسک متوسط
شاید شما موافق نباشید٬ اما من پیشنها می کنم برای کارتهای اعتباری از این سطح دسترسی استفاده کنید. زمانی که برای تهیه بعضی از چیزها از کارت اعتباری استفاده می کنید٬ باید خطراتی را قبول کنید: تحویلدار یک رستوران می تواند به راحتی کلمه شما را به هنگام خرید کالا ببیند و از آن استفاده کند. فردی می تواند با استراق سمع در هنگام گفتن شماره کارت اعتباری به یک پیک فروشگاه یا رستوران ٬ در زمانی که از تلفن همراه یا بی سیم استفاده می کنید. به رمز دسترسی پیدا کند. یا در صف خرید یک فروشگاه می توانند در پشت سر شما ٬ از شماره با خبر شوند. بهترین مثال در ایران استفاده از کارتهای خود پرداز بانکها است که در خیابانها و معابر شهر استفاده می شوند.
شرکتهای ارائه دهنده کارتهای اعتباری برای حمایت از به کار بردن ناصحیح کارت شما 50$ اول هر معامله ای را به عنوان گارانتی در نظر می گیرند. بعضی از این شرکت ها ریسک پرداخت online توسط کارتها را متعهد می شوند. یعنی خسارت ناشی از عدم امنیت لازم را تضمین می کنند. شما باید پرداختهایی را که توسط کارت شما در شصت روز گذشته پرداخت شده را تایید کنید. این کار تضمینی است برای شما تا پرداختهایی به غیر از شخص خودتان٬ را متحمل نشوید. در نهایت گم شدن کارت شما یک مشکل بزرگ به حساب می آید ولی خطری برای شما ندارد. پس بنابراین پیشنهاد می کنم تمام سایتهایی که از کارتهای اعتباری استفاده می کنند را در گروه متوسط قرار دهید و اطمینان داشته باشید که پرداختهای نادرست به حساب شما نوشته نمی شود و از طرفی هم با از دادن رمز می توانید مطمئن باشید که رمزهای معتبر و حساس شما در دسترس نیست و نمی توانند آن را در سایتهای دیگر استفاده کنند.
یک رمز ضعیف تنها چیزی است که مابین شما و کسانی که می خواهند از اطلاعات شما استفاده کنند یا موارد بدتر از این ٬ قرار دارد.
به نکات زیر توجه کنید:
هیچ وقت شماره کارت اعتباری یا اطلاعات مهم را از طریق پست الکترونیکی که رمزنگاری نشده٬ برای کسی نفرستید. اگر سیستم پست شما رمز شده باشد شما باید بدانید که: برای کدگذاری٬ به هنگام فرستادن و دریافت نامه الکترونیکی٬ شما باید مقداری زمان صرف انجام رمز نگاری نامه کنید. به طور کلی پست الکترونیکی روش مناسب و مطمئنی برای این کار نیست.
قبل از وارد کردن کلمه عبور ٬ دقت کنید که سایت در حالت رمز شده قرار دارد. به شکل قفل یا کلید در منوی وضعیت -status bar- مرورگر دقت کنید. در مرورگر محبوب Firefox محل آدرس اینترنت -مکانی که آدرس را تایپ می کنید- در صورتی که صفحه سایت رمزنگاری شده باشد به رنگ زرد در می آید.
هرگز از کامپیوتر های عمومی استفاده نکنید. حتی اگر سایت رمزنگاری شده باشد. ممکن است برنامه ای جستجوگر مخفیانه اطلاعاتی را که وارد می کنید ذخیره کند تا بعدها مورد استفاده قرار گیرد. فقط از مکانهایی که کاملا به آن اطمینان دارید استفاده کنید. به قولی اموال شخصی را محکم نگه دارید و مردم را دزد نکنید.
اگر سایتی رمزنگاری شده ٬ دلیلی بر این نیست که اطلاعات شما محافظت می شوند. خیلی از شرکتهای کوچک بودجه لازم را صرف ایمن کردن ورود اطلاعاتی مانند شماره کارت اعتباری٬ کد کاربری و رمز نمی کنند. اگر شک دارید ٬ می توانید از مسایل امنیتی مطرح شده و یا با پرسیدن از دیگران مطلع شوید. اگر می خواهید تجارت ایمن داشته باشید. می توانید از سایتهایی مشابه Freelock computing(http://freelock.com/mail.php) استفاده کنید و یا اینکه با ما مشورت کنید.
سایتهای با درجه ریسک بالا
آن دسته از سیستمهایی که شماره ملی شما٬ شماره گواهینامه رانندگی و یا شماره حساب بانکی شما را پوشش می دهند٬ از درجه ریسک بالایی برخوردار هستند. سیستمهایی که اطلاعات حساس تجاری شما را نگهداری می کنند باید به وسیله کلمه عبوری قوی و معتبر محافظت شوند. اگر به اینترنت متصل می شوید باید در دوره های زمانی کوتاه مدت کلمه عبور را تعویض کنید.
رمز خود را به کسی ندهید٬ به خصوص اگر آن را در سایتهایی با درجه ریسک متوسط و یا بالا استفاده می کنید. این را به عنوان یک قانون کلی برای خودتان در نظر بگیرید.
به صورت کلی می توانید laptop و کامپیوتر شخصی را در درجه بندی با ریسک بالا قرار دهید. بنابراین از رمز های متفاوت برای ورود به آنها استفاده کنید. بعد می توانید از آن برای تجارت الکترونیک و یا کارهای عمومی استفاده کنید. در بیشتر مواقع شما می توانید با استفاده از سه کلمه عبور به قسمتهای خاصی که در نظر گرفتید دسترسی داشته باشید: رمز ضعیف برای کارهای عمومی و با درصد ریسک پایین. یک رمز معتبر برای تجارت الکترونیک و کامپیوتری با درجه اهمیت ریسک متوسط و یک رمز عبور معتبر دیگر برای کامپیوتری که برای تجارت و کارهای مهم استفاده می شود. در بعضی موارد این اقدامها کافی نیستند. اگر دارای یک سیستم پیچیده و مهم هستید٬ اطلاعات شخصی و مشخصات مشتریان شما را شامل می شود یا دسترسی یک مدیر به یک ماشین مشتری است. شما مجبور به مدیریت هزاران کلمه عبور هستید. ما در ماه آینده راجع به این مسئله می پردازیم که چگونه می توان هزاران کلمه عبور را به کار برد.
یک اصل مهم را همیشه به یاد داشته باشید. هیچ وقت کلمه رمز خود را در اختیار دیگران قرار ندهید. به خصوص اگر در سیستمهایی با درجه ریسک متوسط و یا بالا از آن استفاده می کنید. اگر از یک مدیر شبکه کمک می خواهید ٬ باید بدانید که آنها می توانند بدون اطلاع شما کلمه عبور شما را عوض کنند.
###
ترجمه مقاله :
http://www.freesoftwaremagazine.com/free_issues/issue_01/passwd_management
| 
منوی اصلی
