بایگانی برچسب: تغییر پسورد و افزایش امنیت

چرا پسورد را باید دوره‌ای عوض کرد؟

رمزعبور خود را به صورت دوره‌ای تغییر دهید، حتما پیشنهاد تغییر پسورد به صورت متناوب  را در اکثر سامانه‌های الکترونیک شنیده‌اید، برای مثال رمز پست‌الکترونیکی، کارت‌های اعتباری و سایرحساب‌های کاربری؛ اما چرا باید این کار را انجام دهیم؟ اصلا این کار مفید است؟ اگر مدیر شبکه یا سامانه‌‌ی خاصی می‌باشید، آیا باید کاربران خود را مجبور کنید که رمزهایشان را عوض نمایند؟

آیا تغییر متناوب پسورد مفید است؟ پاسخ کوتاه

اگر به‌دنبال پاسخ کوتاه هستید، بلی، در صورتی که سامانه مورد استفاده یا مدیریت شما استانداردهای امنیتی لازم را رعایت نماید، تغییر پسورد عموما بازدارنده و مفید واقع خواهد شد و جلوی مورد سرقت و سوءاستفاده قرار گرفتن اطلاعات و… شما را خواهد گرفت.

اجبار در تغییر رمز عبور، خوب یا بد؟

مدیران باید به یاد داشته باشند اگر کاربران را برای ادامه فعالیت مجبور به تغیر رمزعبور نمایند، ممکن است کاربر تنها با افزودن یا تغییر یک کارکتر به ادامه فعالیت خود بپردازند و یا به روش‌های خطرناک‌تری همچون یادداشت کردن رمزعبور و یا استفاده از رمزهای کوتاه، ساده و با معنی (کلمات معنی دار) روی بیاورد.

اگر جزو این دسته از کاربران هستید، رویه خطرناکی را پیش‌رو گرفته‌اید.

یکی از مزایای مجبور کردن کاربران به تغییر رمزعبور، محافظت از سیستم‌هایتان در مقابل کاربرانی است که از رمزهای یکسان برای تمام حساب‌های کاربریشان استفاده می‌نمایند، با این کار در صورتی که رمز یکسان کاربر به هر صورتی مورد سرقت قرار گیرد سیستم‌های شما امن باقی خواهند ماند.

نظر مخالف

برخی بر این اعتقاداند که تغییر پسورد نمی‌تواند مفید واقع شود فرد مهاجم که به رمزعبور دسترسی پیدا کرده است بلافاصله اقدام به استفاده از آن خواهد کرد و روزها و ماه‌ها منتنظر شما نخواهد ماند تا رمز عبورتان را تغییر دهید، این نظریه تا حدی صحیح است، اما همانطور که در ابتدا بیان شد ایجاد این تغییر زمانی مفید است که سیستم از استانداردهای امنیتی تبعیت نماید، برای مثال رمزهای عبور به صورت هش ذخیره شوند و سیستم در مقابل نصب بدافزار و درب‌های پشتی امن باشد.

موضوع دیگر مورد حملات brute-force به صورت مستقیم قرار گرفتن است، فرض کنید یک ماشین در تلاش برای حدس زدن رمزعبور شما به صورت زنده است، تضمینی وجود ندارد که رمزعبور انتخاب شده جدید شما حدس بعدی ماشین مهاجم نباشد، اما باید بپذیریم احتمال رخ داد همچین اتفاقی بسیار ناچیز است و برای مقابله با اینگونه حملات راهکارهای خاص خود وجود دارد.

در چه شرایطی تغییر پسورد مفید واقع می‌شود؟

رمز شما به صورت هش شده نگهداری می‌شود و این هش به سرقت رفته، حال فرد مهاجم می‌تواند بدون نیاز به اتصال به سیستم اقدام به یافتن رمز اصلی شما نماید، این کار بسته به نوع الگوریتم مورد استفاده برای هش کردن پسورد عملی عموما زمان بر خواهد بود، در صورتی که این الگوریتم به اندازه کافی قدرتمند باشد فرصت لازم را برای شما ایجاد می‌کند تا با تغییر رمز خود مهاجم را از دسترسی یافتن به حسابتان ناکام سازید.

بسته به نوع سامانه مورد نفوذ واقع شده، مهاجم میتواند عملکرد متفاوتی داشته باشد. برای مثال سیستمی که قابلیت نصب Back-door را نداشته باشد را در نظر بگیرید، مثلا یک  سرویس‌ ایمیل تحت وب، یا سیستمی که امنیت لازم برای جلوگیری از نصب Back-door در آن برقرار شده باشد، عموما در این مواقع نفوذگر همانند یک احمق رفتار نخواهد کرد و با تغییر ندادن رمز عبور اجازه نمی‌دهد کابر متوجه نفوذ به سیستم شود و با این کار امکان دسترسی خود به سیستم مورد نفوذ در آینده را فراهم می‌سازد. در این موارد همانطور که مشخص است تغییر رمز عبورتان از اطلاعات و اکانت‌هایتان محافظت به عمل خواهد آورد و حداقل مزایای آن سخت کردن کار مهاجم و مجبور کردن آن برای تلاش دوچندان خواهد بود.

شرایط متفاوت دیگری ممکن است رخ دهد که در این موارد هم تغییر رمز عبورتان از دسترسی غیرمجاز به حساب و … شما جلوگیری به عمل خواهد آورد:

  • مهاجم در ابتدا قصد تخریب نداشته باشد.
  • هنوز اقدام به نصب بدافزار و درب پشتی نکرده باشد.
  • دانش کافی برای پیش‌روی لازم را در اختیار نداشته باشد.
  • در حال حاضر شرایط دسترسی به حسابتان را نداشته باشد.
  • پس از به دست آوردن دسترسی تا مدت خاصی صبر نماید (برای اطلاعات با ارزش‌تر).
  • و…

نکات مهم

در صورتی که قصد تغییر رمز عبور خود را دارید یا به اینکار مجبور می‌شوید، هرگز رمزتان را به رمز قبلی تغییر ندهید. ممکن است رمز قبلی شما به نحوی لو رفته باشد و در لیست دیکشنری مهاجم برای حملات آتی قرار داشته باشد. فرض کنید نسخه‌ی پشتیبان اطلاعات سامانه که حاوی رمز سابق شما است در دسترس فرد مهاجم قرار گیرد.

با توجه به نکته فوق مدیران سیستم باید نسخه‌ی پشتیبان اطلاعات را به صورت امن و ترجیها رمزنگاری شده نگهداری نمایند.

در هنگام انتخاب پسورد، نکات لازم برای ایجاد یک پسورد قوی و مناسب را رعایت نمایید، پسوردهای بسیار ساده، کوتاه و با معنی، به راحتی توسط دیکشنری یافته خواهند شد، همینطور مقدار هش شده این پسوردها بسیار سریع‌تر از هش یک رمز قوی، مهاجم را به رمز اصلی خواهد رساند.

نتیجه گیری

با توجه به حالت‌های برسی شده، همانطور که پیش‌تر اشاره شد، در صورتی که سیستم‌ها موارد امنیتی لازم را رعایت کرده باشند، تغییر دادن رمز عبور به صورت دوره‌ای توسط کاربران میتواند تا حد قابل توجه‌ای به افزایش امنیت یاری رساند. هرچند امنیت هیچگاه به طور کامل قابل تضمین نیست ولی میتوان با افزایش سیستم‌های امنیتی و پیچیده کردن آن‌ها حداقل کار مهاجمین را سخت‌تر کرد.

ادامه خواندن چرا پسورد را باید دوره‌ای عوض کرد؟