1. مقدمه
بهطورمعمول اکثر کاربران وسایل الکترونیک ازجمله رایانه، اینترنت، موبایل برای محافظت سیستم خود از افراد غیرمجاز از رمز عبور استفاده میکنند. بهعنوانمثال افراد برای دریافت پول از دستگاه عابر بانک، خرید اینترنتی، خرید از طریق دستگاه POS، ورود به رایانه و ایمیل از رمز عبور استفاده میکنند. رمز عبور بهطورمعمول از دنباله اعداد، حروف، کاراکترهای غیر حرفی تشکیلشده است؛ ازاینرو به خاطر سپردن تمام این حروف و اعداد ترکیبی بهمرورزمان با توجه به محدودیت حافظه کاربران سخت و با مخاطره فراموشی همراه است.
امروزه رایجترین روش احراز هویت استفاده از رمز عبور است؛ اما اگر رمز عبور شما (ازنظر امنیتی) بهدرستی انتخاب نشود و محرمانگی آن حفظ نگردد، هیچ تأثیری در حفظ امنیت حسابهای کاربریتان ندارد. بسیاری از سیستمها و خدمات الکترونیکی به دلیل انتخاب رمز عبور ضعیف آسیب¬پذیر هستند و حتی بعضی از ویروسها و کرمها میتوانند رمز عبور این سیستمها را حدس زده و به آنها آسیب برسانند.
2. انتخاب رمز عبور با امنیت بالا
رمزهای عبور بهعنوان اولین لایه حفاظتی مفید هستند، ولی آنها توسط روشهای گوناگونی توسط نفوذگران قابل حدس هستند و بهتنهایی برای حفظ امنیت کافی نیستند که در بخش بعد به آنها اشاره میشود. اما روشهایی نیز برای افزایش امنیت رمز عبور مطرح شده که در ادامه مورد بررسی قرار میگیرند.
1. از رمز عبور یکسان برای حسابهای مختلف استفاده نشود. برای هر حساب کاربری یک رمز عبور مجزا انتخاب شود. انتخاب رمز عبور یکسان برای حسابهای کاربری مختلف به مصداق وجود یک کلید برای باز کردن درب خانه، ماشین و دفتر کار است. حال فرض شود فرد بدخواهی به این کلید دسترسی پیدا کند، ممکن است بهتمامی آنها دستبرد بزند.
2. رمز عبور باید دارای حداقل 16 کاراکتر و شامل حداقل یک عدد، یک حرف بزرگ، یک حرف کوچک و یک نماد خاص باشد. رمز عبور با طول بلند، امن¬تر از یک رمز عبور با طول کوتاه است؛ زیرا حدس زدن آن سختتر و زمان بیشتری برای Crack شدن نیاز دارد. بهعنوانمثال "This pwd is 4 my BANK Account!" یک رمز عبور قوی محسوب میشود.
3. از رمزهای ساده مانند "123456" و "password" که بهراحتی قابل حدس زدن میباشند استفاده نشود.
4. از نام خود، دوستان، حیوانات خانگی، کد پستی، شماره پلاک، شماره تلفن، تاریخ تولد، شماره ملی و اطلاعاتی از این قبیل در رمز عبور استفاده نشود. تحقیقات نشان داده است که بسیاری از مردم رمز عبور را بر اساس اطلاعات شخصی خود انتخاب می¬کنند؛ درصورتیکه این کار باعث می¬شود نفوذگر بهراحتی رمز عبور آنان را حدس زده و یا کرک کند. یک شماره PIN چهاررقمی را در نظر بگیرید. آیا ترکیبی از روز، ماه و سال تولد کاربر است؟ یا شاید چهار رقم آخر شماره ملی کاربر است؟ یا چهار رقم آخر شماره تلفن اوست؟ در این صورت به نظر میرسد این PIN چهار رقمی بهسادگی و توسط هرکسی قابل شناسایی است.
5. از کلمات معروف (اصطلاحا دیکشنری) در رمز عبور استفاده نکنید. بهعنوانمثال کلماتی مانند apple، ایران، تهران، بهعنوان رمز عبور انتخاب نشود.
6. به مرورگر رایانه (Firefox، Chrome، Safari، Opera، IE) مجوز ذخیره رمزهای عبور داده نشود؛ زیرا تمام رمزهای ذخیرهشده در مرورگر قابلمشاهده هستند.
7. به حسابهای مهم (مانند ایمیل شخصی، حساب بانکی) از طریق رایانه دیگران یا هنگامیکه به یک شبکه وایرلس عمومی، شبکه TOR یا VPN متصل هستید، وارد نشوید.
8. اطلاعات حساس از طریق پروتکل¬های HTTP و FTP ارسال نشود؛ زیرا اطلاعات در این پروتکل ها قابل شنود هستند. برای انتقال اطلاعات حساس از پروتکل هایی مانند HTTPS و SFTP استفاده شود.
9. رمز عبور باید در بازه مشخص زمانی بهعنوان مثال به صورت ماهیانه تغییر کند.
10. رمز عبور را توسط نرمافزارهای "مدیریت رمز عبور" مانند KeePass یا روی دیسکهای رمزگذاری شده با روش هایی مانند BitLocker ذخیره شود. رمز عبور به صورت نوشته شده روی میز کار قرار داده نشود. همچنین رمز عبور از طریق ایمیل برای دیگران ارسال نشود.
11. رمز عبور در شبکه¬های ابری مانند Google Drive، iCloud و غیره ذخیره نشود.
12. وب سایت های مهم مانند حساب ایمیل و حسابهای بانکی توسط Bookmark مرورگر باز شود. قبل از اینکه رمز عبور وارد شود، حتماً از صحت آدرس اینترنتی بازشده در مرورگر اطمینان حاصل شود. نفوذگرها از این طریق حمله فیشینگ را پیادهسازی میکنند.
13. رمز عبور را در اختیار کسی قرار ندهید، حتی اگر دوستان نزدیک و قابلاعتماد باشند.
14. رایانه خود را توسط آنتیویروس و فایروال امن نگه دارید.
3. اقداماتی جهت امنیت بیشتر عملیات احراز هویت
بسیاری از سازمانها از روشهای دیگری برای احراز هویت استفاده میکنند؛ که در ادامه به بررسی این روشها پرداخته میشود.
1. احراز هویت دومرحلهای : با استفاده از احراز هویت دومرحلهای، رمز عبور یک عامل از احراز هویت است. درصورتیکه نفوذگر موفق به دستیابی به رمز عبور شود، بدون عامل دوم نمیتواند وارد حساب کاربر شود. این نظریه شبیه به این است که یک گاوصندوق با ترکیب دو کلید باز شود. البته در اکثر معماریهای موجود کلید دوم "یکبارمصرف" است و بهمحض اینکه یک بار از آن استفاده شود، باطل میشود. بهعنوانمثال ایمیلها علاوه بر رمز عبور، یک رمز تصادفی برای کاربر پیامک میکنند که برای ورود بهحساب ایمیل، واردکردن آن در کادر مربوطه الزامی است.
2. گواهی وب شخصی : برخلاف گواهی استفادهشده برای وب سایتها، گواهی وب شخصی برای شناسایی کاربران استفاده میشود. این وب سایتها از کلید عمومی و خصوصی برای تائید کاربران استفاده میکنند. در این مدل اطلاعات کاربری در گواهینامه ذخیرهشده است و علاوه بر آن برای تکمیل احراز هویت نیاز به یک رمز عبور نیز میباشد.
4. فراموش کردن رمز عبور
کاربران ممکن است رمز عبور خود را فراموش کنند یا رایانه خود را فرمت و رمز عبور و گواهینامههای احراز هویت خود را از دست دهند. بعضی از سازمانها در این شرایط روشهای خاصی برای بازیابی اطلاعات کاربران دارند. در اکثر مواقع سازمانها و وب سایتها از طریق سؤالات محرمانه یا ارسال ایمیل لینک بازیابی رمز عبور، عملیات تغییر رمز عبور را انجام میدهند.
وقتی کاربر یک حساب جدید (ایمیل، حساب بانکی) ایجاد میکند، این سایتها از کاربر درخواست میکنند که به سؤالاتی پاسخ دهد. حال درزمانی که کاربر رمز عبور خود را فراموش کند، همان سؤالات از کاربر پرسیده میشود. این سؤالات معمولاً در مورد اطلاعات شخصی مانند نام خود یا پدر و مادر، شماره ملی، تاریخ تولد، نام حیوان خانگی و از این قبیل هستند. تصور شود کاربر در یک شبکه اجتماعی مانند فیسبوک عضویت دارد تمامی اطلاعات شخصی خود را در آن نوشته یا به طرق مختلف و در صفحات دیگران در مورد اطلاعات و علایق شخصی اظهارنظر کرده و یا عکسی را در زمینه ی خاصی اصطلاحاً Like کرده است. نفوذگران از طریق جمعآوری تمام این اطلاعات و شناسایی دقیق آنها می-توانند به حساب¬های مهم کاربران نفوذ کنند. بهعنوانمثال یکی از سؤالات ممکن است چنین باشد : "نام خواننده موردعلاقه شما چیست؟". بهعنوانمثال جواب کاربر به این سؤال "reza sadeghi" است. از طرف دیگر، کاربر در صفحه فیسبوک خود "رضا صادقی" را به علاقهمندیهای خود اضافه کرده است. همین اشتباه کافی است تا ایمیل شخصی کاربر توسط یک نفوذگر بازیابی شود. یکی از راهکارهای مطرح در این زمینه این است که از دادن اطلاعات واقعی پرهیز شود.
