15 روش برتر مدیریت رمز عبور
فکر می کنید گذرواژه ها به زودی از بین می روند؟ دوباره فکر کنید گذرواژه ها دست و پا گیر هستند و به سختی به خاطر سپرده می شوند و درست هنگامی که آنها را به خاطر می آورید، به شما دستور داده می شود که آنها را دوباره تغییر دهید. و حدس بزنید چه؟ رمز ورود جدیدی که به دست می آورید به راحتی حدس زده می شود و قابل هک است.
هیچ کس رمز عبور را دوست ندارد، اما در حال حاضر، آنها در زندگی ما هستند. و گرچه برخی سعی کرده اند داده های بیومتریک را جایگزین گذرواژه ها کنند، مانند اثر انگشت و فناوری اسکن صورت، این موارد کامل نیستند، بنابراین بسیاری از آنها به رمز عبور قدیمی قابل اعتماد (اما ناامید کننده) متوسل می شوند.
شما می دانید که من در مورد چه چیزی صحبت می کنم، سیاست رمز عبور حکم می کند:
- حداقل طول 8 تا 12 کاراکتر، با عبارات عبور طولانی حتی بهتر
- پیچیدگی رمز عبور به این معنی است که حداقل شامل سه مجموعه مختلف است (به عنوان مثال، حروف بزرگ، حروف کوچک، اعداد یا نمادها)
- چرخش رمز عبور، گذرواژه ها باید هر 90 روز یا کمتر تغییر کنند.
- استفاده از قفل حساب برای گذرواژه های نامناسب، با محدودیت 5 یا کمتر
این توصیه همچنان توسط برخی از متخصصین برجسته تکرار می شود.
اما این توصیه در بهترین حالت، ناقص و در بدترین حالت کاملاً اشتباه است! چرا؟ از آنجا که این توصیه قدیمی، ناقص امنیت سایبری است که در وهله اول هرگز در واقع خوب نبود.
باور نمی کنید؟ خب، داده ها از موقعیت من پشتیبانی می کنند. کاربران و شرکت هایی که از توصیه های امنیتی منسوخ شده رمز عبور پیروی می کنند احتمالاً خطر امنیتی رایانه خود را افزایش می دهند، نه اینکه آن را کاهش دهند. تمرکز آنها بیشتر بر رعایت الزامات نظارتی منسوخ است تا اصول امنیتی رمز عبور که واقعاً کار می کنند.
در سال 2018، Verizon از طریق گزارش سالانه اطلاعات نقض داده ها (DBIR) گزارش داد که 81٪ از نقض داده های مربوط به هک کردن شامل رمزهای عبور سرقت شده یا ضعیف است. مشاغل باید بپذیرند که حداقل در حال حاضر سیاست گذرواژه قوی بهترین خط دفاعی در برابر دسترسی غیر مجاز به زیرساخت های حیاتی آنها است. بنابراین، در این مقاله، من در مورد برخی از سیاست های رمز عبور و بهترین شیوه هایی که هر سازمانی باید اجرا کند را بحث می کنم.
ابتدا، می خواهم تعدادی از گزارش وضعیت رفتارهای امنیتی رمز عبور و تأیید اعتبار در سال 2019 را به شما ارائه دهم که نتایج حاصل از نظرسنجی از 1761 متخصص امنیت IT و IT را جمع آوری کرده است:
- 69٪ رمزهای عبور خود را با همکاران خود برای دسترسی به حساب ها به اشتراک می گذارند.
- 51٪ از رمزهای عبور در حساب های شخصی و تجاری خود استفاده مجدد می کنند.
- 57٪ افرادی که حمله فیشینگ را تجربه کرده اند رفتارهای رمز عبور خود را تغییر نداده اند.
- 67٪ در زندگی شخصی خود از هر نوع احراز هویت دو عاملی استفاده نمی کنند و 55٪ در محل کار از آن استفاده نمی کنند.
- 57٪ اولویت خود را برای روش ورود به سیستم که شامل استفاده از گذرواژه نیست بیان کردند.
خطر اصلی این اقدامات فوق سرقت رمز عبور است که در آن هویت مرتبط به سرقت می رود. در اینجا چند روش معمول برای شکستن رمزهای عبور وجود دارد:
- Dictionary attacks: حملات دیکشنری متکی به نرم افزاری است که به طور خودکار کلمات رایج را به قسمت های رمز ورود می دهد.
- Cracking security questions: بسیاری از افراد از نام همسران، بچه ها، سایر اقوام یا حیوانات خانگی در سوالات امنیتی یا رمز عبور خود استفاده می کنند. این نوع پاسخ ها را می توان با اندکی تحقیق استنباط کرد و اغلب در پروفایل شبکه های اجتماعی شما یافت می شود.
- Guessing simple passwords: محبوب ترین رمز عبور 123456 است. سایر گزینه های معمول 111111، princess ،qwerty و abc123 هستند.
- Reuse of passwords across multiple sites: در صورت نقض داده ها، رمزهای عبور به خطر می افتد، از همین اطلاعات ورود به سیستم می توان برای هک کردن حساب های دیگر کاربران استفاده کرد. استفاده مجدد از رمزهای عبور برای حساب های ایمیل، بانکی و شبکه های اجتماعی می تواند منجر به سرقت هویت شود.
- Social engineering: مهندسی اجتماعی عبارت است از دستکاری دیگران در انجام برخی اقدامات یا افشای اطلاعات محرمانه. این می تواند برای فریب اهداف در افشای رمزهای عبور استفاده شود.
فقط یک تخلف در شرکت مناسب لازم است تا میلیون ها نام کاربری و رمز عبور به خطر بیفتد.
اکثر کاربران ماهیت خطرات امنیتی مربوط به رمزهای عبور آسان را حدس می زنند. خط مشی های رمز عبور مجموعه قوانینی است که با تشویق کاربران برای ایجاد رمزهای عبور قوی و ایمن و سپس ذخیره و استفاده صحیح از آنها، برای افزایش امنیت رمز عبور ایجاد شده است. حال بیایید نگاهی دقیق به سیاست های امنیتی جدید رمز عبور و بهترین شیوه هایی که هر سازمانی باید اجرا کند، بیندازیم.
15 اصل برتر مدیریت رمز عبور
1. یک عبارت عبور قوی و طولانی ایجاد کنید.
رمزهای عبور قوی باعث می شود هکرها نتوانند به سیستم حمله کنند و به سیستم وارد شوند. رمزهای عبور قوی بیش از هشت حرف در نظر گرفته شده اند و از دو حرف بزرگ، کوچک، اعداد و نمادها تشکیل شده اند.
انستیتوی استاندارد و فناوری ملی ایالات متحده (NIST) توصیه می کند عبارت های عبوری طولانی ایجاد شود که به راحتی به خاطر سپرده شوند و شکستن آنها دشوار است. طبق دستورالعمل های ویژه نشریه 800-63، دستورالعمل های هویت دیجیتال، بهترین روش تولید رمزهای عبور تا 64 نویسه، از جمله فاصله است.
2. رمزگذاری رمز عبور را اعمال کنید.
رمزگذاری از رمزهای عبور محافظت بیشتری می کند، حتی اگر توسط مجرمان اینترنتی به سرقت برود. بهترین روش در نظر گرفتن رمزگذاری انتها به انتها است که غیرقابل برگشت باشد. به این ترتیب می توانید از گذرواژه های موجود در شبکه محافظت کنید.
3. احراز هویت دو عاملی را پیاده سازی کنید.
احراز هویت دو عاملی به سرعت به استانداردی برای مدیریت دسترسی به منابع سازمانی تبدیل شده است. علاوه بر شناسنامه های سنتی مانند نام کاربری و رمز عبور، کاربران باید هویت خود را با یک کد یکبار ارسال شده به دستگاه تلفن همراه خود یا استفاده از یک توکن USB شخصی تأیید کنند. ایده این است که با احراز هویت دو عاملی (یا چند عاملی)، حدس زدن یا شکستن رمز عبور برای دسترسی به مهاجم کافی نیست.
4. روش های تأیید هویت پیشرفته را اضافه کنید.
روش های پیشرفته غیر رمز عبور را اعمال کنید. به عنوان مثال، به عنوان بخشی از احراز هویت چند عاملی، کاربران می توانند از تأیید بیومتریک استفاده کنند؛ مانند ورود به سیستم iPhone با استفاده از اثر انگشت با Touch ID یا تأیید اعتبار در رایانه ویندوز 10 فقط با مشاهده چهره Windows Hello. این روش به سیستم اجازه می دهد تا با شناسایی چهره، اثر انگشت، صدا، عنبیه یا ضربان قلب کارکنان را شناسایی کند.
5. رمز ورود خود را تست کنید.
با آزمایش رمز عبور خود با یک ابزار تست آنلاین، از قوی بودن آن اطمینان حاصل کنید. Microsoft’s Safety & Security Center دارای ابزاری برای تست رمز عبور است که می تواند به شما در تولید رمزهای عبور که احتمال هک شدن آنها کمتر است، کمک کند.
6. از واژه های دیکشنری استفاده نکنید.
هکرهای پیچیده برنامه هایی دارند که ده ها هزار واژه نامه دیکشنری را جستجو می کنند. برای جلوگیری از قربانی شدن تجارت شما در یک برنامه حمله به فرهنگ لغت، از کلمات فرهنگ لغت اجتناب کنید.
7. از رمزهای عبور مختلف برای هر حساب استفاده کنید: در غیر این صورت، اگر یک حساب شکسته شود، حساب های دیگر با همان اعتبارنامه به راحتی در معرض خطر قرار می گیرند.
8. تلفن همراه خود را ایمن کنید.
تلفن های همراه اکنون معمولاً برای انجام مشاغل، خریدها و موارد دیگر مورد استفاده قرار می گیرند، اما نگرانی های امنیتی زیادی را با خود به همراه دارند. با ایمن سازی تلفن خود با گذرواژه قوی، اثر انگشت یا رمزهای شناسایی چهره، از تلفن و سایر دستگاه های تلفن همراه خود در برابر هکرها محافظت کنید.
9. از تغییر دوره ای رمزهای عبور شخصی خودداری کنید.
یک روش امنیتی گسترده رمز عبور در طول سال ها مجبور کردن کاربران به تغییر گذرواژه به صورت دوره ای؛ هر 90 روز یا 180 روز و غیره است. با این حال، راهنمایی های اخیر NIST توصیه می کند از سیاست اجباری تغییر رمز عبور برای رمزهای عبور شخصی استفاده نکنید (توجه داشته باشید که این راهنمای به روز شده در مورد اعتبارنامه های معتبر اعمال نمی شود) یک دلیل این است که کاربران تمایل دارند فقط رمزهای عبور خود را که قبلاً استفاده کرده بودند تکرار کنند.
شما می توانید برای جلوگیری از استفاده مجدد رمز عبور، استراتژی هایی را پیاده سازی کنید، اما کاربران همچنان روش های خلاقانه ای را در مورد آن پیدا می کنند. پیامد دیگر تغییر مکرر رمز عبور این است که کاربران بیشتر تمایل دارند که رمزهای عبور را برای پیگیری از آنها بنویسند. بنابراین، بهترین روش NIST این است که فقط در صورت تهدید یا سازش احتمالی، از کارمندان بخواهید تغییر رمز عبور دهند.
10. رمز عبور خود را هنگام ترک کارفرمای خود تغییر دهید.
متأسفانه، غیر معمول نیست که کارمندان سابق و ناراضی به دشمن بدتر تجارت شما تبدیل شوند. تغییر رمز عبور هنگام ترک کارمندی را به عنوان یک روش معمول در نظر بگیرید تا کارمندان سابق نتوانند به حساب های کسب و کار شما هک کرده و ویرانی ایجاد کنند.
11. محافظت از حساب های کاربران دارای امتیاز: گذرواژه های حساب های کاربری ممتاز نیاز به محافظت های ویژه ای دارند، از جمله از طریق نرم افزار مدیریت دسترسی ممتاز. برخلاف گذرواژه های شخصی، اعتبارنامه های ممتاز باید حتی به طور مرتب تغییر کنند، حتی پس از هر استفاده برای اعتبار سنجی بسیار حساس). همچنین، برای اعتبار بیشتر باید این اعتبارنامه تزریق شود و هرگز به طور مستقیم توسط کاربر نهایی قابل مشاهده یا شناخته شود.
12. تجارت خود را آفلاین نگه دارید.
اطلاعات مهم امنیتی شرکت را در اینترنت عمومی قرار ندهید. با این کار سرقت برای هکرها آسان خواهد شد. همچنین، وقتی تمام برنامه ها را با آنها تمام کردید، مجوزها را حذف کنید.
13. از ذخیره رمزهای عبور خودداری کنید.
از ذخیره رمزهای عبور چه به صورت دیجیتالی و چه روی کاغذ خودداری کنید، زیرا این اطلاعات توسط افرادی که انگیزه های سواستفاده از آنها را دارند می توانند به سرقت بروند.
14. در مورد ایمنی هوشیار باشید.
مهم نیست که گذرواژه های شما چقدر قوی است و از نظر امنیتی دقیق هستید، اگر برنامه جاسوسی یک هکر آنچه را از صفحه کلید وارد می کنید کنترل کند، گذرواژه ها ایمن نخواهند بود. مجوزهای اینترنتی با استفاده از به روزترین راهکارهای ضد بدافزار و آسیب پذیری، مجوزهای لازم برای گرفتن مجوز برای مجرمان اینترنتی دشوار است، که به شما امکان می دهد سیستم های خود را سخت بگیرید تا نقاط ضعفی را که ممکن است به افراد متجاوز اجازه ورود و یا جابجایی را بدهد، جلوگیری و کاهش دهید.
15. از مدیران رمز عبور استفاده کنید.
با استفاده از یک مدیر گذرواژه، فقط باید یک گذرواژه را بخاطر بسپارید، زیرا مدیر گذرواژه ذخیره و حتی گذرواژه برای حساب های مختلف شما ایجاد می کند، هنگام ورود به سیستم به طور خودکار شما را وارد سیستم می کند.
یک مدیر رمز عبور را به عنوان کتابی از گذرواژه های خود مشاهده کنید که توسط یک کلید اصلی قفل شده است که فقط شما می دانید. برخی از شما فکر می کنید که به نظر بد می آید زیرا، اگر کسی رمز ورود اصلی را بدست آورد، همه گذرواژه های شما را دارد. اما اگر یک رمزعبور اصلی قوی و منحصر به فرد اما به راحتی به خاطر سپرده شده انتخاب کرده اید؛ روشی کاملاً مناسب برای محافظت از بقیه گذرواژه های شخصی خود در برابر دسترسی نامناسب ایجاد کرده اید.
مدیران گذرواژه نه تنها گذرواژه های شما را ذخیره می کنند، بلکه به شما در تولید و ذخیره رمزهای عبور بی نظیر و منحصر به فرد هنگام ورود به سیستم در وب سایت های جدید کمک می کنند. این بدان معناست که هر زمان به یک وب سایت یا برنامه می روید، می توانید مدیر رمز ورود خود را بلند کرده، رمز ورود خود را کپی کنید، آن را در جعبه ورود به سیستم وارد کنید و وارد سیستم شوید. اغلب، مدیران رمز عبور با پسوندهای مرورگر همراه هستند که به طور خودکار رمز ورود شما را پر می کنند.
و از آنجا که بسیاری از مدیران گذرواژه مورد استفاده دارای همگام سازی رمزگذاری شده در دستگاه ها هستند، می توانید گذرواژه های خود را در هر جایی حتی در تلفن خود با خود ببرید.
مدیران رمز عبور به گونه ای طراحی شده اند که به شما امکان دسترسی به همه رمزهای عبور خود را در قالب رمزگذاری شده دارند که برای هکرها یا نرم افزارهای مخرب قابل دسترسی نیست. آنها می توانند ضمن محافظت برجسته و اطمینان از خصوصی ماندن اطلاعات شما، راحتی قابل توجهی را ایجاد کنند.
به طور کلی، دو نوع مدیر کلمه عبور اصلی وجود دارد:
مدیران گذرواژه شخصی: رمزهای ورود به سیستم برای کاربران یا کارمندان برای دسترسی به برنامه ها و خدمات مختلف را مدیریت می کنند.
مدیران رمز عبور ممتاز: این راه حل های تخصصی شرکتی اعتبارات ممتاز را از طریق یک رمز عبور امن متمرکز در کل شرکت ایمن و مدیریت می کنند. اعتبارنامه های مخفی حساس ترین اسرار سازمان هستند که دسترسی ممتازی را برای حساب ها، برنامه ها و سیستم های کاربر فراهم می کنند. اینها به طور کلی با مدیریت جلسه ممتاز جفت می شوند و جز core اصلی یک پلت فرم مدیریت امتیازات سازمانی هستند.
نتیجه نهایی در مورد بهبود امنیت رمز عبور
همانطور که توضیح دادم، گذرواژه ها با گذشت زمان فقط کمی تغییر کرده اند، اما مدیریت رمز عبور به طور قابل توجهی در حال پیشرفت است. مدیران گذرواژه یکی از ایمن ترین راه حل ها برای حفاظت از اطلاعات احراز هویت شما هستند.
رمزهای عبور سرقت شده یا ضعیف هنوز هم شایع ترین دلیل نقض داده ها هستند، بنابراین سازمان ها باید سیاست های امنیتی رمز عبور و مدیریت رمز عبور را به دقت بررسی کنند. با بهترین شیوه هایی که در این وبلاگ ارائه داده ام، می توانید یک سیاست امنیتی رمز عبور موثر ایجاد کنید و از محافظت قوی تر در برابر دسترسی غیر مجاز محافظت کنید.
درباره فائزه تقی پور
فائزه تقی پور هستم دانشجوی کارشناسی شبکه کامپیوتری حدود یک سالی هست که نویسنده ام و دارای مهارت ها و مدرک دوره های +MCSA, CCNA ,Network هستم.
نوشته های بیشتر از فائزه تقی پور
دیدگاهتان را بنویسید