علی رغم تمام پیشرفت انسان در تکنولوژی امنیت، یک اصل همچنان ثابت باقی مانده: رمزهای عبور هنوز نقش اصلی را در سیستم های امنیتی بر عهده دارند. از طرفی هم ایراد رمزهای عبور این است که بسیاری اوقات یکی از دیوارهای امنیتی هستند که بسیار راحت شکسته می شوند. اگر چه ما می توانیم با استفاده از تکنیک های ویژه و رعایت خط مشی مشخص، رمزهای عبور را قوی تر و امن تر کنیم، ولی باز هم با ضعیف ترین حلقه در سیستم امنیتی مشکل خواهیم داشت: عنصر انسانی.
درنهایت هدف این است که کاربران رمزهای عبور بهتری انتخاب کنند. هر چند که اصلا شیوه دستیابی به این هدف واضح و مشخص نیست. مشکل اینجا است که هر اندازه انسانها خلاقتر باشند، بیشتر و بیشتر قابل پیشبینی خواهند بود. اگر به شما بگویم که لیستی از کلمات کاملا تصادفی ایجاد کنید، ناگزیر یک الگو در لیست شما پدیدار می شود. انتخاب رمزعبور مناسب، نیاز به آموزش دارد. مدیران شبکه به آموزش نیاز دارند و این آموزه ها باید به کاربران نهایی هم منتقل شود. اینجا قصد داریم با معرفی برخی باورهای اشتباه درباره رمزهای عبور ویندوز، قدمی در راه آموزش صحیح انتخاب رمزعبور برداریم.
باور شماره یک: Dj#wP3M$c یک رمزعبور عالی است
باور عموم بر این است که رمزهای عبوری که توسط برنامه های رمزساز از کاراکترهای کاملا تصادفی ایجاد می شوند، بهترین رمزهای عبور هستند. این حقیقت ندارد. در حین اینکه آنها می توانند رمزهای عبور قوی باشند، به خاطر سپاری آنها بسیار مشکل است، تایپ کردن آنها به آهستگی صورت می گیرد و برخی اوقات ممکن است با الگوریتم های رمزساز برنامه های رمزشکن مورد حمله قرار گیرند. تولید رمزعبوری که به همین قدرت باشد، اما به خاطر سپاری آن بسیار راحت تر باشد، کاری آسان است که تنها نیاز به دانستن چند تکنیک دارد. در درس های قبلی نگهبان به دفعات این مطلب را یادآوری کرده و تکنیک های مناسبی برای آن معرفی کرده ایم. اینجا هم به ذکر یک نمونه می پردازیم:
Makeit20@password.com
در این رمزعبور از حروف کوچک و بزرگ استفاده شده است. حاوی ۲ عدد و دو کاراکتر سیمبل است. به اندازه کافی طولانی است و از ۲۰ کاراکتر تشکیل شده و در نهایت اینکه با کمی سعی به راحتی می توان آن را به خاطر سپرد. شاید حتی بعد از اتمام این مقاله، شما آن را در خاطر خود داشته باشید. علاوه بر این، تایپ این رمزعبور بسیار سریع انجام می شود. بخش Makeit20 به تناوب میان کلیدهای چپ و راست کیبرد تقسیم شده که باعث افزایش سرعت و کاهش غلط تایپی می گردد. در نتیجه سعی افراد فضول برای خواندن رمزعبور از روی دست شما با شکست مواجه می شود.
باور شماره دو: ۱۴ کاراکتر برای یک رمزعبور خوب، کاملا مطلوب و کافی است
در ویندوزهای قدیمی، همچون NT سیستم رمزنگاری و ذخیره رمزعبور به گونه ای بود که شما تنها می توانستید تا ۱۴ کاراکتر برای رمزعبور انتخاب کنید. سیستم عامل هم رمزعبور شما را در دو دسته ۷ کاراکتری رمزنگاری و نگهداری می کرد. در نتیجه شکستن و کشف این رمزها نسبت به رمزهای ۱۴ کاراکتری، با حملات بروت-فورس کار ساده ای بود.
اگر هم که شما رمزعبور مثلا ۹ کاراکتری انتخاب می کردید که دیگر وضع بدتر می شود. زیرا هکر با یک کد ۷ کاراکتری و یک کد ۲ کاراکتری طرف بود. کد هفت کاراکتری چند ساعت زمان وی را می گرفت، اما کد ۲ کاراکتری در مدت زمان کمی شکسته می شد. به همین دلیل افراد حرفه ای همیشه پیشنهاد می کردند که رمزعبور مناسب باید ۱۴ کاراکتر باشد.
اما در سیستم عامل های جدیدتر مایکروسافت همچون ویندوز ایکس پی، ویندوز ۲۰۰۰ و … دیگر با محدودیت ۱۴ کاراکتری روبرو نیستید و رمزعبور می تواند تا ۱۲۷ کاراکتر طول داشته باشد. در صورتی که رمزعبور شما ۱۵ کاراکتر یا بیشتر باشد، ویندوز آن را با مکانیسم دیگری به صورت یک تکه رمزگذاری و نگهداری می کند. اما اگر از همان ۱۴ کاراکتر یا کمتر استفاده کنید، به سراغ همان سیستم ضعیف قدیمی و دو تکه کردن رمزعبور می رود. پس بهترین طول برای رمزعبور، حداقل ۱۵ کاراکتر است که هرچه بیشتر شود، بهتر و قوی تر است.
باور شماره سه: J0hn99 رمزعبور خوبی است
علی رغم آنچه که عموم کاربران فکر می کنند، این عبارت رمزعبور قوی و مناسبی نیست. بسیاری از برنامه های رمزشکن امکان این را دارند که در هر ثانیه میلیون ها کلمه مختلف را تست کنند. حروف و اعداد را با هم جایگزین کنند (مثلا ۰ به جای o) و اعداد تصادفی را به کلمات افزوده و آنها را آزمایش کنند. یک هکر رمزشکن در برنامه ای که آماده می کند، همیشه چیزی بیش از خلاقیت کاربران معمولی را در آن می گنجاند.
رویکرد بهتر آن است که کمتر قابل پیشبینی باشید. مثلا به جای اینکه حرف o را با عدد ۰ جایگزین کنید، بهتر است که آن را با کاراکترهای () جایگزین نمایید J()hn. و مطمئنا هرچه که رمزعبورتان طولانی تر شود، قدرت آن هم بیشتر می شود.
باور شماره چهار: سرانجام هر رمزعبوری شکسته خواهد شد
اگرچه رمزعبور ممکن است از طریق برخی ابزارها و روشها (مانند کی لاگر و مهندسی اجتماعی) کشف شود، اما این امکان وجود دارد که رمزعبورهایی تولید کنید که در مدت زمان معقول، غیر قابل هک باشند. اگر رمز عبور به اندازه کافی طولانی باشد، نیاز به زمان بسیار طولانی یا قدرت پردازش بسیار بالایی برای شکسته شدن دارد. به گونه ای که به صورت کلی می توان آن را غیرقابل نفوذ دانست یا حداقل برای اغلب هکرها اینگونه خواهد بود. بله، سرانجام هر رمزعبوری شکسته خواهد شد، اما احتمالا این اتفاق در زمان حیات شما به وقوع نخواهد پیوست. به جز اینکه شما با یک تیم هک وابسته به دولت ها روبرو باشید، یک رمزعبور طولانی می تواند کاملا امن باشد. البته ممکن است پیشرفت انسان در افزایش قدرت پردازش، روزی این باور را به واقعیت تبدیل کند.
باور شماره پنج: رمزهای عبور باید هر ۳۰ روز یکبار عوض شوند
هرچند که این مورد ممکن است پیشنهاد خوبی برای برخی رمزهای عبور با ریسک و خطر بالا باشد. اما این کار خط مشی مناسبی برای عموم کاربران نیست. الزامی کردن تغییر دوره ای رمزعبور، اغلب باعث می شود کاربران یک الگوی قابل پیش بینی شخصی را برای انتخاب رمزعبور طرح ریزی کرده و توسعه دهند. یا اینکه میزان کارایی و امنیت رمزهای عبورشان کاهش یابد. معمولا این اجبار واقعا کاربر را تحت فشار قرار می دهد. همچنین سخت است که یک کاربر عادی این ثبات قدم را داشته باشد که هر ۳۰ روز یکبار، رمزعبور جدیدی بسازد و آن را به خاطر بسپرد. شاید به جای تاکید روی تعیین طول عمر برای رمزعبور، بهتر باشد توجه مان را بر روی ساخت رمزهای عبور قوی تر و آگاهی بیشتر کاربران متمرکز کنیم. طول عمر رمزعبور که به واقعیت نزدیک تر باشد، می تواند ۹۰ یا ۱۲۰ روز تعیین شود. هرچه به کاربر مدت زمان بیشتری بدهید، بهتر می توانید وی را برای ساخت و استفاده از رمزعبور قوی تر آموزش داده و متقاعد کنید.
باور شماره شش: شما هرگز نباید رمزعبورتان را جایی بنویسید
درست است که این مورد یکی از پیشنهادات امنیتی خوب است، اما گاهی اوقات نوشتن رمزهای عبور ضروری و غیرقابل اجتناب است. اگر به کاربران اجازه دهیم که رمزعبور را در جای مطمئنی یادداشت کنند تا هنگام فراموشی به آن مراجعه کنند، این کار به آنها احساس بهتری می دهد و با خیال راحت تر از رمزهای عبور سخت و قوی استفاده می کنند. اگر چه آموزش شیوه صحیح یادداشت رمزعبور به کاربر بسیار مهم است.
استفاده از کاغذ یادداشت و چسباندن آن روی مانیتور اصلا شیوه صحیح و مناسبی نیست. اما نگهداری رمزهای عبور در یک کشوی امن و تا حد امکان قفل شده می تواند خط مشی مناسب با امنیت کافی باشد. و مهمتر از همه اینکه هنگام بیرون ریختن این یادداشت های قدیمی، به هیچ وجه در رعایت نکات امنیتی کوتاهی نکنید. ممکن است برخی رمزهای عبور درون این یادداشت ها هنوز در حال استفاده باشند و ریختن آنها به درون زباله دانی، باعث سوءاستفاده از آنها و به خطر افتادن امنیت تان گردد.
یک راه هم این است که به کاربران آموزش دهید رمزهای عبورشان را در نرم افزارهای امن ویژه این کار نگهداری کنند. این کار به کاربران امکان می دهد که تعداد بسیار زیادی رمزعبور امن و طولانی را بدون نیاز به حفظ کردن، در یک مکان امن که با یک رمزعبور اصلی محافظت می شود، نگهداری کنند. برای دستیابی به لیست کامل رمزهای عبورتان، تنها لازم است که رمزعبور اصلی برنامه مدیریت رمزهای عبور را به خاطر داشته باشید.
البته قبل از اینکه به کاربران اجازه دهید که از چنین برنامه هایی استفاده کنند، باید آنها را درباره خطرات این کار آگاه کنید. اول اینکه خود این برنامه ها با توجه به محتوای غنی رمزهای عبور مهمی که نگهداری می کنند، ممکن است به اهدافی برای حمله تبدیل شوند. دوما، با توجه به اینکه تمام رمزهای عبور کاربر وابسته به یک رمزعبور اصلی هستند، فراموشی یا از دست دادن آن برای نابودی تمامی رمزهای عبور کافی است. بهترین تکنیک استفاده از مخلوط این دو روش نگهداری رمزعبور است، یادداشت و حفاظت فیزیکی از رمزعبور اصلی به همراه استفاده از نرم افزارهای مدیریت رمزعبور مطمئن و امن بهترین نتیجه را در بر خواهد داشت.
گاهی اوقات لازم است که رمزهای عبور در مدارک و اسناد مکتوب ثبت گردند. اتفاق غیرمعمولی نیست که ببینیم یک شرکت فقط به خاطر از دست دادن و یا رفتن مدیر سرور (که تنها فرد دارنده رمزعبور کامپیوترهای مرکزی است)، دچار مشکلات فراوانی شده است. شما باید تا حد امکان از نوشتن و ثبت کتبی رمزهای عبور اجتناب کنید. اما اگر ثبت کتبی آنها ضروری است، درخصوص نگهداری از آن باهوش باشید و درست عمل کنید.
باور شماره هفت: رمزعبور نمی تواند حاوی اسپیس (فاصله) باشد
برخلاف باور عموم، ویندوز ۲۰۰۰، ایکس پی و دیگر ویندوزهای بعد از آن، قابلیت استفاده از کلید اسپیس در رمزعبور را دارند. جالب تر اینکه امروزه بسیاری از سایت ها و نرم افزارها هم این امکان را به شما می دهند. در حقیقت، شما هر کاراکتری را که در ویندوز قادر به مشاهده آن باشید، امکان استفاده از آن در رمزعبور را دارید. بنابراین اسپیس یک کاراکتر کاملا معتبر در رمزعبور ویندوز خواهد بود. البته بسته به برنامه های مختلف، معمولا کاراکتر اسپیس در ابتدا یا انتهای رمزعبور چندان مناسب نخواهد بود.
فاصله ها به کاربر اجازه می دهد تا راحت تر رمزهای عبور پیچیده را تولید و به خاطر بسپرد. استفاده از اسپیس در میان کلمات رمزعبور، می تواند کاربر را به استفاده تعداد کلمات بیشتری تشویق کند.
حال بگذارید به ایراد استفاده از اسپیس بپردازیم: کلید اسپیس هنگام فشرده شدن صدایی ویژه و متمایز از سایر کلیدها تولید می کند، پس تشخیص صدای آن برای فردی که در حال فضولی در کار شما است، چندان سخت نیست و وی خواهد فهمید که شما در رمزعبورتان از اسپیس استفاده کرده اید. پس لطفا در استفاده از ان زیاده روی نکنید.
باور شماره هشت: از ترکیب کلیدهای alt+۲۵۵ برای ساخت قویترین رمزعبور ممکن بهره ببرید.
معمولا در بسیاری از راهنماهای ساخت رمزعبور می توانید پیشنهاد استفاده از کدهای اسکی را بیابید. بیشتر کاراکترهای اسکی به صورت عادی قابل تایپ نیستند. بلکه برای نوشتن آنها باید از کلید Alt به همراه مقدار عددی آن استفاده کرد. برای مثال ترکیب Alt+۲۵۵ کاراکتر ÿ را تولید می کند.
علی رغم اینکه این تکنیک در برخی موارد بسیار کاربردی است، بهتر است با برخی ایرادات آن هم آشنا شوید: اول از همه اینکه نگه داشتن کلید alt و تایپ یک عدد با صفحه عددی کیبرد می تواند به راحتی توجه بقیه را جلب کرده و توسط آنها دیده شود. دوم اینکه تولید یک کد اسکی مستلزم فشردن چهار تا پنج کلید است، که باید به خاطر سپرده شده و هر بار استفاده شوند. شاید استفاده از رمزعبوری با ۵ کاراکتر اضافی، خیلی موثرتر از استفاده از یک کد اسکی در رمزعبور باشد. زیرا می تواند به ازای همان تعداد فشردن کلید، رمزعبور بسیار قوی تر و طولانی تری در اختیار شما بگذارد. کد اسکی که با فشردن ۵ کلید تولید می شود، تنها یک کاراکتر به طول رمزعبور شما می افزاید، اما فشردن ۵ کلید جداگانه، باعث افزایش ۵ کاراکتری رمزعبور شما خواهد شد.
مشکل دیگر این است که در لپ تاپ ها روشن کردن و استفاده از صفحه کلید عددی بسیار مشکل و دردسر ساز است. برخی کدهای اسکی هم در خط فرمان ویندوز و برخی برنامه ها قابل استفاده نیستند.
نکته: یک رمزعبور خوب، الزاما رمزعبور پیچیده ای نیست. بلکه یک رمزعبور خوب، رمزعبوری است که حدس زدن آن سخت و به خاطر سپردنش آسان باشد. به اندازه کافی طولانی باشد. شامل حروف، اعداد و سیمبل ها باشد. همچنین تایپ آن راحت بوده و با کمترین ایراد تایپی قابل استفاده باشد. چینش آن به قدری تصادفی باشد که کامپیوتری به نظر برسد و آنقدر آشنا و واضح باشد که فقط از یک انسان بر می آید.
نظرات شما عزیزان:
.gif){kind=small}
تبادل لینک هوشمند