رمز عبور با امنیت بالا
بسیاری از سیستمها و خدمات الکترونیکی به دلیل انتخاب رمز عبور ضعیف آسیبپذیر هستند و حتی بعضی از ویروسها و کرمها میتوانند رمز عبور این سیستمها را حدس زده و به آنها آسیب برسانند. به طور معمول اکثر کاربران وسایل الکترونیک از جمله رایانه، اینترنت، تلفن همراه برای محافظت سیستم خود از افراد غیرمجاز از رمز عبور استفاده میکنند. به عنوان مثال افراد برای دریافت پول از دستگاه عابربانک، خرید اینترنتی، خرید از طریق دستگاه POS، ورود به رایانه و ایمیل از رمز عبور استفاده میکنند. رمز عبور به طور معمول از دنباله اعداد، حروف، کاراکترهای غیرحرفی تشکیل شده است؛ از این رو به خاطر سپردن تمام این حروف و اعداد ترکیبی به مرور زمان با توجه به محدودیت حافظه کاربران سخت و با مخاطره فراموشی همراه است. امروزه رایجترین روش احراز هویت استفاده از رمز عبور است اما اگر رمز عبور شما از نظر امنیتی به درستی انتخاب نشود و محرمانگی آن حفظ نشود، هیچ تاثیری در حفظ امنیت حسابهای کاربریتان ندارد. انتخاب رمز عبور با امنیت بالا به گزارش ایرنا از مرکز ماهر، رمزهای عبور به عنوان اولین لایه حفاظتی مفید هستند ولی آنها توسط روشهای گوناگونی توسط نفوذگران قابل حدس هستند و به تنهایی برای حفظ امنیت کافی نیستند. نباید از رمز عبور یکسان برای حسابهای مختلف استفاده شود بنابراین برای هر حساب کاربری یک رمز عبور مجزا انتخاب کنید. انتخاب رمز عبور یکسان برای حسابهای کاربری مختلف به مصداق وجود یک کلید برای باز کردن درب خانه، ماشین و دفتر کار است. حال فرض شود فرد بدخواهی به این کلید دسترسی پیدا کند، ممکن است به تمامی آنها دستبرد بزند.رمز عبور باید دارای حداقل 16 کاراکتر و شامل حداقل یک عدد، یک حرف بزرگ، یک حرف کوچک و یک نماد خاص باشد. رمز عبور با طول بلند، امنتر از یک رمز عبور با طول کوتاه است زیرا حدس زدن آن سختتر است و زمان بیشتری برای Crack شدن نیاز دارد. از رمزهای ساده مانند «123456» و «password» که به راحتی قابل حدس زدن هستند، استفاده نکنید. از نام خود، دوستان، کد پستی، شماره پلاک، شماره تلفن، تاریخ تولد، شماره ملی و از این قبیل در رمز عبور استفاده نکنید. تحقیقات نشان داده است که بسیاری از مردم رمز عبور را براساس اطلاعات شخصی خود انتخاب میکنند در صورتی که این کار باعث میشود نفوذگر به راحتی رمز عبور آنان را حدس زده یا کرک کند. از کلمات معروف در رمز عبور استفاده نکنید. به عنوان مثال کلماتی مانند apple، ایران و تهران را به عنوان رمز عبور انتخاب نکنید. به مرورگر رایانه (Firefox، Chrome، Safari، Opera، IE) مجوز ذخیره رمزهای عبور را ندهید زیرا تمام رمزهای ذخیرهشده در مرورگر قابل مشاهده هستند. به حسابهای مهم (مانند ایمیل شخصی و حساب بانکی) از طریق رایانه دیگران یا هنگامی که به یک شبکه وایرلس عمومی، شبکه TOR یا VPN متصل هستید، وارد نشوید. اطلاعات حساس را از طریق پروتکلهای HTTP و FTP ارسال نکنید زیرا اطلاعات در این پروتکلها قابل شنود هستند. برای انتقال اطلاعات حساس از پروتکلهایی مانند HTTPS و SFTP استفاده کنید.رمز عبور باید در بازه مشخص زمانی به عنوان مثال به صورت ماهانه تغییر کند. رمز عبور را توسط نرمافزارهای «مدیریت رمز عبور» مانند KeePass یا روی دیسکهای رمزگذاری شده با روشهایی مانند BitLocker ذخیره کنید. رمز عبور را به صورت نوشته شده روی میز کار قرار داده ندهید. همچنین از طریق ایمیل برای دیگران ارسال نکنید. رمز عبور را در شبکههای ابری مانند Google Drive، iCloud و... ذخیره نکنید. وبسایتهای مهم مانند حساب ایمیل و حسابهای بانکی را توسط Bookmark مرورگر باز کنید. قبل از اینکه رمز عبور را وارد کنید حتما از صحت آدرس اینترنتی بازشده در مرورگر اطمینان حاصل نمایید. نفوذگرها از این طریق حمله فیشینگ را پیادهسازی میکنند.رمز عبور را در اختیار کسی قرار ندهید حتی اگر دوستان نزدیک و قابل اعتماد باشند و رایانه خود را توسط آنتیویروس و فایروال امن نگه دارید. عملیات احراز هویت بسیاری از سازمانها از روشهای دیگری برای احراز هویت استفاده میکنند که در ادامه به بررسی این روشها پرداخته میشود.احراز هویت دومرحلهای: در احراز هویت دو مرحلهای، رمز عبور یک عامل محسوب میشود. در صورتی که نفوذگر موفق به دستیابی به رمز عبور شود، بدون عامل دوم نمیتواند وارد حساب کاربر شود.این نظریه شبیه به این است که یک گاوصندوق با ترکیب دو کلید باز شود. البته در اکثر معماریهای موجود کلید دوم «یکبار مصرف» است و به محض اینکه یک بار از آن استفاده شود، باطل میشود.به عنوان مثال ایمیلها علاوه بر رمز عبور، یک رمز تصادفی برای کاربر پیامک میکنند که برای ورود به حساب ایمیل، واردکردن آن در کادر مربوطه الزامی است.گواهی وب شخصی: برخلاف گواهی استفاده شده برای وبسایتها، گواهی وب شخصی برای شناسایی کاربران استفاده میشود. این وبسایتها از کلید عمومی و خصوصی برای تایید کاربران استفاده میکنند. در این مدل اطلاعات کاربری در گواهینامه ذخیره شده است و علاوه بر آن برای تکمیل احراز هویت نیاز به یک رمز عبور نیز است. فراموش کردن رمز عبور کاربران ممکن است رمز عبور خود را فراموش کنند یا رایانه خود را فرمت و رمز عبور و گواهینامههای احراز هویت خود را از دست دهند.بعضی از سازمانها در این شرایط روشهای خاصی برای بازیابی اطلاعات کاربران دارند. در اکثر مواقع سازمانها و وبسایتها از طریق سوالات محرمانه یا ارسال ایمیل لینک بازیابی رمز عبور، عملیات تغییر رمز عبور را انجام میدهند.وقتی کاربر یک حساب جدید (ایمیل، حساب بانکی) ایجاد میکند، این سایتها از کاربر درخواست میکنند که به سوالاتی پاسخ دهد. حال در زمانی که کاربر رمز عبور خود را فراموش کند، همان سوالات از کاربر پرسیده میشود. این سوالات معمولا در مورد اطلاعات شخصی مانند نام خود یا پدر و مادر، شماره ملی، تاریخ تولد و از این قبیل هستند.تصور شود کاربر در یک شبکه اجتماعی مانند فیسبوک عضویت دارد تمامی اطلاعات شخصی خود را در آن نوشته یا به طرق مختلف و در صفحات دیگران در مورد اطلاعات و علایق شخصی اظهارنظر کرده یا عکسی را در زمینه خاصی اصطلاحا Like کرده است. نفوذگران از طریق جمعآوری تمام این اطلاعات و شناسایی دقیق آنها میتوانند به حسابهای مهم کاربران نفوذ کنند. از طرف دیگر، کاربر در صفحه فیسبوک خود «رضا صادقی» را به علاقهمندیهای خود اضافه کرده است. همین اشتباه کافی است تا ایمیل شخصی کاربر توسط یک نفوذگر بازیابی شود. یکی از راهکارهای مطرح در این زمینه این است که از دادن اطلاعات واقعی پرهیز شود.
بسیاری از سیستمها و خدمات الکترونیکی به دلیل انتخاب رمز عبور ضعیف آسیبپذیر هستند و حتی بعضی از ویروسها و کرمها میتوانند رمز عبور این سیستمها را حدس زده و به آنها آسیب برسانند. به طور معمول اکثر کاربران وسایل الکترونیک از جمله رایانه، اینترنت، تلفن همراه برای محافظت سیستم خود از افراد غیرمجاز از رمز عبور استفاده میکنند. به عنوان مثال افراد برای دریافت پول از دستگاه عابربانک، خرید اینترنتی، خرید از طریق دستگاه POS، ورود به رایانه و ایمیل از رمز عبور استفاده میکنند. رمز عبور به طور معمول از دنباله اعداد، حروف، کاراکترهای غیرحرفی تشکیل شده است؛ از این رو به خاطر سپردن تمام این حروف و اعداد ترکیبی به مرور زمان با توجه به محدودیت حافظه کاربران سخت و با مخاطره فراموشی همراه است. امروزه رایجترین روش احراز هویت استفاده از رمز عبور است اما اگر رمز عبور شما از نظر امنیتی به درستی انتخاب نشود و محرمانگی آن حفظ نشود، هیچ تاثیری در حفظ امنیت حسابهای کاربریتان ندارد. انتخاب رمز عبور با امنیت بالا به گزارش ایرنا از مرکز ماهر، رمزهای عبور به عنوان اولین لایه حفاظتی مفید هستند ولی آنها توسط روشهای گوناگونی توسط نفوذگران قابل حدس هستند و به تنهایی برای حفظ امنیت کافی نیستند. نباید از رمز عبور یکسان برای حسابهای مختلف استفاده شود بنابراین برای هر حساب کاربری یک رمز عبور مجزا انتخاب کنید. انتخاب رمز عبور یکسان برای حسابهای کاربری مختلف به مصداق وجود یک کلید برای باز کردن درب خانه، ماشین و دفتر کار است. حال فرض شود فرد بدخواهی به این کلید دسترسی پیدا کند، ممکن است به تمامی آنها دستبرد بزند.رمز عبور باید دارای حداقل 16 کاراکتر و شامل حداقل یک عدد، یک حرف بزرگ، یک حرف کوچک و یک نماد خاص باشد. رمز عبور با طول بلند، امنتر از یک رمز عبور با طول کوتاه است زیرا حدس زدن آن سختتر است و زمان بیشتری برای Crack شدن نیاز دارد. از رمزهای ساده مانند «123456» و «password» که به راحتی قابل حدس زدن هستند، استفاده نکنید. از نام خود، دوستان، کد پستی، شماره پلاک، شماره تلفن، تاریخ تولد، شماره ملی و از این قبیل در رمز عبور استفاده نکنید. تحقیقات نشان داده است که بسیاری از مردم رمز عبور را براساس اطلاعات شخصی خود انتخاب میکنند در صورتی که این کار باعث میشود نفوذگر به راحتی رمز عبور آنان را حدس زده یا کرک کند. از کلمات معروف در رمز عبور استفاده نکنید. به عنوان مثال کلماتی مانند apple، ایران و تهران را به عنوان رمز عبور انتخاب نکنید. به مرورگر رایانه (Firefox، Chrome، Safari، Opera، IE) مجوز ذخیره رمزهای عبور را ندهید زیرا تمام رمزهای ذخیرهشده در مرورگر قابل مشاهده هستند. به حسابهای مهم (مانند ایمیل شخصی و حساب بانکی) از طریق رایانه دیگران یا هنگامی که به یک شبکه وایرلس عمومی، شبکه TOR یا VPN متصل هستید، وارد نشوید. اطلاعات حساس را از طریق پروتکلهای HTTP و FTP ارسال نکنید زیرا اطلاعات در این پروتکلها قابل شنود هستند. برای انتقال اطلاعات حساس از پروتکلهایی مانند HTTPS و SFTP استفاده کنید.رمز عبور باید در بازه مشخص زمانی به عنوان مثال به صورت ماهانه تغییر کند. رمز عبور را توسط نرمافزارهای «مدیریت رمز عبور» مانند KeePass یا روی دیسکهای رمزگذاری شده با روشهایی مانند BitLocker ذخیره کنید. رمز عبور را به صورت نوشته شده روی میز کار قرار داده ندهید. همچنین از طریق ایمیل برای دیگران ارسال نکنید. رمز عبور را در شبکههای ابری مانند Google Drive، iCloud و... ذخیره نکنید. وبسایتهای مهم مانند حساب ایمیل و حسابهای بانکی را توسط Bookmark مرورگر باز کنید. قبل از اینکه رمز عبور را وارد کنید حتما از صحت آدرس اینترنتی بازشده در مرورگر اطمینان حاصل نمایید. نفوذگرها از این طریق حمله فیشینگ را پیادهسازی میکنند.رمز عبور را در اختیار کسی قرار ندهید حتی اگر دوستان نزدیک و قابل اعتماد باشند و رایانه خود را توسط آنتیویروس و فایروال امن نگه دارید. عملیات احراز هویت بسیاری از سازمانها از روشهای دیگری برای احراز هویت استفاده میکنند که در ادامه به بررسی این روشها پرداخته میشود.احراز هویت دومرحلهای: در احراز هویت دو مرحلهای، رمز عبور یک عامل محسوب میشود. در صورتی که نفوذگر موفق به دستیابی به رمز عبور شود، بدون عامل دوم نمیتواند وارد حساب کاربر شود.این نظریه شبیه به این است که یک گاوصندوق با ترکیب دو کلید باز شود. البته در اکثر معماریهای موجود کلید دوم «یکبار مصرف» است و به محض اینکه یک بار از آن استفاده شود، باطل میشود.به عنوان مثال ایمیلها علاوه بر رمز عبور، یک رمز تصادفی برای کاربر پیامک میکنند که برای ورود به حساب ایمیل، واردکردن آن در کادر مربوطه الزامی است.گواهی وب شخصی: برخلاف گواهی استفاده شده برای وبسایتها، گواهی وب شخصی برای شناسایی کاربران استفاده میشود. این وبسایتها از کلید عمومی و خصوصی برای تایید کاربران استفاده میکنند. در این مدل اطلاعات کاربری در گواهینامه ذخیره شده است و علاوه بر آن برای تکمیل احراز هویت نیاز به یک رمز عبور نیز است. فراموش کردن رمز عبور کاربران ممکن است رمز عبور خود را فراموش کنند یا رایانه خود را فرمت و رمز عبور و گواهینامههای احراز هویت خود را از دست دهند.بعضی از سازمانها در این شرایط روشهای خاصی برای بازیابی اطلاعات کاربران دارند. در اکثر مواقع سازمانها و وبسایتها از طریق سوالات محرمانه یا ارسال ایمیل لینک بازیابی رمز عبور، عملیات تغییر رمز عبور را انجام میدهند.وقتی کاربر یک حساب جدید (ایمیل، حساب بانکی) ایجاد میکند، این سایتها از کاربر درخواست میکنند که به سوالاتی پاسخ دهد. حال در زمانی که کاربر رمز عبور خود را فراموش کند، همان سوالات از کاربر پرسیده میشود. این سوالات معمولا در مورد اطلاعات شخصی مانند نام خود یا پدر و مادر، شماره ملی، تاریخ تولد و از این قبیل هستند.تصور شود کاربر در یک شبکه اجتماعی مانند فیسبوک عضویت دارد تمامی اطلاعات شخصی خود را در آن نوشته یا به طرق مختلف و در صفحات دیگران در مورد اطلاعات و علایق شخصی اظهارنظر کرده یا عکسی را در زمینه خاصی اصطلاحا Like کرده است. نفوذگران از طریق جمعآوری تمام این اطلاعات و شناسایی دقیق آنها میتوانند به حسابهای مهم کاربران نفوذ کنند. از طرف دیگر، کاربر در صفحه فیسبوک خود «رضا صادقی» را به علاقهمندیهای خود اضافه کرده است. همین اشتباه کافی است تا ایمیل شخصی کاربر توسط یک نفوذگر بازیابی شود. یکی از راهکارهای مطرح در این زمینه این است که از دادن اطلاعات واقعی پرهیز شود.