استانداردی برای رمزگذاری

رمز عبور ها در جامعه مدرن همه جا وجود دارند. اگر یک حساب کاربری در یک سیستم کامپیوتری دارید، احتمالا حداقل یک رمز عبور وجود دارد که باید مدیریت شود.

رمز عبور ساده ترین شکل از پیاده سازی امنیت رایانه می باشد و تحولات زیادی در آن‌ وجود داشته است. در طول سال‌ها، کارشناسان امنیتی سعی کرده‌اند با اعمال قوانین مختلف سیستمی در مورد ایجاد و استفاده از رمزهای عبور شکستن رمزهای عبور را سخت‌تر کنند.

با این حال، به همان اندازه که پیاده‌سازی آنها آسان است، طیف گسترده سیاست‌های رمز عبور تأثیر قابل بحثی بر امنیت کلی سیستم‌های رایانه‌ای داشته است. چیزی که مورد بحث نیست این است که آنها اغلب به سردرگمی برای کاربران منجر شده اند. برخی از فعالان بزرگتر در حوزه استانداردسازی فناوری اطلاعات اخیراً سیاست های رمز عبور جدیدی را بر اساس دو اصل اصلی توسعه داده اند:

  1. استفاده از داده های دنیای واقعی در مورد نحوه عملکرد مهاجمان
  2. آسان کردن ایجاد، به خاطر سپردن و استفاده از رمزهای عبور ایمن برای کاربران

رمز عبور احراز هویت قوی کاربر را فراهم می‌کند و به جلوگیری از ورود مهاجمان به سیستم کمک می‌کند. با این حال، حتی قوی‌ترین رمز عبور برای مؤثرتر بودن به حفاظت‌های دیگری مانند احراز هویت چند عاملی (Multi-Factor Authentication-MFA)، قفل کردن حساب، نظارت بر حساب و… نیاز دارد.

احراز هویت چند عاملی (MFA) باید اولین انتخاب برای تمام اهداف احراز هویت باشد. این امر به ویژه برای دسترسی سرپرست یا سایر حساب‌های دارای امتیاز صادق است. حتی هنگام استفاده از MFA، داشتن یک خط مشی رمز عبور معقول مفید است، زیرا رمز عبور به عنوان یکی از عوامل MFA استفاده می شود. به طور کلی، روش های احراز هویت از بهترین به بدترین رتبه بندی به شرح زیر است:

  1. MFA: احراز هویت چند عاملی  باید هدف احراز هویت همه کاربران در صورت امکان باشد.
  2. ابزار مدیریت رمز عبور: این ابزارها رمزهای عبور طولانی و پیچیده منحصر به فرد را در هر حساب تولید و ذخیره می کنند و در صورت پشتیبانی می توانند امنیت و قابلیت استفاده رمزهای عبور را تا حد زیادی افزایش دهند.
  3. گذرواژه‌های ایجاد شده/به خاطر سپرده‌شده توسط انسان : این راهنما در درجه اول برای این مورد است، زیرا این روش به این زودی از بین نمی رود. با این حال، بسیاری از راهنمایی ها به هر سه این روش ها مرتبط است.

توصیه های امنیتی در انتخاب رمز عبور:

توصیه های کلیدی : این توصیه‌ها باید برای همه سیستم‌هایی که از نظر فنی امکان پیاده‌سازی را دارند، اجباری در نظر گرفته شوند.

  • طول رمز عبور – به کاربران اجازه استفاده از یک عبارت عبور طولانی را بدهید، اما آن‌ها را مجبور به استفاده از عبارت عبور طولانی نکنید.

با توجه به هدف کلی ایجاد رمز عبوری از سوی کاربران که خیلی ضعیف نباشد، حداقل طول رمز عبور 8 کاراکتر برای یک حساب دارای احراز هویت چند عاملی  و 14 کاراکتر برای یک حساب فقط دارای رمز عبور توصیه می شود. علاوه بر این، حداکثر طول رمز عبور باید تا حد امکان بر اساس قابلیت‌های سیستم/نرم‌افزار تعیین شود و توسط سیاست محدود نشود.

به طور کلی، درست است که رمز عبور ‌های طولانی‌تر بهتر هستند زیرا شکستن آنها سخت‌تر است، اما این نیز درست است که الزامات طول رمز عبور اجباری می‌تواند باعث رفتاری از کاربر شود که قابل پیش‌بینی و نامطلوب است. به عنوان مثال، الزام کاربران به داشتن حداقل رمز عبور 16 کاراکتری ممکن است باعث شود که آنها الگوهای تکراری مانند fourfourfourfour یا passwordpassword را انتخاب کنند که الزامات را برآورده می کند اما حدس زدن آن سخت نیست. علاوه بر این، الزامات طول، شانس استفاده از سایر روش‌های ناامن مانند نوشتن آنها، استفاده مجدد یا ذخیره آنها بدون رمزگذاری در اسناد خود را افزایش می‌دهد. داشتن حداقل طول معقول و بدون محدودیت حداکثر کاراکتر، میانگین طول رمز عبور استفاده شده و در نتیجه قدرت را افزایش می دهد.

آموزش تکنیک‌هایی مانند عبارت‌های عبور به کاربران منجر به رمز عبور ‌های طولانی‌تر و ایمن‌تر می‌شود.

یک عبارت عبور از یک سری کلمات استفاده می کند که ممکن است شامل فاصله باشد یا نباشد.

همه چیز در مورد طول رمز عبور در مقابل سهولت به خاطر سپردن است، بنابراین آموزش ترفندهایی مانند عبارات عبور که به کاربران اجازه می دهد رمزهای عبور طولانی تر و رمزهای عبوری که راحت تر به خاطر سپرده می شوند ایجاد کنند، تمرین خوبی است.

  • ترکیب رمز عبور / پیچیدگی – اجازه استفاده از هر نوع کاراکتر را داده و اعمال انواع کاراکترهای خاص را محدود کنید.

ترکیب رمز عبور یا الزامات پیچیدگی اغلب برای افزایش قدرت رمز عبور ایجاد شده توسط کاربر با طول مشخص استفاده می شود. به عنوان مثال، یک رمز عبور پیچیده به مقداری کاراکتر از هر سه دسته زیر نیاز دارد:

  • حروف بزرگ
  • حروف کوچک
  • کاراکترهای غیر الفبایی مانند اعداد یا کاراکترهای خاص مانند <*&(^%$>!:

امروزه هیچ استانداردی برای ترکیب رمز عبور وجود ندارد، بنابراین بسیار متداول است که این الزامات از سیستمی به سیستم دیگر متفاوت باشد به عنوان مثال، یک سیستم استفاده از کاراکترهای خاص را مجاز می کند اما سیستم دیگری اجازه استفاده از آن کاراکترها را نمی‌دهد.

الزامات ترکیب رمز عبور یک دفاع ضعیف در برابر حملات حدس زدن Guessing attacks است. مجبور کردن کاربران به انتخاب ترکیبی از حروف بزرگ، کوچک، اعداد و کاراکترهای خاص تأثیر منفی دارد. این امر بار اضافی بر دوش کاربران می گذارد و بسیاری از آنها از الگوهای قابل پیش بینی استفاده می کنند به عنوان مثال، یک حرف بزرگ در موقعیت اول، به دنبال آن حروف کوچک، سپس یک یا دو عدد، و یک “کاراکتر خاص” در پایان. مهاجمان این را می دانند، بنابراین حملات فرهنگ لغت Dictionary attacks اغلب حاوی این الگوهای رایج هستند و از رایج ترین جایگزین ها مانند $ برای s، @ برای a، 1 برای l، 0 برای o استفاده می کنند.

به خاطر سپردن گذرواژه‌هایی که ماهیت بسیار پیچیده‌ای دارند، برای کاربران سخت‌تر است، که این امر منجر به اعمال اشتباه می‌شود. علاوه بر این، الزامات ترکیب هیچ دفاعی در برابر انواع حملات رایج مانند مهندسی اجتماعی یا ذخیره ناامن رمزهای عبور ایجاد نمی کند.

  • انقضای رمز عبور – گذرواژه‌ها را بر اساس رویدادها، با یک «backstop» سالانه تغییر دهید.

الزامات بیش از حد انقضا رمز عبور، بیش از آنکه مفید باشد، ضرر دارد، زیرا این الزامات باعث می‌شود کاربران رمزهای عبور قابل پیش‌بینی را انتخاب کنند که از کلمات و اعداد متوالی تشکیل شده‌اند که ارتباط نزدیکی با یکدیگر دارند. در این موارد، رمز عبور بعدی را می توان بر اساس رمز قبلی پیش بینی کرد به عنوان مثال، با افزایش تعداد استفاده شده در رمز عبور. همچنین، الزامات انقضای رمز عبور هیچ مزیتی برای مهار کردن ندارند، زیرا مهاجمان اغلب به محض اینکه آنها را در معرض خطر قرار دهند، از اعتبارنامه ها استفاده می کنند. در عوض، تغییرات فوری رمز عبور باید بر اساس رویدادهای کلیدی از جمله، اما نه محدود به موارد زیر باشد:

  • نشانه سازش
  • تغییر نقش های کاربر
  • زمانی که کاربر سازمان را ترک می کند.

نه تنها تغییر رمزهای عبور هر چند هفته یا چند ماه کاربر را ناامید می کند، بلکه امکان دارد بیشتر از اینکه مفید باشد مضر باشد، زیرا می تواند منجر به اعمال اشتباه کاربر مانند اضافه کردن یک کاراکتر به انتهای رمز عبور موجود خود شود.

اگرچه خارج از محدوده این سند است، اما سازمان هایی وجود دارند که از رمزهای عبور یک بار مصرف تولید شده توسط ماشین برای هر دسترسی به حساب استفاده می کنند. در این موارد، رمز عبور حساب داده شده ممکن است چندین بار در روز تغییر کند. این نوع سیستم بسیار امن است، اما همچنین بسیار غیر معمول است.

  • ممنوع کردن رمز عبور – رمز عبور ‌های بد شناخته شده را بررسی کنید.

سازمان ها باید استفاده از رمزهای عبور بد رایج را ممنوع کنند. این امر حساسیت به حملات brute force و Spraying  رمز عبور را کاهش می دهد. چند نمونه از رمزهای عبور رایج عبارتند از:

 abdcefg، password، qwerty، iloveyou ، 12345678

هنگام پردازش درخواست‌ها برای ایجاد یا تغییر رمز عبور، رمز عبور جدید باید با فهرستی که حاوی مقادیری است که معمولاً استفاده می‌شوند، مورد انتظار یا در معرض خطر هستند بررسی شود. به عنوان مثال، فهرست باید شامل موارد زیر باشد، اما به این موارد محدود نمی شود:

  • رمزهای عبور به دست آمده از نقض قبلی
  • واژه های فرهنگ لغت
  • نویسه‌های تکراری یا متوالی مثلاً aaaaaa، 1234abcd
  • کلمات زمینه خاص، مانند نام سرویس، نام کاربری و مشتقات آن
  • رمزهای عبور قبلاً استفاده شده برای این حساب با تاخیر تغییر
  • در صورت امکان، اطلاعات شناسایی شخصی کاربر (تاریخ تولد، نام خانوادگی و…)

این بررسی باید بلافاصله پس از ایجاد رمز عبور انجام شود. اگر رمز عبور کاربر در لیست باشد، باید به کاربر اطلاع داده شود که نمی توان از رمز عبور استفاده کرد و توضیح مختصری در مورد اینکه چرا نمی توان از آن استفاده کرد به کاربر بدهیم. سپس باید از کاربر خواسته شود که یک رمز عبور جدید وارد کند.

فهرست‌های رد کردن رمز عبور ابزار نسبتاً جدیدی هستند، اما با شیوع بیشتر نقض اعتبار کاربر، رایج‌تر می‌شوند.

توجه: در اینجا باید مراقب بود زیرا می‌توان فهرست انکار را چنان جامع کرد که ایجاد رمز عبور معتبر برای کاربر بسیار دشوار شود.

  • قفل نشست در حالت بی استفاده Idle – قفل کردن نشست در حالت بی‌استفاده یک اقدام احتیاطی است.

هنگامی که کاربر به طور فعال کار نمی کند، اجازه دادن به یک سیستم یا یک جلسه برای فعال ماندن هیچ مزیتی ندارد. دانستن زمان فعال بودن کاربر را می توان از طریق تشخیص ورودی کاربر (ورودی صفحه کلید، حرکت ماوس و…) بدست آورد، که راه اصلی دستیابی به “قفل در حالت بی استفاده” است.

توجه: ورود به سیستم پس از چنین قفلی باید از تمام توصیه‌های یک ورود معمولی به سیستم از نظر تلاش‌های ناموفق برای ورود و نظارت پیروی کند. همچنین، ورود به جلسه قفل شده باید از همان نوع ورود معمولی به حساب باشد، بنابراین اگر ورود معمولی به حساب از MFA استفاده می‌کند، پس در ورود به جلسه قفل شده برای این حساب نیز باید از MFA استفاده شود و نه یک روش احراز هویت که فقط از رمز عبور استفاده می‌کند.

  • محدود کردن تلاش های ورود ناموفق – برای محدود کردن حدس زدن رمز عبور، پس از تعداد از پیش تعریف ‌شده‌ای از تلاش‌های ناموفق برای ورود به سیستم، حساب را به‌طور موقت قفل کنید.

به غیر از مواردی که مهاجم از طریق روش‌های دیگر )مهندسی اجتماعی، ذخیره سازی رمز عبور ناامن و…( رمز عبور کاربر را دریافت می‌کند، از آنجایی که قدرت رمز عبور اساساً در این موارد بی‌معنی است، هدف از ایجاد رمزهای عبور قوی جلوگیری از حدس زدن آسان رمز عبور و دسترسی مهاجم به یک حساب یا سیستم هدف است. این بدان معناست که مهاجم باید رمز عبور را در سیستم مورد نظر امتحان کند، بنابراین محدود کردن تعداد تلاش‌های مهاجم مهم‌تر از سایر معیارهای قدرت رمز عبور است. ثابت شده است که قفل موقت (15 دقیقه) حساب پس از 5 تلاش ناموفق متوالی برای ورود به سیستم، راه حلی موثر در برابر حدس زدن رمز عبور آنلاین و تلاش های brute force است.

قفل موقت به گونه ای طراحی شده است که وقتی یک کاربر قانونی رمز عبور خود را اشتباه وارد می کند، بار اضافی بر دوش کاربران و مدیریت فناوری اطلاعات وارد نکند، بلکه برای خنثی کردن تلاش های غیرمجاز طراحی شده است. به عنوان مثال، اجبار یک قفل حساب دائمی تر (که نیاز به مشارکت فناوری اطلاعات دارد) در یک سازمان بزرگ می تواند باعث ایجاد بار نامناسب با مزایای عملی کمی شود. یک جایگزین معقول در برخی از محیط‌ها، اجازه دادن به تعداد مشخصی از قفل‌های موقت است، و اگر از این تعداد فراتر رفت، حساب را به‌طور دائم قفل کنید و برای باز کردن قفل نیاز به دخالت فناوری اطلاعات دارید (10 تلاش ناموفق متوالی پیشنهاد می‌شود).

تکنیک دیگری که استفاده می‌شود، throttling است، که به تدریج تأخیر را قبل از تلاش برای ورود بعدی افزایش می‌دهد. تکنیک‌های Throttling می‌توانند متفاوت باشند، اما معمولاً شبیه موارد زیر هستند:

  • اولین شکست، تلاش مجدد فوری مجاز است
  • دومین شکست متوالی، یک دقیقه انتظار
  • سومین شکست متوالی، دو دقیقه انتظار
  • چهارمین شکست متوالی، چهار دقیقه انتظار
  • پنجمین شکست متوالی، هشت دقیقه انتظار
  • قفل دائمی حساب (نیاز به مشارکت فناوری اطلاعات دارد)

این روش حدس هایی را که مهاجم ممکن است انجام دهد محدود می کند، در حالی که به کاربران فرصت های متعددی می دهد تا رمز عبور خود را به خاطر بیاورند. این تکنیک در سیستم‌های فعلی به اندازه قفل کردن حساب براساس تعداد تلاش رایج نیست، اما در سیستم‌های مبتنی بر اینترنت محبوبیت بیشتری پیدا می‌کند. هر دو تکنیک تعادل خوبی بین امنیت، قابلیت استفاده و کاهش بار IT ایجاد می کنند.

هدف کلی، با هر دو روش، این است که حدس زدن رمز عبور با امتحان کردن آن در برابر یک حساب کاربری را برای مهاجم دشوار می کند، در حالی که به کاربر امکان می دهد رمز عبور اشتباه وارد شده را به روشی معقول تصحیح کند.

توجه: صرف نظر از روشی که برای محدود کردن تلاش های ناموفق برای ورود به سیستم استفاده می شود، برای موفقیت آمیز بودن باید با نوعی نظارت و هشدار همراه شود.

توجه: محدود کردن تلاش‌های ناموفق برای ورود به سیستم مانع از آزمایش حدس رمز عبور از طریق تکنیک‌های Spraying  رمز عبور (یعنی استفاده از رمز عبور یکسان در برابر بسیاری از حساب‌های کاربری مختلف) نمی‌شود. در عوض، مهاجمان را تشویق می‌کند تا از این تکنیک برای جلوگیری از قفل شدن استفاده کنند، که یک ناهنجاری آشکار است و از طریق نظارت شبکه قابل تشخیص است.

  • نظارت بر تلاش های ورود ناموفق – نظارت بر ورود به سیستم یک امر ضروری است. مسلما این مهمترین توصیه است.

هدف از رمزهای عبور قوی جلوگیری از دسترسی کاربران غیرمجاز (به ویژه مهاجمان) به سیستم ها یا حساب ها است. بنابراین، رویدادنگاری Logging یک جزء کلیدی برای بررسی تلاش‌ها برای دسترسی به یک حساب کاربری است، خواه این یک کاربر معمولی باشد یا یک حساب مدیر. برای رسیدن به این هدف، حداقل باید تلاش‌های ناموفق برای ورود به سیستم کنترل شوند و پرسنل کلیدی در مورد رویدادها هشدار داده شوند.

موارد زیر حداقل برای اطمینان از نظارت بر تلاش‌های ناموفق برای ورود به سیستم پیشنهاد شده است:

  • ثبت همه تلاش های ناموفق برای ورود به سیستم
  • هنگامی که قفل حساب موقت یا دائمی ایجاد شده است، به پرسنل کلیدی هشدار دهید
  • ثبت و هشدار به پرسنل کلیدی در مورد تلاش برای ورود به سیستم از مناطق جغرافیایی غیرمنتظره
  • ثبت و هشدار به پرسنل کلیدی در مورد تلاش برای ورود به سیستم در زمان های غیرمنتظره
  • ثبت و هشدار به به پرسنل کلیدی در مورد تلاش برای ورود به “حساب های Honeypot”

توجه: بسته به نوع سیستم درگیر، این نظارت می تواند اشکال مختلفی داشته باشد. سیستم‌های متصل به دامنه/سازمان را می‌توان با استفاده از نوعی سیستم اطلاعات امنیتی و مدیریت رویداد SIEM – Security Information and Event Management که گزارش‌های رویداد را از سیستم‌های متصل ادغام و نظارت می‌کند، به‌طور متمرکز نظارت کرد. در انتهای دیگر طیف، یک سیستم واحد یا دستگاه اینترنت اشیا IoT – Internet of Things می‌تواند از چیزی ساده مانند ایمیل یا پیامک استفاده کند تا به کاربر بگوید از حد مجاز فراتر رفته است. هدف کلی این است که وقتی تلاش‌های ناموفق برای ورود به سیستم صورت می‌گیرد، با فرد صحیح تماس گرفته شود.

  • تعلیق حساب ها در صورت عدم استفاده – حساب های استفاده نشده باید به طور خودکار غیر فعال شوند.

اگر مدیران فوراً حساب‌های افرادی را که دیگر مجاز نیستند (افرادی که شرکت را ترک کرده، تغییر بخش داده اند و…) را غیرفعال کنند، ایده‌آل خواهد بود. متأسفانه، همیشه این عمل اتفاق نمی افتد، بنابراین نیاز است یک راه حل جایگزین داشته باشیم. تعلیق یک حساب پس از X روز عدم استفاده (ما 45 روز را پیشنهاد می کنیم) می تواند به عنوان برنامه جایگزین عمل کند. اگر کاربر تا 45 روز از آخرین ورود معتبر به آن حساب وارد نشود، سیستم به طور خودکار حساب را غیرفعال می کند. کاربر می تواند حساب کاربری خود را مجدداً فعال کند، اما باید با واحد IT تماس بگیرد تا آن را بازگرداند و دلیل نیاز به حساب را توجیه کند.

راهنمای -Hint- رمز عبور – اجازه وجود راهنمای رمزعبور را ندهید.

راهنمای رمز عبور به کاربران این امکان را می دهد تا زمانی که نمی توانند رمز عبور خود را به خاطر بسپارند، به کمک آن راهنمایی،رمز عبور خود را به یاد آورند. اما خطر وجود این راهنما می تواند بیشتر از مزیت آن باشد. هیچ راه قابل اعتماد شناخته شده ای برای اطمینان از اینکه راهنمایی ارائه شده توسط کاربر خیلی واضح نباشد وجود ندارد و می تواند با استفاده از مهندسی اجتماعی به مهاجم اجازه دسترسی آسان به سیستم را بدهد. یک روش بهتر این است که اجازه ایجاد رمز عبور هایی که راحت تر به خاطر سپرده می شوند را به کاربر بدهید.

توصیه های اختیاری:

این توصیه ها ممکن است پس از اجرای توصیه های کلیدی که در بخش قبل به آن‌ها پرداخته شد، مورد توجه قرار بگیرد. اگر کاربر چندین رمز عبور را مدیریت نکند، نیاز کمتری به ابزار مدیریت رمز عبور Password manager وجود دارد.

  • نشانگرهای قدرت رمز عبور هنگام ایجاد – نشانگرهای قدرت کمک‌کننده هستند، زیرا اکثر مردم می خواهند یک رمز عبور قوی ایجاد کنند.

هنگام ایجاد رمز عبور جدید، سیستم باید راهنمایی هایی مانند نشانگر قدرت رمز عبور به کاربر ارائه دهد تا به کاربر در ایجاد رمز عبور قوی کمک کند. این امر به ویژه هنگام استفاده از لیست های رد رمز عبور مفید است، زیرا کاربر را به ایجاد رمز عبور قوی تر راهنمایی می کند که احتمالاً در لیست رد کردن نیست.

  • نمایش رمز عبور – برای نمایش رمز عبور دو مورد اصلی استفاده وجود دارد:
  1. در ایجاد رمز عبوراجازه دادن به کاربر برای نمایش رمز عبور خود در هنگام ایجاد، بهتر از یک فیلد تأیید است. برای کمک به کاربر در ایجاد رمز عبور، سیستم باید گزینه ای برای نمایش رمز عبور، به جای یک سری نقطه یا ستاره، تا زمانی که رمز عبور را وارد کند، ارائه دهد. این به کاربر این امکان را می دهد که اگر در مکانی است که رمز عبور روی صفحه نمایش او دیده نمی شود، ورود خود را تأیید کند. این کار بسیار بهتر از یک فیلد تأیید کور برای رمزهای عبور اشتباه تایپ شده است.
  2. در استفاده از رمز عبوراجازه دادن به کاربر برای مشاهده مختصر آنچه در یک قسمت رمز عبور تایپ می کند، خطاهای ورودی را کاهش می دهد. سیستم باید به صورت اختیاری به دستگاه کاربر اجازه دهد تا برای مدت کوتاهی پس از تایپ هر کاراکتر، نویسه‌های وارد شده را برای تأیید صحیح ورود نمایش دهد (سپس با یک ستاره یا نقطه جایگزین شود). این امر می تواند به ویژه در دستگاه های تلفن همراه که فیلدهای متنی آن کوچک هستند و به سختی قابل مشاهده هستند مفید باشد.
  • ابزارهای مدیریت رمز عبور – تشویق به استفاده از یک ابزار مدیریت رمز عبور تایید شده به کاربران اجازه می دهد رمزهای عبور قوی ایجاد کنند که در سیستم های متعدد استفاده مجدد نمی شوند.

ابزار مدیریت رمز عبور مانند کتابی از رمزهای عبور یک کاربر است که توسط یک کلید اصلی قفل شده است که فقط کاربر آن را می داند. این امر در ظاهر ممکن است بد به نظر برسد. اگر شخصی رمز عبور اصلی کاربر را بدست بیاورد، چه می‌شود؟ این یک ترس منطقی است؛ اما با فرض اینکه کاربر یک رمز عبور اصلی قوی، منحصر به فرد و به یاد ماندنی را انتخاب کرده است که در هیچ جای دیگری از آن استفاده نمی کند یا بهتر است بگوییم MFA، مدیریت رمز عبور موثر است. مانند هر چیز دیگری در امنیت فناوری اطلاعات، ابزارهای مدیریت گذرواژه‌ها صد درصد ایمن نیستند، اما یک جایگزین عالی برای کاربرانی هستند که نیاز به مدیریت چندین رمز عبور قوی برای حساب‌های مختلف دارند. این امر باعث کاهش استفاده مجدد از رمز عبور یکسان برای چندین حساب، ذخیره رمزهای عبور به صورت متن ساده در سیستم آنها، یا نوشتن و ذخیره آنها در مکانی ناامن می شود.

علاوه بر اینکه ابزارهای مدیریت رمز عبور رمزهای عبور کاربر را ذخیره می‌کنند، به کاربران کمک می‌کنند تا رمزهای عبور قوی و منحصربه‌فرد ایجاد و ذخیره کنند. این بدان معنی است که هر زمان که کاربران به وب سایت یا برنامه ای مراجعه می کنند، می توانند با استفاده از ابزار مدیریت رمز عبور، رمز عبور خود را کپی کنند و آن را در کادر ورود قرار دهند. اغلب، ابزارهای مدیریت گذرواژه با افزونه‌های مرورگر ارائه می‌شوند که می‌توانند رمز عبور ذخیره‌شده مربوط به کاربر را به روشی امن برای آنها پر کنند.

اگر از یک  ابزار مدیریت رمز عبور ترجیحاً یکی استفاده می‌شود، پیشنهاد می‌شود که سازمان‌ها این را به فهرست کوچکی از نرم‌افزار تأیید شده محدود کنند که ویژگی‌های مورد نیاز سازمان را ارائه می‌کند. این کار حفظ نرم افزار (به روز رسانی ها)، وصله ها، و ردیابی هر گونه آسیب پذیری منتشر شده و کاهش آنها را آسان تر می کند.

توجه: رمزهای عبور ایجاد شده توسط سیستم که توسط یک ابزار مدیریت رمز عبور ایجاد شده‌اند بسیار قوی تر از رمزهای عبور ایجاد شده توسط انسان هستند زیرا از دنباله ای از کاراکترها با حداقل طول و ترکیب (پیچیدگی) مورد نیاز بیشتر استفاده می کنند. کاربران مجبور نیستند رمز عبور را حفظ کنند. در عوض، ابزار مدیریت رمز عبور آنها را برای کاربر ذخیره می کند.

توجه: ورود به یک ابزار مدیریت رمز عبور تایید شده باید از نظر تلاش برای ورود ناموفق و نظارت از تمام توصیه های یک ورود به سیستم عادی پیروی کند.

توجه: ابزارهای مدیریت رمز عبور طوری طراحی شده‌اند که کل اطلاعات ورود به سیستم را برای یک حساب به خاطر بسپارند. این بدان معنی است که یک کاربر همچنین می تواند یک نام کاربری منحصر به فرد پیچیده برای هر حساب مشخصی ایجاد کند و ابزار مدیریت رمز عبور آن را برای کاربر به خاطر بسپارد. این امر باعث می‌شود که هر گونه اعتبار نقض شده برای مهاجم کمتر مفید باشد، زیرا حتی نام کاربری در حساب ها یکسان نخواهد بود. البته این فرض را بر این می‌گذارد که سیستم هدف در ساخت نام کاربری انعطاف‌پذیری لازم را ارائه می‌دهد.

  • اجازه جای‌گذاری Paste – هنگام استفاده از ابزار مدیریت رمز عبور، اجازه جای گذاری در فیلدهای رمز عبور را بدهید.

توصیه می‌شود که سیستم‌ها به کاربران اجازه دهند تا هنگام وارد کردن رمز عبور از قابلیت جای گذاری استفاده کنند، زیرا این امر استفاده از ابزار مدیریت رمز عبور را تسهیل می‌کند.

ترس اصلی شرکت ها از اجازه دادن به جای‌گذاری برای فعال کردن ابزار مدیریت رمز عبور این است که رمزهای عبور در کلیپ بورد ذخیره می شوند. بله، این درست است؛ هنگامی که کاربر به عملکرد کپی/پیست دسترسی پیدا می کند، محتوای کپی شده در یک کلیپ بورد نگهداری می شود که می تواند هر چند بار که بخواهد جایگذاری شود. هر نرم افزار نصب شده روی رایانه یا هر شخصی که آن را اداره می کند به کلیپ بورد دسترسی دارد و می تواند آنچه را که کپی شده است ببیند. با این حال، اکثر مدیران رمز عبور به محض اینکه رمز عبور را در وب سایت قرار می دهند، کلیپ بورد را پاک می کنند و برخی با تایپ رمز عبور با یک صفحه کلید مجازی به کلی از کلیپ بورد اجتناب می کنند. این ویژگی ها می توانند بخشی از معیارهای انتخاب ابزار مدیریت رمزعبور باشند.

توجه: نکته اصلی در اینجا این است که استفاده از یک ابزار مدیریت رمز عبور بسیار ایمن تر است، حتی اگر برای کارکردن درست برخی از برنامه‌ها، نیاز به فعال کردن عمل جایگذاری باشد.

احراز هویت چند عاملی(MFA):

رمز عبور به تنهایی برای امنیت حساب کاربری کافی نیست.در عوض، پیاده سازی نوعی از احراز هویت چند عاملی مطلوب است.

MFA که گاهی اوقات به عنوان احراز هویت دو مرحله ای 2FA – Two-Factor Authentication از آن یاد می شود، یک بهبود امنیتی است که به کاربر اجازه می دهد تا دو یا چند مدرک که به عنوان فاکتور از آن یاد می شود هنگام ورود به یک حساب ارائه دهد. MFA  ثابت کرده است که یک راه موفق برای کمک به سازش حساب ها Account compromises است. این به این دلیل است که مهاجم به جای یک مورد، نیاز دارد چندین اطلاعات را از کاربر به دست آورد. این مسئله برای مهاجمان مشکل ساز است و آنها معمولاً حساب های MFA را به خطر نمی اندازند. عوامل MFA می توانند در هر یک از این سه دسته قرار گیرند:

  • چیزی که می دانید: رمز عبور یا شماره شناسایی شخصی PIN – Personal Identification Number
  • چیزی که شما دارید: یک کارت هوشمند، رمز امنیتی، یک برنامه احراز هویت یا یک متن سرویس پیام کوتاه SMS – Short Message Service به تلفن همراه کاربر
  • چیزی که شما هستید: اثر انگشت یا الگوی شبکیه چشم

فاکتورهای کاربر باید از دو دسته متفاوت باشند تا امنیت را افزایش دهند، بنابراین وارد کردن دو رمز عبور متفاوت، احراز هویت چند عاملی محسوب نمی شود.

MFA امن ترین روش احراز هویت کاربر است که امروزه در بازار موجود است و این معیار امنیتی اضافی کمترین تأثیر را بر قابلیت استفاده دارد.

توجه: احراز هویت “دو مرحله ای” Two-step یا “چند مرحله ای” Multi-step با 2FA یا MFA یکسان نیست. احراز هویت “دو مرحله ای” یا “چند مرحله ای” شامل ارائه بعدی یک یا چند مرحله احراز هویت اضافی به سیستم هدف پس از انجام موفقیت آمیز مرحله اول است. هر یک از این مراحل ممکن است فاکتور احراز هویت متفاوتی داشته باشد یا نداشته باشد. در اصل، هر مرحله یک “دروازه” مستقل است و موفقیت در هر مرحله کاربر را به دسترسی به سیستم هدف نزدیکتر می کند. احراز هویت 2FA یا MFA یک رویکرد قوی‌تر است که شامل ارائه همه عوامل به طور هم زمان برای تشکیل یک اعتبار است که سیستم هدف اعتبار آن را بررسی می‌کند. سیستم هدف اعتبارنامه را به عنوان یک کل بدون هیچ نشانی از اینکه چه عاملی شکست خورده است، پاس می کند یا رد می‌کند. می توان از 2FA یا MFA به عنوان یکی از مراحل در فرآیند احراز هویت “دو مرحله ای” یا “چند مرحله ای” استفاده کرد.

MFA ابزاری عالی است و در سیستم‌ها و حساب‌های مختلف استفاده می‌شود. به عنوان مثال، امروزه اکثر برنامه های بانکداری مبتنی بر وب از 2FA از طریق یک برنامه احراز هویت یا ارسال پیامک به تلفن همراه کاربر پشتیبانی می کنند. احراز هویت دوعاملی هنوز به اندازه استفاده از رمز عبور در همه جا موجود یا استاندارد نشده است. برخی از نکات افزوده در ارتباط با MFA عبارتند از:

1) در بسیاری از موارد، MFA شامل رمز عبور به عنوان یک عامل است، بنابراین یک خط مشی رمز عبور خوب همچنان اعمال می شود.

2) در اکثریت قریب به اتفاق موارد، MFA یک افزونه برای وب سایت، برنامه، یا سیستم عامل است که توسط شخص ثالث توسعه یافته است.پیشنهاد می‌شود که سازمان‌ها افزونه‌های MFA را به فهرست کوچکی از نرم‌افزار تأیید شده ترجیحاً یکی محدود کنند که ویژگی‌های مورد نیاز سازمان را فراهم می‌کند. این کار نگهداری این نرم افزار (ارتقا) و ردیابی آسیب پذیری های منتشر شده و روش رفع و وصله های آنها را آسان تر می کند.

3) چیزی که شما می دانید ضعیف ترین عامل و چیزی که شما هستید قوی ترین در نظر گرفته می شود.

4) چیزی که می دانید مقرون به صرفه ترین و ساده ترین برای پیاده سازی و چیزی که شما هستید گران ترین و سخت ترین اجرا در نظر گرفته می شود زیرا نیاز به یک خواننده فیزیکی دارد.

5) چیزی که شما دارید رایج ترین فرم 2FA است که امروزه استفاده می شود (همراه با رمز عبور). رایج ترین اشکال این روش عبارتند از:

الف- تماس تلفنی، ایمیل یا متن پیامکی: کاربر با نام کاربری و رمز عبور وارد سامانه می شود و به عنوان عامل دوم ملزم به وارد کردن کد منحصر به فرد می شود. سیستم این کد منحصر به فرد را به شماره تلفن از پیش تعریف شده کاربر از طریق تماس صوتی، ایمیل، یا شماره موبایل از طریق SMS ارسال می کند. در برخی موارد، کاربر ممکن است انتخاب کند که از کدام رسانه استفاده ‌شود، اما در همه موارد، کد پس از یک دوره زمانی تعیین‌شده یا یک بار وارد کردن منقضی می‌شود.

ب- یک برنامه احراز هویت در دستگاه تلفن همراه کاربر: از دیدگاه کاربر این روش بسیار شبیه به روش پیامک است، به جز اینکه شماره کد منحصر به فرد توسط یک برنامه کاربردی در دستگاه تلفن همراه کاربر ایجاد می شود.

پ- یک رمز امنیتی فیزیکی: دو نوع رمز متداول وجود دارد:

  1. شناسه منحصربه‌فرد: از دیدگاه کاربر، این مانند استفاده از یک برنامه احراز هویت است، به جز اینکه کد منحصربه‌فرد تولید و در یک دستگاه فیزیکی جداگانه نمایش داده می‌شود
  2. حضور فیزیکی: این دستگاه‌ها برای نصب یا نزدیک شدن به دستگاه از طریق USB یا NFC طراحی شده‌اند و حضور فرد را نشان می‌دهند. برخی از این دستگاه‌ها همچنین دارای شناسه منحصربه‌فرد از طریق یک برنامه همراه هستند

روش‌های احراز هویت دو مرحله‌ای امن‌تر از رمزهای عبور به تنهایی هستند، اما هر کدام دارای اشکالاتی هستند که باید در نظر گرفته شوند:

1( روش‌های «چیزی که می‌دانید» اساساً رمز عبور هستند و باید از دستورالعمل خط‌مشی رمز عبور در بخش 2 پیروی کنند.

2( از روش‌های “چیزی که دارید”، برنامه‌های احراز هویت و نشانه‌های فیزیکی بسیار امن در نظر گرفته می‌شوند، اما متن‌های پیامکی دارای مشکلاتی هستند:

الف- متن‌های پیامکی به شبکه تلفن سوئیچ شده عمومی PSTN – Public Switched Telephone Network بستگی دارد که خارج از کنترل کاربر یا مدیریت فناوری اطلاعات شما است.

ب- PSTN اساساً مجموعه ای از رایانه های شبکه ای است که تماس های صوتی و پیامک های متنی را از طریق پروتکلی به نام سیستم سیگنالینگ 7 – SS7 – Signaling System 7 برای یکدیگر ارسال می کنند. این پروتکل دارای آسیب‌پذیری‌های شناخته شده و قبلاً مورد سوء استفاده قرار گرفته است، تا پیام‌های متنی SMS را به تلفن مهاجم هدایت کند.

پ- در موارد پیش پا افتاده‌تر، مهاجمان از تکنیک‌های مهندسی اجتماعی ویا هک وب‌سایت برای متقاعد کردن پرسنل پشتیبانی ارائه‌دهنده خدمات تلفن همراه هدف مبنی بر گم شدن یا آسیب دیدن تلفن کاربر و اختصاص شماره به تلفن جدید (مهاجم) استفاده کرده‌اند.

توجه: با توجه به این مسائل، ما در نظر گرفتیم که پیامک را به عنوان یک روش 2FA توصیه نکنیم، اما به دلیل فراگیر بودن آن همراه با آن که مسلماً بهتر از هیچ است، همچنان باقی می ماند. ما قویاً از هر کسی که از SMS برای 2FA استفاده می‌کند می‌خواهیم برنامه‌ای برای حذف این روش در اسرع وقت ایجاد کنند.

3) روش‌های «چیزی که هستید» از نظر بسیاری امن‌ترین روش‌ها هستند، زیرا بر اساس ویژگی‌های فیزیکی یک کاربر مشخص هستند که تغییر آنها غیرممکن است (اثر انگشت، الگوی شبکیه چشم و…). این مکانیزم عالی به نظر می رسد، اما مشکلات زیادی در استفاده از آنها به عنوان ابزار اصلی احراز هویت وجود دارد، و آنها باید با یک ویژگی مخفی غیر بیومتریک (مانند رمز عبور) جفت شوند.

برای مثال زدن اثر انگشت:

اثر انگشت کاربر، مانند همه بیومتریک‌ها، مانند رمز عبور یا کلید رمزگذاری خصوصی محرمانه نیست و هر کسی که کاربر را دنبال می‌کند، می‌تواند آن را ضبط کند. بزرگترین مشکل یک فاکتور احراز هویت غیرمخفی این است که کپی کردن آنها برای استفاده مجدد مخرب آسان است.

هدف در اینجا آگاه کردن کاربران از مزایا و معایب برخی از روش‌های MFA است، زیرا همه روش‌های MFA جایگاه خود را در امنیت فناوری اطلاعات دارند. در پایان، تصمیم گیری برای اجرای MFA تا حد زیادی به سطح امنیت مورد نیاز، بودجه و سیاست ها و رویه های اعمال شده توسط تصمیم گیرندگان بستگی دارد.

مطالب مرتبط
لینک‌های سریع
شرکت‌های زیر مجموعه
ارتباط با ما
شبکه‌های اجتماعی
Linkedin

تمامی حقوق برای شرکت توسعه فناوری اطلاعات گردشگری محفوظ است © ۱۴۰۱