نکاتی برای تقویت خط مقدم امنیت فناوری اطلاعات
سینا: موسسه یاهو در ۱۲ ژوییه امسال اعلام کرد که هکرها فایلی قدیمی حاوی اطلاعات متعلق به کاربران خدمات یاهو وویسز را از این موسسه ربودند.
به گزارش آژانس خبری صنعت ارتباطات (سینا)، شیوه نگهداری این گذرواژهها که کدگذاری نشده بودند، نمونهای شاخص از اقدامات ضعیف امنیتی و مدیریت ضعیف گذرواژه است.
بنا بر اعلام شرکت امنیت ESET از ۴۴۰ هزار گذرواژه، متداولترین گذرواژهها عبارتند از ۱۲۳۴۵۶، password، welcome، ninja و abc123.
فصل مشترک تمام هکها استفاده از گنجینه گذرواژههاست که تاکیدی است بر دشواری مدیریت گذرواژهها برای افراد و شرکتها. این موقعیت حقیقتی بنیادین را آشکار میکند. وقتی موضوع امنیت در میان است راحت میتوان به دیگران گفت که چه کار کنند. در واقع، آنچه دشوار است واداشتن افراد به اجرای توصیههاست.
در این متن مجموعهای از نکات برای سازمانها و کارکنانشان ارائه شده است تا مدیریت گذرواژهها و قدرتمندتر کردن آنها و در عین حال سهولت به خاطر سپردنشان میسر شود.
۱٫ بازیهای ذهنی: به خاطر سپردن گذرواژه برای همه مشکل است. بنابر سنجشی که شرکت لیبرمن سافتور (Liberman Software) در اکتبر۲۰۱۱ روی ۳۰۰ متخصص آیتی انجام داد، ۵۱ درصد از پاسخگویان لااقل ۱۰ گذرواژه داشتند که باید برای کاربرد در محیط کار به یاد میسپردند و ۴۲ درصد گفتند که در سازمانشان کارکنان بخش آیتی از گذرواژههای مشترک برای دسترسی به سیستمها و نرمافزارهای کاربردی استفاده میکنند.
۲٫ اندازه گذرواژه مهم است: گذرواژه هر چه طولانیتر باشد بهتر است. هشت کاراکتر همیشه کارامد نیست. در واقع، خیلیها توصیه میکنند که در صورت امکان از گذرواژههایی با ۱۲ تا ۱۴ کاراکتر استفاده شود. به گفته پییرلوییجی استلا، مدیر بخش فناوری نتورک باکس نکته اصلی که باید در هنگام تصمیمگیری درباره گذرواژه به خاطر سپرد این است که با انسانها سروکار داریم. او توصیه میکند که جملهای معنیدار برای خود بسازید و با حذف فاصله یا قرار دادن کاراکتری مابین کلمات، گذرواژه خود را شکل بدهید. بعد از آن میتوانید با تغییر بخشهایی کوچک آن را به گذرواژهای دیگر بدل سازید. به گفته وی، اساسا از فرایندی ذهنی استفاده کنید که امکان بازسازی گذرواژه را در صورت فراموش کردنش فراهم سازد و حتما از گذرواژههای طولانی استفاده کنید، مثلا با بیست حرف یا بیشتر.
۳٫ مشکل کاربرد گذرواژههای تکراری: بررسی گذرواژههای لورفته در اتفاق مربوط به یاهو نشان داد که مردم برای سایتها و خدمات متفاوت از گذرواژههای واحد استفاده میکنند. شاید این کار بعضی وقتها خیلی مهم نباشد. برای مثال، اگر هکری به گذرواژهای دست یابد که کسی در سایتهای مختلف از آن استفاده کرده اما آن سایتها حاوی اطلاعات حساسی درباره فرد مذکور نباشد، میتوان از اثرات جانبی آن چشمپوشی کرد. اما اگر هکری گذرواژه ایمیل کسی را بفهمد و این گذرواژه همانی باشد که آن فرد برای سایت تجارت الکترونیک نیز از آن استفاده میکند، مشکل بروز خواهد کرد. به همین دلیل از کاربرد گذرواژههای تکراری باید اجتناب کرد.
۴٫ ترکیب حروف گذرواژه: در گذرواژهها باید از انواع کاراکترها استفاده کرد، مثلاً اعداد یا علایم مختلف سجاوندی. این اقدام موجب باعث میشود که نتوان به آسانی گذرواژه را حدس زد. در واقع، استفاده از کلمات واقعی میتواند حساب کاربری را در برابر حملات دیکشنری آسیبپذیر سازد. در این نوع حملات، گذرواژههای متداول مورد حمله قرار میگیرند. به علاوه، از اطلاعات شخصی قابل کشف در گذرواژهها، مثل روز تولد و امثال آن، استفاده نکنید.
۵٫ چرخه عمر گذرواژه: در حالی که بعضی سازمانها کاربران را به تغییر گذرواژهها در دورههای چندماهه وادار میکنند، این سیاست اگر منجر به تغییر بیش از حد گذرواژهها شود، میتواند به نتیجه عکس بیانجامد. نتیجه این وضعیت منجر به کاربرد گذرواژههای ضعیفتر میشود که به یاد سپردنشان راحتتر است. سازمانها باید پیش از تعیین محدودیت زمانی به این نکته توجه کنند که احتمال حدس زدن گذرواژه فعلی یا نفوذ در آن در مقابل احتمال سرقت آن در صورت تغییر نکردنش چقدر است. هوشمندانهتر این است که از ابتدا کاربران به تعیین گذرواژهای قدرتمند ترغیب شوند، نه آن که مرتب به تغییر گذرواژه واداشته شوند.
۶٫ ذخیره کردن گذرواژه: دلیل دیگری که به تاثیر بیشتر هک شدن یاهو انجامید این بود که گذرواژهها رمزگذاری نشده بودند. این گذرواژهها در فایلی قدیمی حاوی اطلاعات ورود به سیستم ذخیره شده بودند. اگر اطلاعات هویتی لازم برای ورود به سیستم رمزگذاری شده بود، مجرمان سایبری نمیتوانستند بدون رمزگشایی از آنها استفاده کنند و رمزگشایی این اطلاعات نیز برای آنان کاری بسیار دشوار بود.
۷٫ کنترل شدید حسابهای کاربری برتر: استفاده از حسابهای کاربری که کاربران آنها از امتیاز بالایی برخوردارند باید به شدت تحت کنترل باشد. موسسه IOUG (the Independent Oracle Users Group) در سنجشی درباره امنیت پایگاه داده در سال ۲۰۱۱ دریافت که ۶۵ درصد از پاسخگویان یا نمیدانستند و یا مطمئن نبودند که بتوانند سوءاستفاده از حسابهای کاربری برتر را پیگیری کنند. ردگیری کسانی که از این حسابها استفاده میکنند و چگونگی کاربرد آنها ممکن است برای شرکتها بسیار دشوار باشد. راب راشوالد، مدیر راهبرد امنیت ایمپروا میگوید: “نکته اصلی این است که این نوع حسابها تحت نظارت باشند، نه فقط برای استفاده پنهانی یا برای زمانی که برای این موضوع درخواست میشود، بلکه همچنین برای هنگام دسترسی غیرمجاز به داده/آیپی که نشانه آلودگی است.”
۸٫ وقتی گذرواژهها کافی نیستند: بعضی وقتها گذرواژهها به تنهایی امنیت کافی ایجاد نمیکنند. بسیاری از سازمانها استفاده از روش تایید دو مرحلهای، مانند ارسال پیام به تلفن همراه جهت تایید تبادلات بانکی آنلاین را آغاز کردهاند. در بعضی شرایط، برای مشاغل استفاده از این روش برای ایجاد یک لایه امنیتی دیگر منطقی است.