کد خبر: 10297

نکاتی برای تقویت خط مقدم امنیت فناوری اطلاعات

سینا: موسسه یاهو در ۱۲ ژوییه امسال اعلام کرد که هکرها فایلی قدیمی حاوی اطلاعات متعلق به کاربران خدمات یاهو وویسز را از این موسسه ربودند.
به گزارش آژانس خبری صنعت ارتباطات (سینا)، شیوه نگهداری این گذرواژه‌ها که کدگذاری نشده بودند، نمونه‌ای شاخص از اقدامات ضعیف امنیتی و مدیریت ضعیف گذرواژه است.
بنا بر اعلام شرکت امنیت ESET از ۴۴۰ هزار گذرواژه، متداول‌ترین گذرواژه‌ها عبارتند از ۱۲۳۴۵۶، password، welcome، ninja و abc123.
فصل مشترک تمام هک‌ها استفاده از گنجینه گذرواژه‌هاست که تاکیدی است بر دشواری مدیریت گذرواژه‌ها برای افراد و شرکت‌ها. این موقعیت حقیقتی بنیادین را آشکار می­کند. وقتی موضوع امنیت در میان است راحت می‌توان به دیگران گفت که چه کار کنند. در واقع، آنچه دشوار است واداشتن افراد به اجرای توصیه‌هاست.
در این متن مجموعه‌ای از نکات برای سازمان‌ها و کارکنان‌شان ارائه شده است تا مدیریت گذرواژه‌ها و قدرتمندتر کردن آنها و در عین حال سهولت به خاطر سپردن‌شان میسر شود.
۱٫    بازی‌های ذهنی: به خاطر سپردن گذرواژه برای همه مشکل است. بنابر سنجشی که شرکت لیبرمن سافت‌ور (Liberman Software) در اکتبر۲۰۱۱ روی ۳۰۰ متخصص آی‌تی انجام داد، ۵۱ درصد از پاسخگویان لااقل ۱۰ گذرواژه داشتند که باید برای کاربرد در محیط کار به یاد می­‌سپردند و ۴۲ درصد گفتند که در سازمان‌شان کارکنان بخش آی‌تی از گذرواژه‌های مشترک برای دسترسی به سیستم‌ها و نرم‌افزارهای کاربردی استفاده می‌کنند.
۲٫    اندازه گذرواژه مهم است: گذرواژه هر چه طولانی‌تر باشد بهتر است. هشت کاراکتر همیشه کارامد نیست. در واقع، خیلی‌ها توصیه می‌کنند که در صورت امکان از گذرواژه‌هایی با ۱۲ تا ۱۴ کاراکتر استفاده شود. به گفته پی‌یرلوییجی استلا، مدیر بخش فناوری نتورک باکس نکته اصلی که باید در هنگام تصمیم‌گیری درباره گذرواژه به خاطر سپرد این است که با انسان‌ها سروکار داریم. او توصیه می‌کند که جمله‌ای معنی‌دار برای خود بسازید و با حذف فاصله یا قرار دادن کاراکتری مابین کلمات، گذرواژه خود را شکل بدهید. بعد از آن می‌توانید با تغییر بخش‌هایی کوچک آن را به گذرواژه‌ای دیگر بدل سازید. به گفته وی، اساسا از فرایندی ذهنی استفاده کنید که امکان بازسازی گذرواژه را در صورت فراموش کردنش فراهم سازد و حتما از گذرواژه‌های طولانی استفاده کنید، مثلا با بیست حرف یا بیشتر.
۳٫     مشکل کاربرد گذرواژه‌های تکراری: بررسی گذرواژه‌های لورفته در اتفاق مربوط به یاهو نشان داد که مردم برای سایت‌ها و خدمات متفاوت از گذرواژه‌های واحد استفاده می‌کنند. شاید این کار بعضی وقت‌ها خیلی مهم نباشد. برای مثال، اگر هکری به گذرواژه‌ای دست یابد که کسی در سایت‌های مختلف از آن استفاده کرده اما آن سایت‌ها حاوی اطلاعات حساسی درباره فرد مذکور نباشد، می‌توان از اثرات جانبی آن چشم‌پوشی کرد. اما اگر هکری گذرواژه ایمیل کسی را بفهمد و این گذرواژه همانی باشد که آن فرد برای سایت تجارت الکترونیک نیز از آن استفاده می‌کند، مشکل بروز خواهد کرد. به همین دلیل از کاربرد گذرواژه‌های تکراری باید اجتناب کرد.
۴٫     ترکیب حروف گذرواژه: در گذرواژه‌ها باید از انواع کاراکترها استفاده کرد، مثلاً اعداد یا علایم مختلف سجاوندی. این اقدام موجب باعث می‌شود که نتوان به آسانی گذرواژه را حدس زد. در واقع، استفاده از کلمات واقعی می‌تواند حساب کاربری را در برابر حملات دیکشنری آسیب‌پذیر سازد. در این نوع حملات، گذرواژه‌های متداول مورد حمله قرار می‌گیرند. به علاوه، از اطلاعات شخصی قابل کشف در گذرواژه‌ها، مثل روز تولد و امثال آن، استفاده نکنید.
۵٫     چرخه عمر گذرواژه: در حالی که بعضی سازمان‌ها کاربران را به تغییر گذرواژه‌ها در دوره‌های چندماهه وادار می‌کنند، این سیاست اگر منجر به تغییر بیش از حد گذرواژه‌ها شود، می­‌تواند به نتیجه عکس بیانجامد. نتیجه این وضعیت منجر به کاربرد گذرواژه‌های ضعیف‌تر می‌شود که به یاد سپردن‌شان راحت‌تر است. سازمان‌ها باید پیش از تعیین محدودیت زمانی به این نکته توجه کنند که احتمال حدس زدن گذرواژه فعلی یا نفوذ در آن در مقابل احتمال سرقت آن در صورت تغییر نکردنش‌ چقدر است. هوشمندانه‌تر این است که از ابتدا کاربران به تعیین گذرواژه‌ای قدرتمند ترغیب شوند، نه آن که مرتب به تغییر گذرواژه واداشته شوند.
۶٫     ذخیره کردن گذرواژه: دلیل دیگری که به تاثیر بیشتر هک شدن یاهو انجامید این بود که گذرواژه‌ها رمزگذاری نشده بودند. این گذرواژه‌‌ها در فایلی قدیمی حاوی اطلاعات ورود به سیستم ذخیره شده بودند. اگر اطلاعات هویتی لازم برای ورود به سیستم رمزگذاری شده بود، مجرمان سایبری نمی‌توانستند بدون رمزگشایی از آنها استفاده کنند و رمزگشایی این اطلاعات نیز برای آنان کاری بسیار دشوار بود.
۷٫     کنترل شدید حساب‌های کاربری برتر: استفاده از حساب‌های کاربری که کاربران آنها از امتیاز بالایی برخوردارند باید به شدت تحت کنترل باشد. موسسه IOUG (the Independent Oracle Users Group) در سنجشی درباره امنیت پایگاه داده در سال ۲۰۱۱ دریافت که ۶۵ درصد از پاسخگویان یا نمی‌دانستند و یا مطمئن نبودند که بتوانند سوءاستفاده از حساب‌های کاربری برتر را پیگیری کنند. ردگیری کسانی که از این حساب‌ها استفاده می‌کنند و چگونگی کاربرد آنها ممکن است برای شرکت‌ها بسیار دشوار باشد. راب راشوالد، مدیر راهبرد امنیت ایمپروا می‌گوید: “نکته اصلی این است که این نوع حساب‌ها تحت نظارت باشند، نه فقط برای استفاده پنهانی یا برای زمانی که برای این موضوع درخواست می‌شود، بلکه همچنین برای هنگام دسترسی غیرمجاز به داده/آی‌پی که نشانه آلودگی است.”
۸٫     وقتی گذرواژه‌ها کافی نیستند: بعضی وقت‌ها گذرواژه‌ها به تنهایی امنیت کافی ایجاد نمی‌کنند. بسیاری از سازمان‌ها استفاده از روش تایید دو مرحله‌ای، مانند ارسال پیام به تلفن همراه جهت تایید تبادلات بانکی آنلاین را آغاز کرده‌اند. در بعضی شرایط، برای مشاغل استفاده از این روش برای ایجاد یک لایه امنیتی دیگر منطقی است.



نظرات غیرفعال است.