خط‌مشی‌های بد رمزعبور و نحوه‌ی جلوگیری از آن‌ها

22 مهر 1402 خط‌مشی‌های بد رمزعبور و نحوه‌ی جلوگیری از آن‌ها

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ علی‌رغم همه تغییراتی که در حوزه امنیت اطلاعات در طول دهه‌های اخیر رخ داده، پسوردها هنوز هم مهمترین عناصر محافظت داده محسوب می‌شوند. و وقتی از پسوردها حرف می‌زنیم، خط‌مشی‌های پسورد مرکزیت قرار دارند. در این مقاله توضیح خواهیم داد چطور می‌شود موقع ساختن خط‌مشی پسورد برای ارائه درجه قابل‌قبولی از امنیت و در عین حال مأیوس نکردن کاربر با خط‌مشی‌های بی‌معنای OTT جلوی اشتباهات را گرفت. با ما همراه باشید.

خط‌مشی رمزعبور چیست؟

خط‌مشی پسورد مجموعه‌ای است از قوانین که طراحی شدند به کاربران در استفاده از پسوردهای قوی و مدیریت درست آن‌ها انگیزه دهند. خط‌مشی رمزعبور می‌تواند یک توصیه باشد و یا یک الزام. این روزها مورد دوم، شایع‌تر است: ادمین‌های سرویس‌های آنلاین و زیرساخت آی‌تی سازمانی در تنظیمات نرم‌افزارهای به کاررفته‌شان، قوانینی برای استفاده از رمز عبور وضع کردند.

قوانین خط‌مشی رمزعبور می‌تواند متفاوت باشد و شامل موارد زیر شود:

  •         طول پسورد: حداقل و حداکثر تعداد کاراکتر در پسورد.
  •         کاراکترهای مجاز: حروف بزرگ/کوچک، اعداد، کاراکرهای خاص، اموجی‌ها و سایر کاراکترها که باید یک پسورد شامل آن‌ها شود و یا برعکس باید شامل آن‌ها نشود.
  •         ترکیبات ممنوعه؛ به عنوان مثال، دنباله‌ای از کاراکترها که با نام شرکت یا کاربر مطابقت دارند.
  •         ممنوعیت‌های خاص: به عنوان مثال، رمزهای عبور نباید با یک "1" شروع شوند، حاوی یک توالی  مستقیم از اعداد ("12345678") باشند، یا با الگوهای به راحتی قابل حدس زدن (تاریخ، شماره تلفن، شماره پلاک) و غیره مطابقت داشته باشند.
  •         فهرست‌های رد کردن رمز عبور: جداول استثناهایی که الزامات خط‌مشی کلی را برآورده می‌کنند، اما به دلیل دیگری ناامن در نظر گرفته می‌شوند. به عنوان مثال، رمزهای عبور فاش شده شناخته شده است.
  •         فاصله انقضای رمز عبور: مدت زمانی که پس از آن کاربر باید رمز عبور جدیدی تعیین کند.
  •         ممنوعیت استفاده مجدد از رمز عبور: رمز عبور را نمی‌توان به رمزی که قبلاً برای همان حساب استفاده شده است تغییر داد.
  •         با جلوگیری از تغییر رمز عبور توسط مهاجم، تغییرات گذرواژه درخواستی کاربر را برای مبارزه با سرقت حساب ممنوع کنید.
  •         روش ذخیره‌سازی رمز عبور: به‌ویژه، ممنوعیت کل شرکت برای استیکی‌نوت‌ها ذکر شده با رمز عبور. یا توصیه‌ای برای استفاده از مدیر رمز عبور.
  •         اقدامات اداری: اگر برخی از قوانین خط‌مشی رمز عبور را نمی‌توان در تنظیمات نرم افزار اجرا کرد، اقدامات اداری می‌تواند برای وادار کردن کاربران به پیروی از آنها اعمال شود.

البته این فهرست برای همه شرایط نه جامع است و نه اجباری. هیچ رویکرد جهانی وجود ندارد و نمی‌تواند هم وجود داشته باشد زیرا خط‌مشی پسورد همیشه تعادلی است بین امنیت و راحتی کاربر. تعادل درست، مورد به مورد برای هر کاربر متفاوت است. اکنون بیایید ببینیم خط‌مشی پسورد باید شامل چه چیزهایی بشود و یا نشود. در ادامه برخی قوانین خط‌مشی پسورد را بررسی خواهیم کرد که در بهترین حالت نادرست هستند و اکثر مواقع بسیار احمقانه و گمراه‌کننده.

نمونه‌هایی از خط‌مشی‌های غلط پسورد

سیاست های رمز عبور بیش از حد خاص می‌تواند منجر به عواقب غیرمنتظره شود. به عنوان مثال، وبسایت یک توسعه دهنده نرم افزار معروف به شما امکان می‌دهد با یک آدرس ایمیل تک حرفی (به عنوان مثال k@companyname.com)ثبت نام کنید، اما پس از آن نمی توانید از آن حرف در رمز عبور استفاده کنید. این به این دلیل است که مدیران تصمیم گرفتند که رمز عبور حاوی نام کاربری از آدرس ایمیل نباشد!

اشتباه رایج محدود کردن ماکسیمم طول پسورد است. شاید این قانونی باشد که بالاترین آسیب را در عین بی‌معنایی می‌زند: طول پسورد حرف اول را در امنیت اطلاعات می‌زند!

این اشتباه را می‌توان با مشخص کردن تنها یک طول رمز عبور مجاز و مجموعه ای از قوانین اشتباه دیگر که حساب های کاربری را در معرض خطر قرار می‌دهد، تشدید کرد.

قوانین پسورد که شرح مبهم یک‌پاراگرافی دارند آن هم با فونت ریز حتی کاربر را گیج‌تر هم می‌کنند. تنظیم قانون ماکسیمم طول پسورد 8 کاراکتر هم که فقط کار مجرمان سایبری را راحت‌تر می کند.

در برخی موارد، اگر رمز عبور ایجاد شده توسط کاربر نتواند الزامات سیاست رمز عبور را برآورده کند، توضیحی در مورد اینکه کدام قانون نقض شده است، ارائه نمی‌شود. ظاهراً سرگرم‌کننده‌ترش این است که به کاربر اجازه دهیم حدس بزند!

طریقه‌ درست مدیریت پسوردها

بیایید با چند نکته در مورد نحوه مدیریت پسوردهای کاربر برای اطمینان از میزان قابل‌قبول امنیت این مقاله را به پایان برسانیم:

  •         هرگز حداکثر طول رمز عبور را محدود نکنید! و اگر به دلایلی نیاز به انجام این کار دارید، حداقل کاربران را در مورد آن آگاه کنید. یکی از بدترین روش‌ها این است که کاربران را به این باور برسانیم که می‌توانند رمز عبوری با هر طولی ایجاد کنند، فقط برای اینکه بدون اطلاع آنها کوتاه شود.
  •         همیشه حداقل طول رمز عبور را تعیین کنید. بهتر اینکه کاربران را وادار کنید که فقط رمزهای عبور طولانی ایجاد کنند، که به معنای حداقل هشت کاراکتر است. در حالت ایده آل، حد پایین را روی چیزی قابل توجه قرار دهید: 12 کاراکتر یا حتی 16.
  •         هرگز استفاده از زیر مجموعه کاراکترها را ممنوع نکنید. اگر می‌خواهند ترکیب‌های عجیب استفاده کنند، اجازه‌اش را بدهید.
  •         شرایط مختلف را به کاربر تحمیل نکنید. درعوض، ترکیب طولانی‌تر کاراکترها را تشویق کنید – این تا حد زیادی مؤثرترین راه برای ایمن‌سازی یک رمز عبور است.
  •         هنگام ثبت نام در حساب کاربری، بازخورد خود را در مورد رمزهای عبور ارائه دهید. کاربران باید بدانند که چرا ترکیب نمادهای آنها با خط‌مشی رمز عبور شما مطابقت ندارد.
  •         با کانال ارتباطی ناامن، پسوردها را اگر برای کاربران از سمت خود تولیدشان می‌کنید در قالب متن ساده ارسال نکنید (منظورمان ایمیل است). بطور کلی بهتر است بگذارید کاربران پسوردهایی که دلشان می‌خواهند تولید کنند.
  •         و هرگز پسوردهای آن‌ها را از سمت خود ذخیره نکنید. در عوض، باید از هش‌ها (ترجیحاً هش‌های اصطلاحاً نمک‌سودشده یا سالتد) استفاده کنید.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,500,350 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,254,100 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,125,410 ریال11,254,100 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    75,067,850 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,617,750 ریال21,235,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,225,925 ریال30,451,850 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,287,700 ریال32,575,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    67,563,925 ریال135,127,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,077,425 ریال162,154,850 ریال
    خرید
  • Kaspersky Small Office Security

    259,752,350 ریال
    خرید
  • Kaspersky Small Office Security

    94,590,925 ریال189,181,850 ریال
    خرید
  • Kaspersky Small Office Security

    302,545,100 ریال
    خرید
  • Kaspersky Small Office Security

    108,104,425 ریال216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    346,088,600 ریال
    خرید
  • Kaspersky Small Office Security

    121,617,925 ریال243,235,850 ریال
    خرید
  • Kaspersky Small Office Security

    388,881,350 ریال
    خرید
  • Kaspersky Small Office Security

    123,870,175 ریال247,740,350 ریال
    خرید
  • Kaspersky Small Office Security

    396,388,850 ریال
    خرید
  • Kaspersky Small Office Security

    174,545,800 ریال349,091,600 ریال
    خرید
  • Kaspersky Small Office Security

    558,550,850 ریال
    خرید
  • Kaspersky Small Office Security

    225,221,425 ریال450,442,850 ریال
    خرید
  • Kaspersky Small Office Security

    720,712,850 ریال
    خرید
  • Kaspersky Small Office Security

    272,143,300 ریال544,286,600 ریال
    خرید
  • Kaspersky Small Office Security

    870,862,850 ریال
    خرید
  • Kaspersky Small Office Security

    516,137,050 ریال1,032,274,100 ریال
    خرید
  • Kaspersky Small Office Security

    1,651,642,850 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد