روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ علیرغم همه تغییراتی که در حوزه امنیت اطلاعات در طول دهههای اخیر رخ داده، پسوردها هنوز هم مهمترین عناصر محافظت داده محسوب میشوند. و وقتی از پسوردها حرف میزنیم، خطمشیهای پسورد مرکزیت قرار دارند. در این مقاله توضیح خواهیم داد چطور میشود موقع ساختن خطمشی پسورد برای ارائه درجه قابلقبولی از امنیت و در عین حال مأیوس نکردن کاربر با خطمشیهای بیمعنای OTT جلوی اشتباهات را گرفت. با ما همراه باشید.
خطمشی رمزعبور چیست؟
خطمشی پسورد مجموعهای است از قوانین که طراحی شدند به کاربران در استفاده از پسوردهای قوی و مدیریت درست آنها انگیزه دهند. خطمشی رمزعبور میتواند یک توصیه باشد و یا یک الزام. این روزها مورد دوم، شایعتر است: ادمینهای سرویسهای آنلاین و زیرساخت آیتی سازمانی در تنظیمات نرمافزارهای به کاررفتهشان، قوانینی برای استفاده از رمز عبور وضع کردند.
قوانین خطمشی رمزعبور میتواند متفاوت باشد و شامل موارد زیر شود:
- طول پسورد: حداقل و حداکثر تعداد کاراکتر در پسورد.
- کاراکترهای مجاز: حروف بزرگ/کوچک، اعداد، کاراکرهای خاص، اموجیها و سایر کاراکترها که باید یک پسورد شامل آنها شود و یا برعکس باید شامل آنها نشود.
- ترکیبات ممنوعه؛ به عنوان مثال، دنبالهای از کاراکترها که با نام شرکت یا کاربر مطابقت دارند.
- ممنوعیتهای خاص: به عنوان مثال، رمزهای عبور نباید با یک "1" شروع شوند، حاوی یک توالی مستقیم از اعداد ("12345678") باشند، یا با الگوهای به راحتی قابل حدس زدن (تاریخ، شماره تلفن، شماره پلاک) و غیره مطابقت داشته باشند.
- فهرستهای رد کردن رمز عبور: جداول استثناهایی که الزامات خطمشی کلی را برآورده میکنند، اما به دلیل دیگری ناامن در نظر گرفته میشوند. به عنوان مثال، رمزهای عبور فاش شده شناخته شده است.
- فاصله انقضای رمز عبور: مدت زمانی که پس از آن کاربر باید رمز عبور جدیدی تعیین کند.
- ممنوعیت استفاده مجدد از رمز عبور: رمز عبور را نمیتوان به رمزی که قبلاً برای همان حساب استفاده شده است تغییر داد.
- با جلوگیری از تغییر رمز عبور توسط مهاجم، تغییرات گذرواژه درخواستی کاربر را برای مبارزه با سرقت حساب ممنوع کنید.
- روش ذخیرهسازی رمز عبور: بهویژه، ممنوعیت کل شرکت برای استیکینوتها ذکر شده با رمز عبور. یا توصیهای برای استفاده از مدیر رمز عبور.
- اقدامات اداری: اگر برخی از قوانین خطمشی رمز عبور را نمیتوان در تنظیمات نرم افزار اجرا کرد، اقدامات اداری میتواند برای وادار کردن کاربران به پیروی از آنها اعمال شود.
البته این فهرست برای همه شرایط نه جامع است و نه اجباری. هیچ رویکرد جهانی وجود ندارد و نمیتواند هم وجود داشته باشد زیرا خطمشی پسورد همیشه تعادلی است بین امنیت و راحتی کاربر. تعادل درست، مورد به مورد برای هر کاربر متفاوت است. اکنون بیایید ببینیم خطمشی پسورد باید شامل چه چیزهایی بشود و یا نشود. در ادامه برخی قوانین خطمشی پسورد را بررسی خواهیم کرد که در بهترین حالت نادرست هستند و اکثر مواقع بسیار احمقانه و گمراهکننده.
نمونههایی از خطمشیهای غلط پسورد
سیاست های رمز عبور بیش از حد خاص میتواند منجر به عواقب غیرمنتظره شود. به عنوان مثال، وبسایت یک توسعه دهنده نرم افزار معروف به شما امکان میدهد با یک آدرس ایمیل تک حرفی (به عنوان مثال k@companyname.com)ثبت نام کنید، اما پس از آن نمی توانید از آن حرف در رمز عبور استفاده کنید. این به این دلیل است که مدیران تصمیم گرفتند که رمز عبور حاوی نام کاربری از آدرس ایمیل نباشد!
اشتباه رایج محدود کردن ماکسیمم طول پسورد است. شاید این قانونی باشد که بالاترین آسیب را در عین بیمعنایی میزند: طول پسورد حرف اول را در امنیت اطلاعات میزند!
این اشتباه را میتوان با مشخص کردن تنها یک طول رمز عبور مجاز و مجموعه ای از قوانین اشتباه دیگر که حساب های کاربری را در معرض خطر قرار میدهد، تشدید کرد.
قوانین پسورد که شرح مبهم یکپاراگرافی دارند آن هم با فونت ریز حتی کاربر را گیجتر هم میکنند. تنظیم قانون ماکسیمم طول پسورد 8 کاراکتر هم که فقط کار مجرمان سایبری را راحتتر می کند.
در برخی موارد، اگر رمز عبور ایجاد شده توسط کاربر نتواند الزامات سیاست رمز عبور را برآورده کند، توضیحی در مورد اینکه کدام قانون نقض شده است، ارائه نمیشود. ظاهراً سرگرمکنندهترش این است که به کاربر اجازه دهیم حدس بزند!
طریقه درست مدیریت پسوردها
بیایید با چند نکته در مورد نحوه مدیریت پسوردهای کاربر برای اطمینان از میزان قابلقبول امنیت این مقاله را به پایان برسانیم:
- هرگز حداکثر طول رمز عبور را محدود نکنید! و اگر به دلایلی نیاز به انجام این کار دارید، حداقل کاربران را در مورد آن آگاه کنید. یکی از بدترین روشها این است که کاربران را به این باور برسانیم که میتوانند رمز عبوری با هر طولی ایجاد کنند، فقط برای اینکه بدون اطلاع آنها کوتاه شود.
- همیشه حداقل طول رمز عبور را تعیین کنید. بهتر اینکه کاربران را وادار کنید که فقط رمزهای عبور طولانی ایجاد کنند، که به معنای حداقل هشت کاراکتر است. در حالت ایده آل، حد پایین را روی چیزی قابل توجه قرار دهید: 12 کاراکتر یا حتی 16.
- هرگز استفاده از زیر مجموعه کاراکترها را ممنوع نکنید. اگر میخواهند ترکیبهای عجیب استفاده کنند، اجازهاش را بدهید.
- شرایط مختلف را به کاربر تحمیل نکنید. درعوض، ترکیب طولانیتر کاراکترها را تشویق کنید – این تا حد زیادی مؤثرترین راه برای ایمنسازی یک رمز عبور است.
- هنگام ثبت نام در حساب کاربری، بازخورد خود را در مورد رمزهای عبور ارائه دهید. کاربران باید بدانند که چرا ترکیب نمادهای آنها با خطمشی رمز عبور شما مطابقت ندارد.
- با کانال ارتباطی ناامن، پسوردها را اگر برای کاربران از سمت خود تولیدشان میکنید در قالب متن ساده ارسال نکنید (منظورمان ایمیل است). بطور کلی بهتر است بگذارید کاربران پسوردهایی که دلشان میخواهند تولید کنند.
- و هرگز پسوردهای آنها را از سمت خود ذخیره نکنید. در عوض، باید از هشها (ترجیحاً هشهای اصطلاحاً نمکسودشده یا سالتد) استفاده کنید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
