احراز هويت- انتخاب رمز عبور

احراز هويت- انتخاب رمز عبور

تاریخ ایجاد

IRCAR201206145
تاريخ: 20/04/91

همانطور كه در مقاله قبلي اشاره شد، راه­هاي مختلفي براي احراز هويت وجود دارد. هر روش يا عامل احراز هويت، مزايا و اشكالات مختص به خود را داراست. بنابراين بسيار مهم است كه هر روش به درستي ارزيابي شود تا بتوان براي استقرار يك روش در يك سيستم به خوبي تصميم گيري نمود. يكي از اين روش­ها استفاده از رمز عبور مي­باشد. در ادامه به توضيح اين روش مي‌پردازيم.

انتخاب رمزعبور
رايج‌ترين روش احراز هويت، استفاده از رمزهاي عبور است. همچنين اين روش به عنوان ضعيف­ترين شكل حفاظت محسوب مي­شود. اين روش در دسته اول عوامل احراز هويت قرار مي­گيرد.
اگر رمزهاي عبور هوشمندانه انتخاب شده و به درستي مديريت شوند، مي­توانند بسيار كارآمد باشند. دو نوع رمز عبور وجود دارد: ايستا و پويا. رمزهاي عبور ايستا تغيير نمي­كنند در صورتيكه رمزهاي عبور پويا پس از يك بازه زماني مشخص تغيير مي­يابند. رمزهاي عبور يكبار مصرف يا رمزهاي عبور single-use از انواع رمزهاي عبور پويا هستند كه هر زمان از آن­ها استفاده شود تغيير مي­يابند. رمزهاي عبور يكبار مصرف قويترين نوع رمزعبور محسوب مي­شوند. انسان توانايي به خاطر آوردن يك سري نامتناهي از رشته كاراكترهاي تصادفي را ندارد بنابراين رمزهاي عبور يكبار مصرف اغلب به عنوان عامل­هاي نوع دو شناخته مي­شوند كه از دستگاه­هاي پردازشي مانند token استفاده مي­كنند.
در برخي از محيط­ها، رمزهاي عبور اوليه براي حساب­هاي كاربري كاربران به طور خودكار توليد مي­شوند. اغلب رمزهاي عبور توليد شده به صورت رمز عبور تركيبي است. رمز عبور تركيبي، رمز عبوري است كه از تركيب دو يا چند كلمه نامرتبط به همراه عدد و نشانه در بين آن­ها ساخته مي­شود. توليد رمزهاي عبور تركيبي براي كامپيوتر آسان است اما نبايد براي مدت زمان طولاني از آن­ها استفاده كرد زيرا نسبت به حملات حدس زدن رمز عبور آسيب پذير مي­شوند. اگر الگوريتم توليد رمزهاي عبور كشف شود، تمامي رمزهاي عبور ايجاد شده توسط سيستم در معرض خطر قرار مي­گيرند.
يك روش رمز عبور كه كمي موثرتر از رمز عبور اوليه است، عبارت عبور مي­باشد. عبارت عبور رشته­اي از كاركترها است كه معمولا طولاني­تر از رمز عبور است. استفاده از عبارت عبور فوايدي دارد از جمله آن­كه توسط ابزار brute force به سختي شكسته مي­شوند و هم چنين كاربر را تشويق مي­كند تا از رمز عبور با كاركترهاي متعدد استفاده نمايد در عين حال به خاطر سپردن آن آسان است.
بسياري از سيستم‌ها، سياست­هايي براي رمز عبور اتخاذ مي­نمايند تا ويژگي­ها و املاي رمز عبور را محدود نمايند. رايج­ترين محدوديت­ها شامل حداقل طول رمز عبور، حداقل عمر رمز عبور، حداكثر عمر رمز عبور، استفاده از سه يا چهار نوع كاراكتر در رمز عبور (حروف كوچك، حروف بزرگ، اعداد و نشانه­‌ها) و ممانعت از استفاده مجدد از رمز عبور مي‌باشد.
در سياست­هاي امنيتي سازمان بايد به وضوح لزوم نياز به رمز عبور قوي و چگونگي ايجاد يك رمز عبور قوي تعريف گردد. اگر رمزهاي عبور توسط كاربران نهايي ايجاد مي‌شوند، لازم است تا براي ايجاد رمز عبور قوي پيشنهادات زير درنظر گرفته شوند:

  • از نام، نام كاربري، آدرس پست الكترونيكي، شماره پرسنلي، شماره كارت ملي، شماره تلفن و نام‌ها و كدهاي شناسايي ديگر استفاده نشود.
  • از كلمات فرهنگ لغت، اصطلاحات و يا كلمات اختصاري استفاده نشود.
  • از كلماتي با املاي غير استاندارد همراه با حروف بزرگ استفاده گردد.
  • حروف الفبا انتخاب شوند و با اعداد جايگزين گردند.
  • لازم است كه كاربران رمزهاي عبور خود را به طور مداوم تغيير دهند.
  • رمزهاي عبور نبايد در هيچ فرم يا قالبي نمايش داده شوند.
  • بايد از ايجاد ليستي از رمزهاي عبور كاربران اجتناب كرد. رمزهاي عبوري كه به راحتي به خاطر سپرده مي­شوند اغلب توسط ابزار شكستن رمز عبور به راحتي كشف مي­گردند.
  • اگر رمز عبور مدير شبكه يا root به خطر بيفتد، تمامي رمزهاي عبور حساب­هاي كاربري بايد تغيير يابند.
  • هرگز رمزهاي عبور را از طرق پست الكترونيكي انتقال ندهيد.

امنيت رمز عبور
راه­هاي مختلفي براي بدست آوردن رمز عبور توسط مهاجم يا كاربر خرابكار وجود دارد از جمله تجزيه و تحليل ترافيك شبكه، دسترسي به فايل رمز عبور، حملات brute force، حملات dictionary و مهندسي اجتماعي.
تجزيه و تحليل ترافيك شبكه فرآيندي است كه طي آن ترافيك شبكه هنگامي­كه كاربري رمز عبور خود را به منظور احراز هويت وارد مي­كند، جمع­آوري مي­شود. حملات brute force و dictionary دو نوع حمله رمز عبور هستند كه مي­توانند براي سرقت فايل پايگاه داده رمزهاي عبور يا واردشدن به سيستم استفاده شوند.
راه­هاي مختلفي براي بهبود امنيت رمزهاي عبور وجود دارد. قفل شدن حساب كاربري روشي است كه براي غيرفعال شدن حساب كاربري استفاده مي­شود. پس از آن­كه كاربر نام كاربري يا رمز عبور خود را به تعداد مشخصي اشتباه وارد نمايد، حساب كاربري آن غيرفعال خواهد شد. روش قفل شدن حساب كاربري، حملات brute force و dictionary را متوقف مي­سازد. پس از آن­كه حساب كاربري دوباره فعال شد، پيامي شامل تاريخ، زمان و محلي (نام كامپيوتر يا آدرس IP) كه آخرين ورود موفقيت آميز يا ناموفق صورت گرفته است، نمايش داده مي­شود. كاربراني كه گمان مي­كنند حساب كاربري آن­ها مورد حمله قرار گرفته است مي­توانند اين گزارش را براي مدير شبكه ارسال نمايند. يك سيستم تشخيص نفوذ مي­تواند به راحتي حملات ورود به حساب كاربري را شناسايي نمايد و به اطلاع مدير شبكه برساند.
گزينه­‌هاي ديگري براي بهبود امنيت رمز عبور وجود دارند:

  • از قويترين شكل موجود رمزگذاري (one-way encryption) براي ذخيره سازي رمزعبور استفاده نماييد.
  • هرگز اجازه ندهيد كه رمزهاي عبور در شبكه به صورت متن ساده يا با رمزگذاري ضعيف انتقال يابند.
  • از ابزارهاي تاييد رمز عبور و ابزارهاي شكستن رمزعبور عليه فايل پايگاه داده رمزهاي عبور استفاده نماييد. لازم است تا رمزهاي عبور ضعيف يا رمزهاي عبور كشف شده تغيير يابند.
  • حساب­هاي كاربري كه براي دوره­هاي زماني كوتاه مانند يك هفته يا يك ماه از آن­ها استفاده نمي­شوند را غيرفعال نماييد. حساب­هاي كاربري كه ديگر استفاده نمي­شوند را حذف نماييد.
  • درباره ضرورت حفظ امنيت و استفاده از رمزهاي عبور قوي آموزش­هاي لازم را به كاربران بدهيد و درباره نوشتن رمز عبور يا به اشتراك گذاري آن هشدار دهيد.
برچسب‌ها
مستندات مرجع
  • 6