نحوه تنظیم سیاست های رمز عبور
سیاست های رمز عبور یا Password policy به مجموعهای از سیاست ها که مربوط به قوانین و مقررات مربوط به پسورد است، گفته میشود. این سیاست ها که با اهداف امنیتی اعمال میگردد، یکی از سادهترین مراحل امن سازی سازمانها است. در این راستا موسسه National Institute of Standards and Technology یا NIST دستورالعملهای صحیح هویت دیجیتال را برای خط مشی رمز عبور ارائه میدهد که شامل موارد زیر است:
پیچیدگی و طول رمز عبور
امروزه دیده میشود که بسیاری از سازمانها هنگام دریافت رمز عبور از کاربر، قوانینی را اعمال میکنند، مانند استفاده از حداقل یک عدد، حروف بزرگ، حروف کوچک و استفاده از کارکترهای خاص. با این حال مزایای این قوانین آن طور که باید نبوده زیرا که بخاطر سپردن و نوشتن این رمزها برای کاربران سخت میباشد.
عامل اصلی قدرت رمز عبور طول آن میباشد. بر اساس NIST توصیه میکند که کاربران خود را تشویق به اعمال رمز عبوری طولانی با حداکثر 64 کارکتر (شامل فاصله) نمایید.
سن رمز عبور
در دستورالعملهای قبلی NIST توصیه میشد که کاربران خود را هر 90 روز یکبار (و هر 180 روز یکبار برای passphraseها) به تغییر رمز عبور مجبور نمایید. ولی معمولا این باعث نارضایتی کاربران و در نتیجه استفاده آنها از رمزهای عبور قدیمی یا استفاده از الگوهای ساده در انتخاب رمز عبور جدید، میشد که این موضوع هم به امنیت اطلاعات سازمانها اسیب میزد. در هر حال باید دانست که میتواند با در نظر گرفتن استراتژیهایی، کاربران را به یافتن راههای خلاقانه برای انتخاب رمز عبور دعوت نمود.
به همین دلیل در دستورالعملهای جدید NIST مشاهده میکنید که توصیه میشود که از کاربران خود بخواهید تنها در صورت مشاهده تهدید بالقوه یا مشکوک به دسترسی غیرمجاز، اقدام به تغییر رمز عبور خود نمایند.
گذرواژههای ضعیف که مستعد حملات Brute force هستند
شما میتوانید برای امنیت بیشتر رمزهای عبور با ویژگیهای زیر را منع یا مسدود نمایید.
- رمزهای عبور قابل حدس مانند عبارت password
- رشتهای از اعداد و حروف مشابه “12345” یا “abcd”
- رشتهای از کارکترهای که به صورت متوالی روی صفحه کلید قرار دارند مانند “@#$%^&” یا “qwerty”
- استفاده از نام همسر یا هر نام دیگر
- استفاده از شماره موبایل یا تلفن، شماره پلاک، تاریخ تولد افراد یا سایر اطلاعاتی که میتواند به راحتی به دست آید
- تکرار کارکترهای به صورت متوالی مانند “zzzzzz”
- استفاده کلماتی که در Dictionary listهای عمومی یافت میشود.
- رمزهای عبور قوی یا پیشنهادی، حتی در صورت قوی بودن آن
- استفاده از نام کاربری یا نام HOST در رمز عبور
- استفاده از هر یک موارد بالا همراه یک عدد قبل یا بعد آن
یک دستورالعمل خوب برای اعمال سیاست های رمز عبور
شما باید از موارد زیر اطمینان حاصل نمایید:
- طول حداقل مقدار رمز عبور را پیکربندی نمایید
- سیاستی را اعمال نمایید تا کاربران نتواند از حداقل 10 پسورد قبلی خود استفاده نمایند و همچنین حداقل سن یک رمز عبور را سه روز در نظر گیرید
- سیستم خود را طوری تنظیم نمایید که سیستم توانایی مقدار پیچیدگی رمز عبور را تشخیص دهد. قابل ذکر است که شما میتوانید این تنظیم را برای passphraseها غیرفعال نمایید (ولی پیشنهاد نمیشود)
- هر 180 روز یکبار رم زعبور ادمین local خود را تغییر دهید. شما میتوانید این کار را با ابزار free Netwrix Bulk Password Reset tool انجام دهید.
- رمز عبور service accountها (حسابهایی که برای سیستم ساخته شدهاند و کاربران واقعی از آنهای استفاده نمیکنند) را هر یک سال یکبار در طول نگهداشت تغییر دهید.
- برای حسابهای دامنههای خود از رمز عبورهایی قوی با حداقل 15 کارکتر استفاده نمایید.
- همه تغییرات پسوردی را با استفاده از راه حلی مانند Netwrix Auditor در اکتیودایرکتوری پیگیری نمایید.
- برای تغییرهای رمز عبور اعلانهای ایمیلی را در نظر گیرید. این کار را میتوانید با ابزار رایگانی مانند Netwrix Password Expiration Notifier tool انجام دهید.
- توصیه میشود بجای ویرایش تنظیمات پیشفرض در خط مشی دامنه خود،خط مشیهای رمز عبور گرانول ایجاد نمایید و استفاده از آن را برای تمامی بخشهای سازمان خود الزامی نمایید.
شرکت راهبران فناوری پاسارگاد به شما این امکان را میدهد که با بررسی و آزمایشهای امنیتی، قوت سیاست های رمز عبور خود را بسنچید. برای اطلاعات بیشتر کلیک نمایید.
برخی از مطالب مرتبط:
مقایسه هارد درایوهای ssd و hdd
دریافت و ارسال نکردن فکس و راه های برطرف کردن آن
سنجش رضایت مشتریان csm و روشها و شاخصهای اندازه گیری آن
معرفی برند کیونپ (QNAP) و دستگاههای ذخیره سازی
انواع سوئیچ های سیسکو ۲۹۶۰ و تفاوت آنها
بهترین روشهای رمز عبور و احراز هویت اضافی
- برنامههای کاربردی که در سازمان بهره گرفته میشوند باید از احراز هویت فردی بهره گیرد نه گروهی
- برنامههای کاربردی سازمان باید زمانی که از رمزهای عبور ذخیره شده یا منتقل شده به خود استفاه میکند، آنها را رمزگذاری کند تا اطمینان حاصل نماید که در دسترس نفوذگران قرار نمیگیرد.
- کاربران و برنامههای کاربردی نباید برای ذخیره سازی رمزهای عبور از هر روشی که پسورد آنها را به صورت متن واضح، ذخیره میکند و یا حداقل در ان میتوان پسوردها را به این صورت بازگردانی کرد، استفاده نمایند.
- در صورت امکان از احراز هویت چند عاملی یا MFA بهره گرفته شود. این به شما برای کاهش خطرات ناشی از رمزهای عبور دزدیده شده کمک میکند.
- هنگامی که کارمندان با سازمان شما قطع همکاری مینمایند رمز عبور آنها را تغییر دهید.
- با کمک به کاربران خود در انتخاب رمزهای عبور جدید، مطابق با الزمات اعمال شده، به صورت فعال به آنها یادآوری نمایید که تهدیدات در کمین هستند و بدین شکل انقضای گذرواژه و تغییر رمز عبور کاربران امری ناامید کننده و وقت گیر نخواهد بود
اهمیت آموزش کاربران
علاوه بر این موارد به کاربران خود موارد زیر را آموزش دهید:
- این مهم است که رمز عبور خود را بدون نوشتن در جایی به خاطر سپارید. بنابراین گذرواژهای انتخاب نمایید که در عین پیچدگی در ذهن شما ماندگار باشد. در صورتی که رمزهای عبور زیادی دارید میتوانید از ابزارهای مدیریت رمز عبور بهره گیرید.
- به اینکه رمز عبور شما چطور ارسال میشود دقت کنید زیرا که وب سایتهایی که آدرس آنها با HTTPS به جای HTTP شروع میشوند، احتمالا راه بهتری را برای انتقال رمز عبور شما ارائه میدهند.
- در صورتی که مشکوک هستید که رم زعبور شما را کسی میداند، فورا آن را تغییر دهید.
- زمانی که فردی در حال تماشا شما است رمز عبور خود را تایپ نکنید.
- از استفاده یک رمز عبور در چندین وب سایت حاوی اطلاعات حساس خودداری نمایید.
نتیجه گیری:
امروزه داشتن یک رمز عبور ضعیف یکی مهم ترین عامل نفوذ به کاربران شناخته میشود. در این زمان از مدیران شرکتها و سازمانها انتظار میرود با داشتن سیاستی درست تا حد مکان امنیت را برای کاربران خود تامین کنند. مدیران قادر هستند تا با ایجاد قوانین و مقرراری برای کاربران به منظور انتخاب رمز عبور، آنها را از این تهدیدات دور نمایند.
باید بخاطر داشت که رمز عبور تنها دیوار ظاهری در برابر نفوذگران از جمله مخربهای تازه کار میباشد. در صورتی که شما این مرحله از امنیت را به خوبی بگذرانید قادر خواهید بود بسیاری از حملات را پشت سر گذارید.