مؤسسه یاهو اذعان كرد كه هكرها فایلی قدیمی حاوی اطلاعات متعلق به كاربران خدمات یاهو وویسز را از این مؤسسه ربودند. شیوه نگهداری این گذرواژه­‌ها كه كدگذاری نشده بودند، نمونه­‌ای شاخص از اقدامات ضعیف امنیتی و مدیریت ضعیف گذرواژه است.

به گزارش خبرگزاري دانشجويان ايران (ايسنا)، بنا بر اعلام شركت امنیت اِسِت از 440 هزار گذرواژه، متداول‌ترین گذرواژه­‌ها به ترتیب عبارت بودند از "123456"، "password"، "welcome"، "ninja" و "abc123". فصل مشترك تمام هك­‌ها استفاده از گنجینه­ گذرواژه­‌هاست كه تأكیدی است بر دشواری مدیریت گذرواژه­‌ها برای افراد و شركت­‌ها.

بر اساس مطلب سايت سازمان فناوري اطلاعات، این موقعیت حقیقتی بنیادین را آشكار می­‌كند: وقتی موضوع امنیت در میان است راحت می­‌توان به دیگران گفت كه چه كار كنند؛ در واقع، آن­چه دشوار است واداشتن افراد به اجرای توصیه­‌ها است. در این متن مجموعه­‌ای از نكات برای سازمان­ها و كاركنان­شان ارائه شده است تا مدیریت گذرواژه­‌ها و قدرتمندتر كردن آن­ها و در عین حال سهولت به خاطر سپردن­شان میسر شود.

1. بازی­‌های ذهنی: به خاطر سپردن گذرواژه­ برای همه مشكل است. بر اساس نتايج سنجشی كه شركت لیبرمن سافت­ور (Liberman Software) در اكتبر 2011 بر روی 300 متخصص آی­‌تی انجام داد، 51 درصد از پاسخگویان حداقل 10 گذرواژه داشتند كه باید برای كاربرد در محیط كار به یاد می­‌سپردند و 42 درصد گفتند كه در سازمان­ كاركنان بخش آی­‌تی از گذرواژه­‌های مشترك برای دسترسی به سیستم­‌ها و نرم­‌افزارهای كاربردی استفاده می­‌كنند.

2. اندازه گذرواژه مهم است: گذرواژه هر چه طولانی­‌تر باشد، بهتر است. هشت كاراكتر همیشه كارآمد نیست. در واقع، بسياري توصیه می­‌كنند كه در صورت امكان از گذرواژه­‌هایی با 12 تا 14 كاراكتر استفاده شود. به گفته پی­یرلوییجی استلا، مدیر بخش فناوری نت­ورك باكس (Network Box) نكته اصلی كه باید در هنگام تصمیم­‌گیری درباره گذرواژه به خاطر سپرد، این است كه با انسان­‌ها سروكار داریم.

او توصیه می‌كند كه جمله­‌ای معنی­‌دار برای خود بسازید و با حذف فاصله یا قرار دادن كاراكتری مابین كلمات، گذرواژه خود را شكل بدهید. بعد از آن مي‌توانید با تغییر بخش­‌هایی كوچك آن را به گذرواژه­‌های دیگر بدل سازید. به گفته وی، اساساً از فرایندی ذهنی استفاده كنید كه امكان بازسازی گذرواژه را در صورت فراموش كردنش فراهم سازد و حتماً از گذرواژه­‌های طولانی استفاده كنید، مثلاً با 20 حرف یا بیش­تر.

3. مشكل كاربرد گذرواژه­‌های تكراری: بررسی گذرواژه­‌های لورفته در اتفاق مربوط به یاهو نشان داد كه مردم برای سایت­‌ها و خدمات متفاوت از گذرواژه‌های واحد استفاده می­‌كنند. شاید این كار بعضی وقت­‌ها خیلی مهم نباشد. برای مثال، اگر هكری به گذرواژه‌ای دست یابد كه كسی در سایت­‌های مختلف از آن استفاده كرده اما آن سایت­‌ها حاوی اطلاعات حساسی درباره فرد مذكور نباشد، می­‌توان از اثرات جانبی آن چشم­‌پوشی كرد. اما اگر هكری گذرواژه ای‌میل كسی را بفهمد و این گذرواژه همانی باشد كه آن فرد برای سایت تجارت الكترونیك نیز از آن استفاده می­‌كند، مشكل بروز خواهد كرد. به همین دلیل از كاربرد گذرواژه­‌های تكراری باید اجتناب كرد.

4. تركیب حروف گذرواژه: در گذرواژه­‌ها باید از انواع كاراكترها استفاده كرد، مثلاً اعداد یا علایم مختلف سجاوندی؛ البته در صورت امكان. این اقدام موجب می­‌شود كه نتوان به آسانی گذرواژه را حدس زد. در واقع، استفاده از كلمات واقعی می­‌تواند حساب كاربری را در برابر "حملات دیكشنری" آسیب­‌پذیر سازد. در این نوع حملات، گذرواژه­‌های متداول مورد حمله قرار می­‌گیرند. به علاوه، از اطلاعات شخصی قابل كشف در گذرواژه‌ها، مثل روز تولد و امثال آن استفاده نكنید.

5. چرخه عمر گذرواژه: در حالی كه بعضی سازمان­‌ها كاربران را به تغییر گذرواژه­‌ها در دوره­‌های چندماهه وادار می­‌سازند، این سیاست اگر منجر به تغییر بیش از حد گذرواژه­‌ها شود می­‌تواند به نتیجه عكس بیانجامد. نتیجه این وضعیت منجر به كاربرد گذرواژه­‌های ضعیف­‌تر می­‌شود كه به یاد سپردن­شان راحت­‌تر است. سازمان­‌ها باید پیش از تعیین محدودیت زمانی به این نكته توجه كنند كه احتمال حدس زدن گذرواژه فعلی یا نفوذ در آن در مقابل احتمال سرقت آن در صورت تغییر نكردنش چقدر است. هوشمندانه­‌تر این است كه از ابتدا كاربران به تعیین گذرواژه­ای قدرتمند ترغیب شوند، نه آن كه مرتب به تغییر گذرواژه واداشته شوند.

6. ذخیره كردن گذرواژه: دلیل دیگری كه به تأثیر بیش­تر هك شدن یاهو انجامید، این بود كه گذرواژه­‌ها رمزگذاری نشده بودند. این گذرواژه­‌ها در فایلی قدیمی حاوی اطلاعات ورود به سیستم ذخیره شده بودند. اگر اطلاعات هویتی لازم برای ورود به سیستم رمزگذاری شده بود، مجرمان سایبری نمی­‌توانستند بدون رمزگشایی از آن­‌ها استفاده كنند و رمزگشایی این اطلاعات نیز برای آنان كاری بسیار دشوار بود.

7. كنترل شدید حساب­‌های كاربری برتر: استفاده از حساب­‌های كاربری كه كاربران آن­‌ها از امتیاز بالایی برخوردارند باید به شدت تحت كنترل باشد. مؤسسه IOUG در سنجشی درباره امنیت پایگاه داده در سال 2011 دریافت كه 65 درصد از پاسخگویان یا نمی­‌دانستند و یا مطمئن نبودند كه بتوانند سوء­استفاده از حساب­‌های كاربری برتر را پیگیری كنند.

ردگیری كسانی كه از این حساب­‌ها استفاده می­‌كنند و چگونگی كاربرد آن­ها ممكن است برای شركت­‌ها بسیار دشوار باشد. راب راشوالد، مدیر راهبرد امنیت ایمپروا (Imperva) می­‌گوید: نكته اصلی این است كه این نوع حساب­‌ها تحت نظارت باشند، نه فقط برای استفاده پنهانی یا برای زمانی كه برای این موضوع درخواست می­‌شود، بلكه همچنین برای هنگام دسترسی غیرمجاز به داده/آی­‌پی كه نشانه آلودگی است.

8. وقتی گذرواژه­‌ها كافی نیستند: بعضی وقت­‌ها گذرواژه­‌ها به تنهایی امنیت كافی ایجاد نمی­‌كنند. بسیاری از سازمان­‌ها استفاده از روش تأیید دو مرحله­‌ای، مانند ارسال پیام به تلفن همراه جهت تأیید تبادلات بانكی آنلاین را آغاز كرده­‌اند. در بعضی شرایط، برای مشاغل استفاده از این روش برای ایجاد یك لایه امنیتی دیگر منطقی است.

انتهاي پيام