روشهای حفاظت از کلمات عبور

حفاظت از كلمات عبور موجود در شبكه از مهمترین اصول حفظ امنیت یك شبكه میباشد. شما به عنوان یك مسئول حساس و دقیق شبكه باید با اجرای سیاستهای قوی و محكم از كلمات عبور محافظت نموده و مانع از فاش شدن آن شوید. مانند :
▪ سیستم عامل را طوری پیكربندی نمایید كه كلمات عبور كوتاه تر از حد معین را اصلا قبول نكند (مثلا ۹ كاراكتر).
▪ در صورت امكان قبل از پذیرش كلمه عبور از كاربر ، كلمه انتخابی در یك فرهنگ لغت جستجو شده و در صورت وجود پذیرفته نشود.
كاربران مجبور باشند در كلمه عبور خود حداقل از ۲ یا ۳ كاراكتر غیر الفبایی استفاده نمایند.
▪ برای كلمات عبور طول عمر در نظر گرفته شود و سیستم عامل را طوری تنظیم نمایید تا پس از انقضای طول عمر كلمه عبور حساب كاربر قفل نموده و كاربر مجبور به تعویض كلمه عبور باشد و در آینده نیز نتواند به هیچ وجه از آن كلمه عبور استفاده نماید. توصیه میشود كلمات عبور طول عمر حدود ۳۰ تا ۹۰ روز داشته باشند و پس از آن كاربر مجبور به تعویض آن باشد. اگر مدت زمان انقضا بیش از حد كئتاه باشد ، كاربر مجبور به انتخاب كلمات با معنی برای جلوگیری از فراموشی خواهد شد كه این به نوبه خود خطرناك میباشد.
▪ سیاستهای انتخابی كلمات عبور را بطور آشكار و شفاف در سایت وب خود به همه كاربران اعلام نمایید و حتی كاربران بیرونی سرویس دهنده های شما نیز در صورت وجود مجبور به رعایت این موارد باشند.
● آگاهی كاربران:
با توجه به آنكه در محیطهای شلوغ و پركاربر نمی توان تمام كلمات عبور انتخابی آنان را بررسی نمود و آنها نیز میتوانند به نحوی از قواعد تعیین شده شما به روشهایصوری بگریزند، لذا سعی كنید با هشدارهای امنیتی و توضیح كافی، ذهن كاربر را با خطراتی كه آنها را تهدید میكند، آشنا نمایید. بعنوان مثال ممكن است یك كاربر برای راحتی خود و همچنین برآورده كردن قواعد امنیتی شما كلمه عبور apple۱۲۳۴ را انتخاب نماید كه خطرناك خواهد بود.
● استفاده از برنامه های مولد كلمه عبور:
در هنگامی كه كاربر میخواهد كلمه عبور انتخاب نماید، برای انتخاب یك كلمه عبور خوب و محكم، مردد خواهد ماند زیرا او به این می اندیشد كه یك كلمه عبور سخت را چگونه میتوان به خاطر سپرد به گونه ای كه نیاز به نوشتن آن روی كاغذ نباشد! آنها را به نحو مناسب راهنمایی كنید. پیدا كردن چنین كلمات عبوری چندان سخت هم نیست. مثلا آیا به نظر شما كلمه عبور "Jsrb,Ayhat۷" بقدر كافی طولانی و مناسب نیست؟ به نظر میرسد كه این كلمه عبور به اندازه كافی و محكم است و به خاطر سپردن آن هم چندان دشوار نیست چرا كه این كلمه عبور حروف نخست جمله "Just sit right back , And you hear a tale" است. كاربر میتواند یك جمله مانند بالا در ذهن خود در نظر بگیرد و كلمه ای از آن بدست آورده و چند علامت و رقم به آن بیافزاید. فقط كاربران شما نباید از یك جمله نمادین مثلبالا استفاده نمایند بلكه باید از آنها بخواهید تا متنوع فكر كنند!
میتوانید از برنامه هایی استفاده كنید كه كلمه های عبور بی معنی به كاربر پیشنهاد میدهد ولی راه به خاطر سپردن آن را نیز آموزش میدهد.
برای فارسی زبانها این امر ساده است زیرا كه اولا فرهنگ لغت فارسی كه به انگلیسی تایپ شده باشد وجود ندارد (فعلا) ثانیا آنها میتوانند به یك بیت شعر یا ضرب المثل و یا جمله به یاد ماندنی فكر كنند و ابتدای كلمات آنرا به انگلیسی نوشته و كلمه عبور خود قرار دهند.
استفاده از نرم افزارهای غربال كننده كلمات عبور ضعیف:
باید به هر ترتیب مطمئن شوید كه كاربران كلمات عبور ضعیف انتخاب نكرده اند. با توجه به اینكه شما قادر نخواهید بود تمام كلمات عبور و تغییراتی كه كاربران میتوانند در كلمه عبور خود بدهند بررسی كنید، لذا به یك ابزار خودكار نرم افزاری نیاز خواهید داشت. این ابزار بر روی سرویس دهنده های شما كه نیاز به كلمه عبور دارند نصب میشوند. سپس شما قواعد و سیاستهای امنیتی خود را با تنظیم گزینه های آنها تعیین مینمایید. از این به بعد بررسی كلمات عبوری كه كاربران انتخاب میكنند به عهده این ابزارها خواهد بود. اینابزارها برای محیط یونیكس و ویندوز به رایگان قابل دسترسی است.
- ابزارهای یونیكس :
Npaswd كه از آدرس ftp://ftp.cc.utexas.edu/pub/npasswd قابل تهیه است.
Passwd پلاس كه از آدرس ftp://ftp.darthmouth.edu/pub/security قابل تهیه است.
- ابزارهای ویندوز:
PassProp این برنامه توسط مایكروسافت تهیه شده و در در بسته قابل خریداری Win NT Server Resource Kit Supplement ۴ موجود است.
PassFilt.dll این برنامه هم متعلق به مایكروسافت و در در دیسك فشرده Service Pack۲ ویندوز ۲۰۰۰ موجود است.
Password Guardian این برنامه رایگان از آدرس http://www.geogiasoftwork.com قابل تهیه است.
Strongpass یك برنامه رایگان قابل تهیه از : http://www.geogiasoftwork.com
Fast Lane یك برنامه رایگان موجود در : http://www.fastlanetech.com
در صورت امكان از روشهای احراز هویت بدون استفاده از كلمات عبور استفاده كنید
بدلیل اینكه حتی با رعایت نكات ایمنی ممكن است ابزارهای شكننده كلمات عبور بتوانند یك كلمه عبور را كشف كنند، بهتر است در صورت حساسیت زیاد اطلاعات از مكانیسمهای پیچیده احراز هویت مانند Smart Card و سیستم های بیومتریك استفاده كنید.
ابزارهای شكننده كلمات عبور را گاهی علیه خود بكار ببرید:
برای اطمینان نهایی از عدم آسیب پذیری كلمات عبور، هر از چند گاهی ابزارهای شكننده كلمات عبور را اجرا كرده و بر علیه سیستم خود بكار ببرید. البته باید آنرا در محیطی امن و خارج از شبكه و روی یك سیستم مجزا بكار بگیرید تا شبكه شما دچار اختلال نشود.
ابزار John (یك شكننده كلمه عبور) ابزاری رایگان است كه كد منبع آن نیز ارائه میشود. اگر به هیچ نرم افزاری از نظر امنیتی اطمینان ندارید میتوانید كدهای منبع آن را دریافت نموده و آنرا كامپایل و اجرا نمایید.
اگر شبكه شما بدلیل سهل انگاری مشتریانتان از كار بیافتد، آنها را از دست خواهید دادو شما هم به عنوان مسئول شبكه كارتان را! لذا به دقت آسیب پذیری كلمات عبور را بررسی نمایید و اگر پس از استفاده از ابزارهای فوق موفق به كشف یك كلمه عبور شدید، دقت كنید كه چه چیزی باعث شده تا كاربر شما با نقض سیاستهای امنیتی كلمه عبور ضعیفی برای خود انتخاب نماید.
● از فایلهای حاوی كلمات عبور رمز شده بدقت محافظت كنید
آخرین و مهمترین راه حفاظت از كلمات عبور آنست كه نگذارید بهیچوجه كسی فایل آنرا در اختیار بگیرد. اگر نفوذگر نتواند فایل محتوی كلمات عبور یا بانك اطلاعاتی SAM را در اختیار بگیرد، كشف كلمات عبور از طریق استراق سمع بسیار مشكل خواهد بود.
▪ لذا :
- وقتی در محیط ویندوز دیسك بازیابی (Recovery Disk) میسازید، آنرا در جای مطمئن نگهداری كنید.
- وقتی از سرویس دهنده های مهم خود نسخه پشتیبان میگیرید، مطمئن شوید كه فقط در جایی ذخیره میشوند كه فقط خودتان به آن دسترسی دارید.
- اگر در محیط یونیكس/لینوكس كار میكنید، مطمئن شوید كه گزینه Shadow فعال است.
- اگر در محیط ویندوز كار میكنید از ابزار Syskey استفاده كنید تا قواعد سخت گیرانه تری را برایسیستم شما وضع كند.
- اگر مجبور نیستید در محیط ویندوز از workgroup پشتیبانی كنید و فقط از domain استفاده میكنید، روش احراز هویت LM را غیر فعال كنید چرا كه روش ضعیفی محسوب میشود. روش این كار را میتوانید از آدرس http://www.microsoft.com/technet/support/kb.asp?id=۱۴۷۷۰۶
▪ وقتی عمل پشتیبان گیریBackup از سیستمتان خاتمه یافت، به خاطر داشته باشید تا مجوز دسترسی به آنرا به گونه ای تنظیم نمایید كه هیچ كس حق دسترسی به آنرا ( بجز Admin) نداشته باشد.
اگر مطمئن شدید تمام موارد فوق را اجرا نموده اید، احتمال لو رفتن كلمات عبور در شبكه شما به حداقل رسیده است.