روشهای حفاظت از کلمات عبور امنیت

حفاظت از کلمات عبور موجود در شبکه از مهمترین اصول حفظ امنیت یک شبکه می باشد. شما به عنوان یک مسئول حساس و دقیق شبکه باید با اجرای سیاستهای قوی و محکم از کلمات عبور محافظت نموده و مانع از فاش شدن آن شوید. مانند :
۱) سیستم عامل را طوری پیکربندی نمایید که کلمات عبور کوتاه تر از حد معین را اصلا قبول نکند (مثلا ۹ کاراکتر).
۲) در صورت امکان قبل از پذیرش کلمه عبور از کاربر ، کلمه انتخابی در یک فرهنگ لغت جستجو شده و در صورت وجود پذیرفته نشود.
۳) کاربران مجبور باشند در کلمه عبور خود حداقل از ۲ یا ۳ کاراکتر غیر الفبایی استفاده نمایند.
۴) برای کلمات عبور طول عمر در نظر گرفته شود و سیستم عامل را طوری تنظیم نمایید تا پس از انقضای طول عمر کلمه عبور حساب کاربر قفل نموده و کاربر مجبور به تعویض کلمه عبور باشد و در آینده نیز نتواند به هیچ وجه از آن کلمه عبور استفاده نماید. توصیه می شود کلمات عبور طول عمر حدود ۳۰ تا ۹۰ روز داشته باشند و پس از آن کاربر مجبور به تعویض آن باشد. اگر مدت زمان انقضا بیش از حد باشد ، کاربر مجبور به انتخاب کلمات با معنی برای جلوگیری از فراموشی خواهد شد که این به نوبه خود خطرناک می باشد.
۵) سیاستهای انتخابی کلمات عبور را بطور آشکار و شفاف در وب سایت خود به همه کاربران اعلام نمایید و حتی کاربران بیرونی سرویس دهنده های شما نیز در صورت وجود مجبور به رعایت این موارد باشند.
● آگاهی کاربران:
با توجه به آنکه در محیطهای شلوغ و پرکاربر نمی توان تمام کلمات عبور انتخابی آنان را بررسی نمود و آنها نیز می توانند به نحوی از قواعد تعیین شده شما به روشهای صوری بگریزند، لذا سعی کنید با هشدارهای امنیتی و توضیح کافی، ذهن کاربر را با خطراتی که آنها را تهدید می کند، آشنا نمایید. بعنوان مثال ممکن است یک کاربر برای راحتی خود و همچنین برآورده کردن قواعد امنیتی شما کلمه عبور apple۱۲۳۴ را انتخاب نماید که خطرناک خواهد بود.
● استفاده از برنامه های مولد کلمه عبور:
در هنگامی که کاربر می خواهد کلمه عبور انتخاب نماید، برای انتخاب یک کلمه عبور خوب و محکم، مردد خواهد ماند زیرا او به این می اندیشد که یک کلمه عبور سخت را چگونه می توان به خاطر سپرد به گونه ای که نیاز به نوشتن آن روی کاغذ نباشد! آنها را به نحو مناسب راهنمایی کنید. پیدا کردن چنین کلمات عبوری چندان سخت هم نیست. مثلا آیا به نظر شما کلمه عبور "Jsrb,Ayhat۷" بقدر کافی طولانی و مناسب نیست؟ به نظر می رسد که این کلمه عبور به اندازه کافی و محکم است و به خاطر سپردن آن هم چندان دشوار نیست چرا که این کلمه عبور حروف نخست جمله "Just sit right back , And you hear a tale" است. کاربر می تواند یک جمله مانند بالا در ذهن خود در نظر بگیرد و کلمه ای از آن بدست آورده و چند علامت و رقم به آن بیافزاید. فقط کاربران شما نباید از یک جمله نمادین مثل بالا استفاده نمایند بلکه باید از آنها بخواهید تا متنوع فکر کنند!
می توانید از برنامه هایی استفاده کنید که کلمه های عبور بی معنی به کاربر پیشنهاد می دهد ولی راه به خاطر سپردن آن را نیز آموزش می دهد.
برای فارسی زبانها این امر ساده است زیرا که اولا فرهنگ لغت فارسی که به انگلیسی تایپ شده باشد وجود ندارد (فعلا) ثانیا آنها می توانند به یک بیت شعر یا ضرب المثل و یا جمله به یاد ماندنی فکر کنند و ابتدای کلمات آنرا به انگلیسی نوشته و کلمه عبور خود قرار دهند.
● استفاده از نرم افزارهای غربال کننده کلمات عبور ضعیف:
باید به هر ترتیب مطمئن شوید که کاربران کلمات عبور ضعیف انتخاب نکرده اند. با توجه به اینکه شما قادر نخواهید بود تمام کلمات عبور و تغییراتی که کاربران می توانند در کلمه عبور خود بدهند بررسی کنید، لذا به یک ابزار خودکار نرم افزاری نیاز خواهید داشت. این ابزار بر روی سرویس دهنده های شما که نیاز به کلمه عبور دارند نصب می شوند. سپس شما قواعد و سیاستهای امنیتی خود را با تنظیم گزینه های آنها تعیین می نمایید. از این به بعد بررسی کلمات عبوری که کاربران انتخاب می کنند به عهده این ابزارها خواهد بود. این ابزارها برای محیط یونیکس و ویندوز به رایگان قابل دسترسی است.
● ابزارهای یونیکس :
Npasswd که از آدرس ftp://ftp.cc.utexas.edu/pub/npasswd قابل تهیه است.
Passwd پلاس که از آدرس ftp://ftp.darthmouth.edu/pub/security قابل تهیه است.
● ابزارهای ویندوز:
PassProp این برنامه توسط مایکروسافت تهیه شده و در در بسته قابل خریداری Win NT Server Resource Kit Supplement ۴ موجود است.
PassFilt.dll این برنامه هم متعلق به مایکروسافت و در در دیسک فشرده Service Pack۲ ویندوز ۲۰۰۰ موجود است.
Password Guardian این برنامه رایگان از آدرس http://www.geogiasoftwork.com قابل تهیه است.
Strongpass یک برنامه رایگان قابل تهیه از : http://www.geogiasoftwork.com
Fast Lane یک برنامه رایگان موجود در : http://www.fastlanetech.com
در صورت امکان از روشهای احراز هویت بدون استفاده از کلمات عبور استفاده کنید:
بدلیل اینکه حتی با رعایت نکات ایمنی ممکن است ابزارهای شکننده کلمات عبور بتوانند یک کلمه عبور را کشف کنند، بهتر است در صورت حساسیت زیاد اطلاعات از مکانیسمهای پیچیده احراز هویت مانند Smart Card و سیستم های بیومتریک استفاده کنید.
ابزارهای شکننده کلمات عبور را گاهی علیه خود بکار ببرید:
برای اطمینان نهایی از عدم آسیب پذیری کلمات عبور، هر از چند گاهی ابزارهای شکننده کلمات عبور را اجرا کرده و بر علیه سیستم خود بکار ببرید. البته باید آنرا در محیطی امن و خارج از شبکه و روی یک سیستم مجزا بکار بگیرید تا شبکه شما دچار اختلال نشود.
ابزار John (یک شکننده کلمه عبور) ابزاری رایگان است که کد منبع آن نیز ارائه می شود. اگر به هیچ نرم افزاری از نظر امنیتی اطمینان ندارید می توانید کدهای منبع آن را دریافت نموده و آنرا کامپایل و اجرا نمایید.
اگر شبکه شما بدلیل سهل انگاری مشتریانتان از کار بیافتد، آنها را از دست خواهید داد و شما هم به عنوان مسئول شبکه کارتان را...! لذا به دقت آسیب پذیری کلمات عبور را بررسی نمایید و اگر پس از استفاده از ابزارهای فوق موفق به کشف یک کلمه عبور شدید، دقت کنید که چه چیزی باعث شده تا کاربر شما با نقض سیاستهای امنیتی کلمه عبور ضعیفی برای خود انتخاب نماید.
از فایلهای حاوی کلمات عبور رمز شده بدقت محافظت کنید
● آخرین و مهمترین راه حفاظت از کلمات عبور:
آن است که نگذارید به هیچ وجه کسی فایل آنرا در اختیار بگیرد. اگر نفوذگر نتواند فایل محتوی کلمات عبور یا بانک اطلاعاتی SAM را در اختیار بگیرد، کشف کلمات عبور از طریق استراق سمع بسیار مشکل خواهد بود. لذا:
۱) وقتی در محیط ویندوز دیسک بازیابی (Recovery Disk) می سازید، آنرا در جای مطمئن نگهداری کنید.
۲) وقتی از سرویس دهنده های مهم خود نسخه پشتیبان می گیرید، مطمئن شوید که فقط در جایی ذخیره می شوند که فقط خودتان به آن دسترسی دارید.
۳) اگر در محیط یونیکس/لینوکس کار می کنید، مطمئن شوید که گزینه Shadow فعال است.
۴) اگر در محیط ویندوز کار می کنید از ابزار Syskey استفاده کنید تا قواعد سخت گیرانه تری را برای سیستم شما وضع کند.
۵) اگر مجبور نیستید در محیط ویندوز از workgroup پشتیبانی کنید و فقط از domain استفاده می کنید، روش احراز هویت LM را غیر فعال کنید چرا که روش ضعیفی محسوب می شود. روش این کار را می توانید از آدرس http://www.microsoft.com/technet/support/kb.asp?id=۱۴۷۷۰۶ هم بگیرید.
وقتی عمل پشتیبان گیریBackup از سیستم تان خاتمه یافت، به خاطر داشته باشید تا مجوز دسترسی به آنرا به گونه ای تنظیم نمایید که هیچ کس حق دسترسی به آنرا ( بجز Admin) نداشته باشد.
اگر مطمئن شدید تمام موارد فوق را اجرا نموده اید، احتمال لو رفتن کلمات عبور در شبکه شما به حداقل رسیده است.