رمز عبور کلمه جادویی نیست

استفاده از رمزهای عبور, به منظور تایید کاربران و تنها حفاظ موجود بین کاربر و اطلاعات موجود روی یک کامپیوتر است

استفاده از رمزهای عبور، به منظور تایید کاربران و تنها حفاظ موجود بین کاربر و اطلاعات موجود روی یک کامپیوتر است. مهاجمان با به کارگیری برنامه‌های متعدد نرم‌افزاری، قادر به حدس رمزهای عبور یا در اصطلاح "کراک" کردن آنان هستند. تنها با انتخاب مناسب رمزهای عبور و نگهداری ایمن آنان، امکان حدس آن‌ها مشکل و به طبع افراد غیرمجاز قادر به دستیابی اطلاعات شخصی کاربران نخواهند بود.

انسان عصر اطلاعات طی زمان حیات خود و متناسب با فعالیت‌های روزانه نیازمند استفاده از رمزهای عبور متفاوتی است. به خاطر سپردن شماره کد دستگاه موبایل، شماره کد دستگاه‌های متفاوتی مانند دستگاهای ATM برای دریافت پول، شماره کد لازم به منظور ورود به یک سیستم کامپیوتری، شماره کد مربوط به برنامه‌های کامپیوتری نظیر برنامه‌های پست الکترونیکی، امضای دیجیتالی درون یک بانک آنلاین یا فروشگاه‌های مجازی و موارد بسیار دیگر، نمونه‌هایی در این زمینه است. نگهداری این همه عدد، حرف و شاید هم ترکیب آنان، کاربران را مستاصل و نگران می‌کند، زیرا مهاجمان با آگاهی از رمز عبور آن‌ها قادر به برنامه‌ریزی یک تهاجم بزرگ و دستیابی به اطلاعات کاربران هستند.

یکی از بهترین روش‌های حفاظت از اطلاعات، حصول اطمینان از این موضوع است که فقط افراد مجاز قادر به دستیابی به اطلاعات هستند. فرآیند تایید هویت و اعتبار کاربران در دنیای سایبر شرایط و ویژگی‌های خاص خود را دارد و شاید بتوان این گفت این موضوع به مراتب پیچیده‌تر از دنیای غیرسایبر است. استفاده از رمزهای عبور یکی از متداول‌ترین روش‌های موجود در خصوص تایید افراد است. در صورتی که کاربر رمزهای عبور را به درستی انتخاب یا از آنان به درستی مراقبت نکند، به طور قطع پتانسیل فوق جایگاه و کارآیی واقعی خود را از دست خواهد داد. تعداد زیادی از سیستم‌ها و سرویس‌ها فقط به دلیل ایمن نبودن رمزهای عبور با مشکل مواجه می‌شوند و برخی از ویرو‌س‌ها و کر‌م‌ها با حدس و تشخیص رمزهای عبور ضعیف، توانسته‌اند به اهداف مخرب خود دست یابند.

● انتخاب رمز عبور خوب

بیشتر افراد از رمزهای عبوری استفاده می‌کنند که مبتنی بر اطلاعات شخصی آنان است، زیرا به خاطر سپردن این نوع رمزهای عبور برای آنان ساده‌تر است. بدیهی است به همان نسبت، مهاجمان نیز با سادگی بیشتری قادر به تشخیص و کراک کردن رمزهای عبور خواهند بود. برای نمونه، یک رمز عبور چهار حرفی را در نظر بگیرید. ممکن است این عدد با تاریخ تولد شما ارتباط داشته یا چهار شماره آخر شماره دانشجویی یا کارمندی و شماره تلفن باشد. این نوع رمزهای عبور دارای استعداد لازم برای حمله‌هایی از نوع "دیکشنری"، هستند. مهاجمان در این نوع حمله‌ها با توجه به کلمات موجود در دیکشنری، سعی در حدس و تشخیص رمزهای عبور می‌کنند.

با اینکه تایپ نادرست برخی کلمات مانند daytt در مقابل استفاده از date ممکن است در مقابل حمله‌های از نوع دیکشنری مقاومت بیشتری داشته باشد، یک روش مناسب دیگر می‌تواند شامل استفاده از مجموعه‌ای کلمات و به کارگیری روش‌هایی خاص به منظور افزایش قدرت به خاطر سپردن اطلاعات در حافظه باشد. برای مثال، در مقابل رمز عبور "hoops"، از "IITpbb"، استفاده کنید. (بر گرفته شده از کلمات عبارت: I Like To Play Basketball ). استفاده از حروف بزرگ و کوچک و ترکیب آن‌ها با یکدیگر نیز می‌تواند ضریب مقاومت رمزهای عبور را در مقابل حمله‌های از نوع "دیکشنری" تا اندازه‌ای افزایش دهد. به منظور افزایش ضریب مقاومت رمزهای عبور، باید از رمزهای عبور پیچیده‌ای استفاده کرد که از ترکیب اعداد، حروف الفبایی و حروف ویژه، ایجاد شده باشند.

پس از تعریف یک رمز عبور مناسب، برخی از کاربران از آن به منظور دستیابی به هر سیستم یا برنامه‌های نرم‌افزاری استفاده می‌کنند. (کلید جادویی!) این نوع از کاربران باید به این نکته توجه کنند که در صورتی که یک مهاجم رمز عبور آن‌ها را حدس بزند و تشخیص دهد، به تمامی سیستم‌هایی که با این رمز عبور کار می‌کنند، دست می‌یابد.

برای تعریف رمز عبور پیشنهاد می‌شود:

۱) عدم استفاده از رمزهای عبوری که مبتنی بر اطلاعات شخصی هستند. این نوع رمزهای عبور به سادگی حدس و تشخیص داده می‌شوند.

۲) عدم استفاده از کلماتی که می‌توان آن‌ها را در هر دیکشنری یا زبانی پیدا کرد.

۳) پیاده‌سازی یک سیستم و روش خاص به منظور به خاطر سپردن رمزهای عبور پیچیده

۴) استفاده از حروف بزرگ و کوچک در زمان تعریف رمز عبور

۵) استفاده از ترکیب حروف، اعداد و حروف ویژه

۶) استفاده از رمزهای عبور متفاوت برای سیستم‌های متفاوت

اما پس از انتخاب یک رمز عبور که امکان حدس و تشخیص آن مشکل است، باید تمهیدات لازم در خصوص نگهداری آن‌ها پیش‌بینی شود. به همین دلیل:

۱) از دادن رمز عبور خود به سایر افراد جدا اجتناب کنید.

۲) از نوشتن رمز عبور روی کاغذ و گذاشتن آن روی میز محل کار، نزدیک کامپیوتر یا چسباندن آن روی کامپیوتر، خودداری کنید. افرادی که امکان دستیابی فیزیکی به محل کار شما را داشته باشند، به راحتی قادر به تشخیص رمز عبور شما خواهند بود.

۳) هرگز به خواسته افرادی ‌که (مهاجمان) از طریق نامه یا عضویت از شما درخواست رمز عبور می‌کنند، توجه نکنید.

۴) در صورتی که مرکز ارایه‌دهنده خدمات اینترنت شما، انتخاب سیستم تایید را بر عهده شما گذاشته است، سعی کنید یکی از گزینه‌های Kerberos، challenge/response یا public key encryption را در مقابل رمزهای عبور ساده، انتخاب کنید.

۵) تعداد زیادی از برنامه‌ها امکان به خاطر سپردن رمزهای عبور را ارایه می‌کنند. برخی از این برنامه‌ها دارای سطوح مناسب امنیتی به منظور حفاظت از اطلاعات نیستند. برخی برنامه‌ها نظیر برنامه‌های سرویس گیرنده پست الکترونیکی، اطلاعات را به صورت متن (غیر رمز شده) در یک فایل روی کامپیوتر ذخیره می‌کنند. این به آن معنی است که افرادی که به کامپیوتر شما دستیابی دارند، قادر به کشف تمامی رمزهای عبور و دستیابی به اطلاعات شما خواهند بود. به همین دلیل، همواره به خاطر داشته باشید زمانی که از یک کامپیوتر عمومی (در کتابخانه، کافی‌نت یا یک کامپیوتر مشترک در اداره)، استفاده می‌کنید، عملیات logout را انجام دهید. برخی از برنامه‌ها از یک مدل رمزنگاری مناسب به منظور حفاظت اطلاعات استفاده می‌کنند‌. این نوع برنامه‌ها ممکن است دارای امکانات ارزشمندی به منظور مدیریت رمزهای عبور باشند.