روشهای حفاظت از كلمات عبور
سیستم عامل را طوری پیكربندی نمایید كه كلمات عبور كوتاه تر از حد معین را اصلا قبول نكند (مثلا 9 كاراكتر).
◄در صورت امكان قبل از پذیرش كلمه عبور از كاربر ، كلمه انتخابی در یك فرهنگ لغت جستجو شده و در صورت وجود پذیرفته نشود.
√ كاربران مجبور باشند در كلمه عبور خود حداقل از 2 یا 3 كاراكتر غیر الفبایی استفاده نمایند.
◄برای كلمات عبور طول عمر در نظر گرفته شود و سیستم عامل را طوری تنظیم نمایید تا پس از انقضای طول عمر كلمه عبور حساب كاربر قفل نموده و كاربرمجبور به تعویض كلمه عبور باشد و در آینده نیز نتواند به هیچ وجه از آن كلمه عبوراستفاده نماید. توصیه میشود كلمات عبور طول عمر حدود 30 تا 90 روز داشته باشند و پساز آن كاربر مجبور به تعویض آن باشد. اگر مدت زمان انقضا بیش از حد كو تاه باشد ،كاربر مجبور به انتخاب كلمات با معنی برای جلوگیری از فراموشی خواهد شد كه این بهنوبه خود خطرناك میباشد.
◄سیاستهای انتخابی كلمات عبور را بطور آشكار وشفاف در سایت وب خود به همه كاربران اعلام نمایید و حتی كاربران بیرونی سرویس دهنده های شما نیز در صورت وجود مجبور به رعایت این موارد باشند.
آگاهی كاربران:
با توجه به آنكه در محیطهای شلوغ و پركاربر نمی توان تمام كلمات عبورانتخابی آنان را بررسی نمود و آنها نیز میتوانند به نحوی از قواعد تعیین شده شما به روشهای صوری بگریزند، لذا سعی كنید با هشدارهای امنیتی و توضیح كافی، ذهن كاربر رابا خطراتی كه آنها را تهدید میكند، آشنا نمایید. بعنوان مثال ممكن است یك كاربربرای راحتی خود و همچنین برآورده كردن قواعد امنیتی شما كلمه عبور apple1234 راانتخاب نماید كه خطرناك خواهد بود.
استفاده از برنامه های مولد كلمه عبور:
در هنگامی كه كاربر میخواهد كلمه عبور انتخاب نماید، برای انتخاب یك كلمه عبور خوب و محكم، مردد خواهد ماند زیرا او به این می اندیشد كه یك كلمه عبور سخت راچگونه میتوان به خاطر سپرد به گونه ای كه نیاز به نوشتن آن روی كاغذ نباشد! آنها رابه نحو مناسب راهنمایی كنید. پیدا كردن چنین كلمات عبوری چندان سخت هم نیست. مثلاآیا به نظر شما كلمه عبور "Jsrb,Ayhat7" بقدر كافی طولانی و مناسب نیست؟ به نظرمیرسد كه این كلمه عبور به اندازه كافی و محكم است و به خاطر سپردن آن هم چندان دشوار نیست چرا كه این كلمه عبور حروف نخست جمله "Just sit right back , And you hear a tale" است. كاربر میتواند یك جمله مانند بالا در ذهن خود در نظر بگیرد وكلمه ای از آن بدست آورده و چند علامت و رقم به آن بیافزاید. فقط كاربران شما نبایداز یك جمله نمادین مثل بالا استفاده نمایند بلكه باید از آنها بخواهید تا متنوع فكركنند!
میتوانید از برنامه هایی استفاده كنید كه كلمه های عبور بی معنی به كاربر پیشنهاد میدهد ولی راه به خاطر سپردن آن را نیز آموزش میدهد.
برای فارسی زبانها این امر ساده است زیرا كه اولا فرهنگ لغت فارسی كه به انگلیسی تایپ شده باشد وجود ندارد (فعلا) ثانیا آنها میتوانند به یك بیت شعر یا ضرب المثل و یاجمله به یاد ماندنی فكر كنند و ابتدای كلمات آنرا به انگلیسی نوشته و كلمه عبور خودقرار دهند.
استفاده از نرم افزارهای غربال كننده كلمات عبور ضعیف:
بایدبه هر ترتیب مطمئن شوید كه كاربران كلمات عبور ضعیف انتخاب نكرده اند. با توجه به اینكه شما قادر نخواهید بود تمام كلمات عبور و تغییراتی كه كاربران میتوانند دركلمه عبور خود بدهند بررسی كنید، لذا به یك ابزار خودكار نرم افزاری نیاز خواهیدداشت. این ابزار بر روی سرویس دهنده های شما كه نیاز به كلمه عبور دارند نصب میشوند. سپس شما قواعد و سیاستهای امنیتی خود را با تنظیم گزینه های آنها تعیین می نمایید. از این به بعد بررسی كلمات عبوری كه كاربران انتخاب میكنند به عهده این ابزارها خواهد بود. این ابزارها برای محیط یونیكس و ویندوز به رایگان قابل دسترسیاست.
- ابزارهای یونیكس :
Npasswd كه از آدرس ftp://ftp.cc.utexas.edu/pub/npasswd قابل تهیه است.
Passwd پلاس كه از آدرس ftp://ftp.darthmouth.edu/pub/security قابل تهیه است.
- ابزارهایویندوز:
PassProp این برنامه توسط مایكروسافت تهیه شده و در در بسته قابلخریداری Win NT Server Resource Kit Supplement 4 موجود است.
PassFilt.dll این برنامه هم متعلق به مایكروسافت و در در دیسك فشرده Service Pack2 ویندوز 2000موجود است.
Password Guardian این برنامه رایگان از آدرس http://www.geogiasoftwork.com قابل تهیه است.
Strongpass یك برنامه رایگان قابل تهیه از : http://www.geogiasoftwork.com
Fast Lane یك برنامه رایگان موجود در : http://www.fastlanetech.com
در صورت امكان از روشهای احراز هویت بدون استفاده از كلمات عبور استفاده كنید
بدلیل اینكه حتی با رعایت نكات ایمنی ممكن است ابزارهای شكننده كلمات عبور بتوانند یك كلمه عبور را كشف كنند، بهتر استدر صورت حساسیت زیاد اطلاعات از مكانیسم های پیچیده احراز هویت مانند Smart Card وسیستم های بیومتریك استفاده كنید.
ابزارهای شكننده كلمات عبور را گاهی علیه خود بكار ببرید:
برای اطمینان نهایی از عدم آسیب پذیری كلمات عبور، هر از چندگاهی ابزارهای شكننده كلمات عبور را اجرا كرده و بر علیه سیستم خود بكار ببرید. البته باید آنرا در محیطی امن و خارج از شبكه و روی یك سیستم مجزا بكار بگیرید تاشبكه شما دچار اختلال نشود.
ابزار John (یك شكننده كلمه عبور) ابزاری رایگان است كه كد منبع آن نیز ارائه میشود. اگر به هیچ نرم افزاری از نظر امنیتی اطمینان ندارید میتوانید كدهای منبع آن را دریافت نموده و آنرا كامپایل و اجرانمایید.
اگر شبكه شما بدلیل سهل انگاری مشتریانتان از كار بیافتد، آنها رااز دست خواهید دادو شما هم به عنوان مسئول شبكه كارتان را! لذا به دقت آسیب پذیری كلمات عبور را بررسی نمایید و اگر پس از استفاده از ابزارهای فوق موفق به كشف یك كلمه عبور شدید، دقت كنید كه چه چیزی باعث شده تا كاربر شما با نقض سیاستهای امنیت یكلمه عبور ضعیفی برای خود انتخاب نماید.
از فایلهای حاوی كلمات عبور رمز شده بدقت محافظت كنید
آخرین و مهمترین راه حفاظت از كلمات عبور آنست كه نگذاریدبهیچ وجه كسی فایل آنرا در اختیار بگیرد. اگر نفوذگر نتواند فایل محتوی كلمات عبوریا بانك اطلاعاتی SAM را در اختیار بگیرد، كشف كلمات عبور از طریق استراق سمع بسیارمشكل خواهد بود. لذا :
-وقتی در محیط ویندوز دیسك بازیابی(Recovery Disk) میسازید، آنرا در جای مطمئن نگهداری كنید.
-وقتی از سرویس دهنده های مهم خودنسخه پشتیبان میگیرید، مطمئن شوید كه فقط در جایی ذخیره میشوند كه فقط خودتان به آن دسترسی دارید.
-اگر در محیط یونیكس/لینوكس كار میكنید، مطمئن شوید كه گزینه Shadow فعال است.
-اگر در محیط ویندوز كار میكنید از ابزار Syskey استفاده كنیدتا قواعد سخت گیرانه تری را برایسیستم شما وضع كند.
-اگر مجبور نیستید در محیط ویندوز از workgroup پشتیبانی كنید و فقط از domain استفاده میكنید، روش احراز هویت LM را غیر فعال كنید چرا كه روش ضعیفی محسوب میشود. روش این كار را میتوانید ازآدرس http://www.microsoft.com/technet/support/kb.asp?id=147706
◄وقتی عمل پشتیبان گیریBackup از سیستمتان خاتمه یافت، به خاطر داشته باشید تا مجوز دسترسی به آنرا به گونه ای تنظیم نمایید كه هیچ كس حق دسترسی به آنرا ( بجز Admin) نداشتهباشد.
اگر مطمئن شدید تمام موارد فوق را اجرا نموده اید، احتمال لو رفتن كلمات عبور در شبكه شما به حداقل رسیده است.
◄در صورت امكان قبل از پذیرش كلمه عبور از كاربر ، كلمه انتخابی در یك فرهنگ لغت جستجو شده و در صورت وجود پذیرفته نشود.
√ كاربران مجبور باشند در كلمه عبور خود حداقل از 2 یا 3 كاراكتر غیر الفبایی استفاده نمایند.
◄برای كلمات عبور طول عمر در نظر گرفته شود و سیستم عامل را طوری تنظیم نمایید تا پس از انقضای طول عمر كلمه عبور حساب كاربر قفل نموده و كاربرمجبور به تعویض كلمه عبور باشد و در آینده نیز نتواند به هیچ وجه از آن كلمه عبوراستفاده نماید. توصیه میشود كلمات عبور طول عمر حدود 30 تا 90 روز داشته باشند و پساز آن كاربر مجبور به تعویض آن باشد. اگر مدت زمان انقضا بیش از حد كو تاه باشد ،كاربر مجبور به انتخاب كلمات با معنی برای جلوگیری از فراموشی خواهد شد كه این بهنوبه خود خطرناك میباشد.
◄سیاستهای انتخابی كلمات عبور را بطور آشكار وشفاف در سایت وب خود به همه كاربران اعلام نمایید و حتی كاربران بیرونی سرویس دهنده های شما نیز در صورت وجود مجبور به رعایت این موارد باشند.
آگاهی كاربران:
با توجه به آنكه در محیطهای شلوغ و پركاربر نمی توان تمام كلمات عبورانتخابی آنان را بررسی نمود و آنها نیز میتوانند به نحوی از قواعد تعیین شده شما به روشهای صوری بگریزند، لذا سعی كنید با هشدارهای امنیتی و توضیح كافی، ذهن كاربر رابا خطراتی كه آنها را تهدید میكند، آشنا نمایید. بعنوان مثال ممكن است یك كاربربرای راحتی خود و همچنین برآورده كردن قواعد امنیتی شما كلمه عبور apple1234 راانتخاب نماید كه خطرناك خواهد بود.
استفاده از برنامه های مولد كلمه عبور:
در هنگامی كه كاربر میخواهد كلمه عبور انتخاب نماید، برای انتخاب یك كلمه عبور خوب و محكم، مردد خواهد ماند زیرا او به این می اندیشد كه یك كلمه عبور سخت راچگونه میتوان به خاطر سپرد به گونه ای كه نیاز به نوشتن آن روی كاغذ نباشد! آنها رابه نحو مناسب راهنمایی كنید. پیدا كردن چنین كلمات عبوری چندان سخت هم نیست. مثلاآیا به نظر شما كلمه عبور "Jsrb,Ayhat7" بقدر كافی طولانی و مناسب نیست؟ به نظرمیرسد كه این كلمه عبور به اندازه كافی و محكم است و به خاطر سپردن آن هم چندان دشوار نیست چرا كه این كلمه عبور حروف نخست جمله "Just sit right back , And you hear a tale" است. كاربر میتواند یك جمله مانند بالا در ذهن خود در نظر بگیرد وكلمه ای از آن بدست آورده و چند علامت و رقم به آن بیافزاید. فقط كاربران شما نبایداز یك جمله نمادین مثل بالا استفاده نمایند بلكه باید از آنها بخواهید تا متنوع فكركنند!
میتوانید از برنامه هایی استفاده كنید كه كلمه های عبور بی معنی به كاربر پیشنهاد میدهد ولی راه به خاطر سپردن آن را نیز آموزش میدهد.
برای فارسی زبانها این امر ساده است زیرا كه اولا فرهنگ لغت فارسی كه به انگلیسی تایپ شده باشد وجود ندارد (فعلا) ثانیا آنها میتوانند به یك بیت شعر یا ضرب المثل و یاجمله به یاد ماندنی فكر كنند و ابتدای كلمات آنرا به انگلیسی نوشته و كلمه عبور خودقرار دهند.
استفاده از نرم افزارهای غربال كننده كلمات عبور ضعیف:
بایدبه هر ترتیب مطمئن شوید كه كاربران كلمات عبور ضعیف انتخاب نكرده اند. با توجه به اینكه شما قادر نخواهید بود تمام كلمات عبور و تغییراتی كه كاربران میتوانند دركلمه عبور خود بدهند بررسی كنید، لذا به یك ابزار خودكار نرم افزاری نیاز خواهیدداشت. این ابزار بر روی سرویس دهنده های شما كه نیاز به كلمه عبور دارند نصب میشوند. سپس شما قواعد و سیاستهای امنیتی خود را با تنظیم گزینه های آنها تعیین می نمایید. از این به بعد بررسی كلمات عبوری كه كاربران انتخاب میكنند به عهده این ابزارها خواهد بود. این ابزارها برای محیط یونیكس و ویندوز به رایگان قابل دسترسیاست.
- ابزارهای یونیكس :
Npasswd كه از آدرس ftp://ftp.cc.utexas.edu/pub/npasswd قابل تهیه است.
Passwd پلاس كه از آدرس ftp://ftp.darthmouth.edu/pub/security قابل تهیه است.
- ابزارهایویندوز:
PassProp این برنامه توسط مایكروسافت تهیه شده و در در بسته قابلخریداری Win NT Server Resource Kit Supplement 4 موجود است.
PassFilt.dll این برنامه هم متعلق به مایكروسافت و در در دیسك فشرده Service Pack2 ویندوز 2000موجود است.
Password Guardian این برنامه رایگان از آدرس http://www.geogiasoftwork.com قابل تهیه است.
Strongpass یك برنامه رایگان قابل تهیه از : http://www.geogiasoftwork.com
Fast Lane یك برنامه رایگان موجود در : http://www.fastlanetech.com
در صورت امكان از روشهای احراز هویت بدون استفاده از كلمات عبور استفاده كنید
بدلیل اینكه حتی با رعایت نكات ایمنی ممكن است ابزارهای شكننده كلمات عبور بتوانند یك كلمه عبور را كشف كنند، بهتر استدر صورت حساسیت زیاد اطلاعات از مكانیسم های پیچیده احراز هویت مانند Smart Card وسیستم های بیومتریك استفاده كنید.
ابزارهای شكننده كلمات عبور را گاهی علیه خود بكار ببرید:
برای اطمینان نهایی از عدم آسیب پذیری كلمات عبور، هر از چندگاهی ابزارهای شكننده كلمات عبور را اجرا كرده و بر علیه سیستم خود بكار ببرید. البته باید آنرا در محیطی امن و خارج از شبكه و روی یك سیستم مجزا بكار بگیرید تاشبكه شما دچار اختلال نشود.
ابزار John (یك شكننده كلمه عبور) ابزاری رایگان است كه كد منبع آن نیز ارائه میشود. اگر به هیچ نرم افزاری از نظر امنیتی اطمینان ندارید میتوانید كدهای منبع آن را دریافت نموده و آنرا كامپایل و اجرانمایید.
اگر شبكه شما بدلیل سهل انگاری مشتریانتان از كار بیافتد، آنها رااز دست خواهید دادو شما هم به عنوان مسئول شبكه كارتان را! لذا به دقت آسیب پذیری كلمات عبور را بررسی نمایید و اگر پس از استفاده از ابزارهای فوق موفق به كشف یك كلمه عبور شدید، دقت كنید كه چه چیزی باعث شده تا كاربر شما با نقض سیاستهای امنیت یكلمه عبور ضعیفی برای خود انتخاب نماید.
از فایلهای حاوی كلمات عبور رمز شده بدقت محافظت كنید
آخرین و مهمترین راه حفاظت از كلمات عبور آنست كه نگذاریدبهیچ وجه كسی فایل آنرا در اختیار بگیرد. اگر نفوذگر نتواند فایل محتوی كلمات عبوریا بانك اطلاعاتی SAM را در اختیار بگیرد، كشف كلمات عبور از طریق استراق سمع بسیارمشكل خواهد بود. لذا :
-وقتی در محیط ویندوز دیسك بازیابی(Recovery Disk) میسازید، آنرا در جای مطمئن نگهداری كنید.
-وقتی از سرویس دهنده های مهم خودنسخه پشتیبان میگیرید، مطمئن شوید كه فقط در جایی ذخیره میشوند كه فقط خودتان به آن دسترسی دارید.
-اگر در محیط یونیكس/لینوكس كار میكنید، مطمئن شوید كه گزینه Shadow فعال است.
-اگر در محیط ویندوز كار میكنید از ابزار Syskey استفاده كنیدتا قواعد سخت گیرانه تری را برایسیستم شما وضع كند.
-اگر مجبور نیستید در محیط ویندوز از workgroup پشتیبانی كنید و فقط از domain استفاده میكنید، روش احراز هویت LM را غیر فعال كنید چرا كه روش ضعیفی محسوب میشود. روش این كار را میتوانید ازآدرس http://www.microsoft.com/technet/support/kb.asp?id=147706
◄وقتی عمل پشتیبان گیریBackup از سیستمتان خاتمه یافت، به خاطر داشته باشید تا مجوز دسترسی به آنرا به گونه ای تنظیم نمایید كه هیچ كس حق دسترسی به آنرا ( بجز Admin) نداشتهباشد.
اگر مطمئن شدید تمام موارد فوق را اجرا نموده اید، احتمال لو رفتن كلمات عبور در شبكه شما به حداقل رسیده است.
+ نوشته شده در دوشنبه بیست و هشتم اردیبهشت ۱۳۸۸ ساعت توسط علی
|