روشهای حفاظت از كلمات عبور
سیستمعامل را طوری پیكربندی نمایید كه كلمات عبور كوتاه تر از حد معین را اصلا قبول نكند (مثلا 9 كاراكتر).
◄در صورت امكان قبل از پذیرش كلمه عبور از كاربر ، كلمهانتخابی در یك فرهنگ لغت جستجو شده و در صورت وجود پذیرفته نشود.
√ كاربرانمجبور باشند در كلمه عبور خود حداقل از 2 یا 3 كاراكتر غیر الفبایی استفادهنمایند.
◄برای كلمات عبور طول عمر در نظر گرفته شود و سیستم عامل را طوریتنظیم نمایید تا پس از انقضای طول عمر كلمه عبور حساب كاربر قفل نموده و كاربرمجبور به تعویض كلمه عبور باشد و در آینده نیز نتواند به هیچ وجه از آن كلمه عبوراستفاده نماید. توصیه میشود كلمات عبور طول عمر حدود 30 تا 90 روز داشته باشند و پساز آن كاربر مجبور به تعویض آن باشد. اگر مدت زمان انقضا بیش از حد كئتاه باشد ،كاربر مجبور به انتخاب كلمات با معنی برای جلوگیری از فراموشی خواهد شد كه این بهنوبه خود خطرناك میباشد.
◄سیاستهای انتخابی كلمات عبور را بطور آشكار وشفاف در سایت وب خود به همه كاربران اعلام نمایید و حتی كاربران بیرونی سرویس دهندههای شما نیز در صورت وجود مجبور به رعایت این موارد باشند.
آگاهیكاربران:
با توجه به آنكه در محیطهای شلوغ و پركاربر نمی توان تمام كلمات عبورانتخابی آنان را بررسی نمود و آنها نیز میتوانند به نحوی از قواعد تعیین شده شما بهروشهایصوری بگریزند، لذا سعی كنید با هشدارهای امنیتی و توضیح كافی، ذهن كاربر رابا خطراتی كه آنها را تهدید میكند، آشنا نمایید. بعنوان مثال ممكن است یك كاربربرای راحتی خود و همچنین برآورده كردن قواعد امنیتی شما كلمه عبور apple1234 راانتخاب نماید كه خطرناك خواهد بود.
استفاده از برنامه های مولد كلمهعبور:
در هنگامی كه كاربر میخواهد كلمه عبور انتخاب نماید، برای انتخاب یك كلمهعبور خوب و محكم، مردد خواهد ماند زیرا او به این می اندیشد كه یك كلمه عبور سخت راچگونه میتوان به خاطر سپرد به گونه ای كه نیاز به نوشتن آن روی كاغذ نباشد! آنها رابه نحو مناسب راهنمایی كنید. پیدا كردن چنین كلمات عبوری چندان سخت هم نیست. مثلاآیا به نظر شما كلمه عبور "Jsrb,Ayhat7" بقدر كافی طولانی و مناسب نیست؟ به نظرمیرسد كه این كلمه عبور به اندازه كافی و محكم است و به خاطر سپردن آن هم چنداندشوار نیست چرا كه این كلمه عبور حروف نخست جمله "Just sit right back , And you hear a tale" است. كاربر میتواند یك جمله مانند بالا در ذهن خود در نظر بگیرد وكلمه ای از آن بدست آورده و چند علامت و رقم به آن بیافزاید. فقط كاربران شما نبایداز یك جمله نمادین مثلبالا استفاده نمایند بلكه باید از آنها بخواهید تا متنوع فكركنند!
میتوانید از برنامه هایی استفاده كنید كه كلمه های عبور بی معنی بهكاربر پیشنهاد میدهد ولی راه به خاطر سپردن آن را نیز آموزش میدهد.
برایفارسی زبانها این امر ساده است زیرا كه اولا فرهنگ لغت فارسی كه به انگلیسی تایپشده باشد وجود ندارد (فعلا) ثانیا آنها میتوانند به یك بیت شعر یا ضرب المثل و یاجمله به یاد ماندنی فكر كنند و ابتدای كلمات آنرا به انگلیسی نوشته و كلمه عبور خودقرار دهند.
استفاده از نرم افزارهای غربال كننده كلمات عبور ضعیف:
بایدبه هر ترتیب مطمئن شوید كه كاربران كلمات عبور ضعیف انتخاب نكرده اند. با توجه بهاینكه شما قادر نخواهید بود تمام كلمات عبور و تغییراتی كه كاربران میتوانند دركلمه عبور خود بدهند بررسی كنید، لذا به یك ابزار خودكار نرم افزاری نیاز خواهیدداشت. این ابزار بر روی سرویس دهنده های شما كه نیاز به كلمه عبور دارند نصبمیشوند. سپس شما قواعد و سیاستهای امنیتی خود را با تنظیم گزینه های آنها تعیینمینمایید. از این به بعد بررسی كلمات عبوری كه كاربران انتخاب میكنند به عهده اینابزارها خواهد بود. اینابزارها برای محیط یونیكس و ویندوز به رایگان قابل دسترسیاست.
- ابزارهای یونیكس :
Npasswd كه از آدرس ftp://ftp.cc.utexas.edu/pub/npasswd قابل تهیه است.
Passwd پلاس كه از آدرس ftp://ftp.darthmouth.edu/pub/security قابل تهیه است.
- ابزارهایویندوز:
PassProp این برنامه توسط مایكروسافت تهیه شده و در در بسته قابلخریداری Win NT Server Resource Kit Supplement 4 موجود است.
PassFilt.dll این برنامه هم متعلق به مایكروسافت و در در دیسك فشرده Service Pack2 ویندوز 2000موجود است.
Password Guardian این برنامه رایگان از آدرس http://www.geogiasoftwork.com قابل تهیه است.
Strongpass یك برنامه رایگانقابل تهیه از : http://www.geogiasoftwork.com
Fast Lane یك برنامه رایگانموجود در : http://www.fastlanetech.com
در صورت امكان از روشهای احراز هویتبدون استفاده از كلمات عبور استفاده كنید
بدلیل اینكه حتی با رعایت نكات ایمنیممكن است ابزارهای شكننده كلمات عبور بتوانند یك كلمه عبور را كشف كنند، بهتر استدر صورت حساسیت زیاد اطلاعات از مكانیسمهای پیچیده احراز هویت مانند Smart Card وسیستم های بیومتریك استفاده كنید.
ابزارهای شكننده كلمات عبور را گاهی علیهخود بكار ببرید:
برای اطمینان نهایی از عدم آسیب پذیری كلمات عبور، هر از چندگاهی ابزارهای شكننده كلمات عبور را اجرا كرده و بر علیه سیستم خود بكار ببرید. البته باید آنرا در محیطی امن و خارج از شبكه و روی یك سیستم مجزا بكار بگیرید تاشبكه شما دچار اختلال نشود.
ابزار John (یك شكننده كلمه عبور) ابزاری رایگاناست كه كد منبع آن نیز ارائه میشود. اگر به هیچ نرم افزاری از نظر امنیتی اطمینانندارید میتوانید كدهای منبع آن را دریافت نموده و آنرا كامپایل و اجرانمایید.
اگر شبكه شما بدلیل سهل انگاری مشتریانتان از كار بیافتد، آنها رااز دست خواهید دادو شما هم به عنوان مسئول شبكه كارتان را! لذا به دقت آسیب پذیریكلمات عبور را بررسی نمایید و اگر پس از استفاده از ابزارهای فوق موفق به كشف یككلمه عبور شدید، دقت كنید كه چه چیزی باعث شده تا كاربر شما با نقض سیاستهای امنیتیكلمه عبور ضعیفی برای خود انتخاب نماید.
از فایلهای حاوی كلمات عبور رمز شدهبدقت محافظت كنید
آخرین و مهمترین راه حفاظت از كلمات عبور آنست كه نگذاریدبهیچوجه كسی فایل آنرا در اختیار بگیرد. اگر نفوذگر نتواند فایل محتوی كلمات عبوریا بانك اطلاعاتی SAM را در اختیار بگیرد، كشف كلمات عبور از طریق استراق سمع بسیارمشكل خواهد بود. لذا :
-وقتی در محیط ویندوز دیسك بازیابی(Recovery Disk) میسازید، آنرا در جای مطمئن نگهداری كنید.
-وقتی از سرویس دهنده های مهم خودنسخه پشتیبان میگیرید، مطمئن شوید كه فقط در جایی ذخیره میشوند كه فقط خودتان به آندسترسی دارید.
-اگر در محیط یونیكس/لینوكس كار میكنید، مطمئن شوید كه گزینه Shadow فعال است.
-اگر در محیط ویندوز كار میكنید از ابزار Syskey استفاده كنیدتا قواعد سخت گیرانه تری را برایسیستم شما وضع كند.
-اگر مجبور نیستید در محیطویندوز از workgroup پشتیبانی كنید و فقط از domain استفاده میكنید، روش احراز هویت LM را غیر فعال كنید چرا كه روش ضعیفی محسوب میشود. روش این كار را میتوانید ازآدرس http://www.microsoft.com/technet/support/kb.asp?id=147706
◄وقتی عملپشتیبان گیریBackup از سیستمتان خاتمه یافت، به خاطر داشته باشید تا مجوز دسترسی بهآنرا به گونه ای تنظیم نمایید كه هیچ كس حق دسترسی به آنرا ( بجز Admin) نداشتهباشد.
اگر مطمئن شدید تمام موارد فوق را اجرا نموده اید، احتمال لو رفتن كلماتعبور در شبكه شما به حداقل رسیده است.
◄در صورت امكان قبل از پذیرش كلمه عبور از كاربر ، كلمهانتخابی در یك فرهنگ لغت جستجو شده و در صورت وجود پذیرفته نشود.
√ كاربرانمجبور باشند در كلمه عبور خود حداقل از 2 یا 3 كاراكتر غیر الفبایی استفادهنمایند.
◄برای كلمات عبور طول عمر در نظر گرفته شود و سیستم عامل را طوریتنظیم نمایید تا پس از انقضای طول عمر كلمه عبور حساب كاربر قفل نموده و كاربرمجبور به تعویض كلمه عبور باشد و در آینده نیز نتواند به هیچ وجه از آن كلمه عبوراستفاده نماید. توصیه میشود كلمات عبور طول عمر حدود 30 تا 90 روز داشته باشند و پساز آن كاربر مجبور به تعویض آن باشد. اگر مدت زمان انقضا بیش از حد كئتاه باشد ،كاربر مجبور به انتخاب كلمات با معنی برای جلوگیری از فراموشی خواهد شد كه این بهنوبه خود خطرناك میباشد.
◄سیاستهای انتخابی كلمات عبور را بطور آشكار وشفاف در سایت وب خود به همه كاربران اعلام نمایید و حتی كاربران بیرونی سرویس دهندههای شما نیز در صورت وجود مجبور به رعایت این موارد باشند.
آگاهیكاربران:
با توجه به آنكه در محیطهای شلوغ و پركاربر نمی توان تمام كلمات عبورانتخابی آنان را بررسی نمود و آنها نیز میتوانند به نحوی از قواعد تعیین شده شما بهروشهایصوری بگریزند، لذا سعی كنید با هشدارهای امنیتی و توضیح كافی، ذهن كاربر رابا خطراتی كه آنها را تهدید میكند، آشنا نمایید. بعنوان مثال ممكن است یك كاربربرای راحتی خود و همچنین برآورده كردن قواعد امنیتی شما كلمه عبور apple1234 راانتخاب نماید كه خطرناك خواهد بود.
استفاده از برنامه های مولد كلمهعبور:
در هنگامی كه كاربر میخواهد كلمه عبور انتخاب نماید، برای انتخاب یك كلمهعبور خوب و محكم، مردد خواهد ماند زیرا او به این می اندیشد كه یك كلمه عبور سخت راچگونه میتوان به خاطر سپرد به گونه ای كه نیاز به نوشتن آن روی كاغذ نباشد! آنها رابه نحو مناسب راهنمایی كنید. پیدا كردن چنین كلمات عبوری چندان سخت هم نیست. مثلاآیا به نظر شما كلمه عبور "Jsrb,Ayhat7" بقدر كافی طولانی و مناسب نیست؟ به نظرمیرسد كه این كلمه عبور به اندازه كافی و محكم است و به خاطر سپردن آن هم چنداندشوار نیست چرا كه این كلمه عبور حروف نخست جمله "Just sit right back , And you hear a tale" است. كاربر میتواند یك جمله مانند بالا در ذهن خود در نظر بگیرد وكلمه ای از آن بدست آورده و چند علامت و رقم به آن بیافزاید. فقط كاربران شما نبایداز یك جمله نمادین مثلبالا استفاده نمایند بلكه باید از آنها بخواهید تا متنوع فكركنند!
میتوانید از برنامه هایی استفاده كنید كه كلمه های عبور بی معنی بهكاربر پیشنهاد میدهد ولی راه به خاطر سپردن آن را نیز آموزش میدهد.
برایفارسی زبانها این امر ساده است زیرا كه اولا فرهنگ لغت فارسی كه به انگلیسی تایپشده باشد وجود ندارد (فعلا) ثانیا آنها میتوانند به یك بیت شعر یا ضرب المثل و یاجمله به یاد ماندنی فكر كنند و ابتدای كلمات آنرا به انگلیسی نوشته و كلمه عبور خودقرار دهند.
استفاده از نرم افزارهای غربال كننده كلمات عبور ضعیف:
بایدبه هر ترتیب مطمئن شوید كه كاربران كلمات عبور ضعیف انتخاب نكرده اند. با توجه بهاینكه شما قادر نخواهید بود تمام كلمات عبور و تغییراتی كه كاربران میتوانند دركلمه عبور خود بدهند بررسی كنید، لذا به یك ابزار خودكار نرم افزاری نیاز خواهیدداشت. این ابزار بر روی سرویس دهنده های شما كه نیاز به كلمه عبور دارند نصبمیشوند. سپس شما قواعد و سیاستهای امنیتی خود را با تنظیم گزینه های آنها تعیینمینمایید. از این به بعد بررسی كلمات عبوری كه كاربران انتخاب میكنند به عهده اینابزارها خواهد بود. اینابزارها برای محیط یونیكس و ویندوز به رایگان قابل دسترسیاست.
- ابزارهای یونیكس :
Npasswd كه از آدرس ftp://ftp.cc.utexas.edu/pub/npasswd قابل تهیه است.
Passwd پلاس كه از آدرس ftp://ftp.darthmouth.edu/pub/security قابل تهیه است.
- ابزارهایویندوز:
PassProp این برنامه توسط مایكروسافت تهیه شده و در در بسته قابلخریداری Win NT Server Resource Kit Supplement 4 موجود است.
PassFilt.dll این برنامه هم متعلق به مایكروسافت و در در دیسك فشرده Service Pack2 ویندوز 2000موجود است.
Password Guardian این برنامه رایگان از آدرس http://www.geogiasoftwork.com قابل تهیه است.
Strongpass یك برنامه رایگانقابل تهیه از : http://www.geogiasoftwork.com
Fast Lane یك برنامه رایگانموجود در : http://www.fastlanetech.com
در صورت امكان از روشهای احراز هویتبدون استفاده از كلمات عبور استفاده كنید
بدلیل اینكه حتی با رعایت نكات ایمنیممكن است ابزارهای شكننده كلمات عبور بتوانند یك كلمه عبور را كشف كنند، بهتر استدر صورت حساسیت زیاد اطلاعات از مكانیسمهای پیچیده احراز هویت مانند Smart Card وسیستم های بیومتریك استفاده كنید.
ابزارهای شكننده كلمات عبور را گاهی علیهخود بكار ببرید:
برای اطمینان نهایی از عدم آسیب پذیری كلمات عبور، هر از چندگاهی ابزارهای شكننده كلمات عبور را اجرا كرده و بر علیه سیستم خود بكار ببرید. البته باید آنرا در محیطی امن و خارج از شبكه و روی یك سیستم مجزا بكار بگیرید تاشبكه شما دچار اختلال نشود.
ابزار John (یك شكننده كلمه عبور) ابزاری رایگاناست كه كد منبع آن نیز ارائه میشود. اگر به هیچ نرم افزاری از نظر امنیتی اطمینانندارید میتوانید كدهای منبع آن را دریافت نموده و آنرا كامپایل و اجرانمایید.
اگر شبكه شما بدلیل سهل انگاری مشتریانتان از كار بیافتد، آنها رااز دست خواهید دادو شما هم به عنوان مسئول شبكه كارتان را! لذا به دقت آسیب پذیریكلمات عبور را بررسی نمایید و اگر پس از استفاده از ابزارهای فوق موفق به كشف یككلمه عبور شدید، دقت كنید كه چه چیزی باعث شده تا كاربر شما با نقض سیاستهای امنیتیكلمه عبور ضعیفی برای خود انتخاب نماید.
از فایلهای حاوی كلمات عبور رمز شدهبدقت محافظت كنید
آخرین و مهمترین راه حفاظت از كلمات عبور آنست كه نگذاریدبهیچوجه كسی فایل آنرا در اختیار بگیرد. اگر نفوذگر نتواند فایل محتوی كلمات عبوریا بانك اطلاعاتی SAM را در اختیار بگیرد، كشف كلمات عبور از طریق استراق سمع بسیارمشكل خواهد بود. لذا :
-وقتی در محیط ویندوز دیسك بازیابی(Recovery Disk) میسازید، آنرا در جای مطمئن نگهداری كنید.
-وقتی از سرویس دهنده های مهم خودنسخه پشتیبان میگیرید، مطمئن شوید كه فقط در جایی ذخیره میشوند كه فقط خودتان به آندسترسی دارید.
-اگر در محیط یونیكس/لینوكس كار میكنید، مطمئن شوید كه گزینه Shadow فعال است.
-اگر در محیط ویندوز كار میكنید از ابزار Syskey استفاده كنیدتا قواعد سخت گیرانه تری را برایسیستم شما وضع كند.
-اگر مجبور نیستید در محیطویندوز از workgroup پشتیبانی كنید و فقط از domain استفاده میكنید، روش احراز هویت LM را غیر فعال كنید چرا كه روش ضعیفی محسوب میشود. روش این كار را میتوانید ازآدرس http://www.microsoft.com/technet/support/kb.asp?id=147706
◄وقتی عملپشتیبان گیریBackup از سیستمتان خاتمه یافت، به خاطر داشته باشید تا مجوز دسترسی بهآنرا به گونه ای تنظیم نمایید كه هیچ كس حق دسترسی به آنرا ( بجز Admin) نداشتهباشد.
اگر مطمئن شدید تمام موارد فوق را اجرا نموده اید، احتمال لو رفتن كلماتعبور در شبكه شما به حداقل رسیده است.
+ نوشته شده در دوشنبه هشتم تیر ۱۳۸۸ ساعت توسط علی
|