ایمن‌سازی IT سازمان با استفاده از قوانین رمز عبور

امنیت رمزهای عبور کاربران از مولفه‌های ضروری سازمان به شمار می‌رود. در این مقاله در خصوص روش‌هایی ساده جهت ایمن کردن و در عین حال راحت به ذهن سپرده شدن رمز عبور توضیحات لازم ارائه شده است.

به خاطر سپردن رمز عبورهای عبور (Passwords) گاهاً بسیار آزاردهنده هستند. هرچقدر پیچیده‌تر باشند، باید تلاش بیشتری برای به حافظه سپردن و تایپ کردن آنها صرف شود. شما به عنوان یک ادمین (Administrator) موظف هستید امنیت IT سازمان خود را فراهم کنید. امنیت رمزهای عبور کاربران از مولفه‌های ضروری سازمان به شمار می‌رود. اینجاست که شما به عنوان یک معلم عمل خواهید کرد: با یک راهکار ساده به کاربران خود روش ایجاد رمز عبورهای ایمن را بیاموزید.

چگونه می‌توانید از امنیت رمز عبور سازمان خود اطمینان حاصل کنید؟

در یک روز کاری شما معمولاً رمز عبور دامین خود را وارد می‌کنید، به سرویس‌های ابری (Cloud Services) مثل PayPal لاگین می‌کنید، ایمیل شخصی خود را در Google بررسی می‌کنید و یا بعد از کار به Netflix لاگین می‌کنید. همه چیز نیاز به پسورد دارد. هر انسان عصر دیجیتال یا Digital person (اشاره به کتاب The Digital person: Technology and Privacy in the Information Age نوشته Daniel J Solove) نزدیک به 30 تا 50 یا حتی بیشتر رمز عبور را نگهداری می‌کند. سوال اصلی این است که چگونه کاربران خود را مجاب می‌کنید که 1) از رمز عبورهای ایمن استفاده کنند و 2) تمام آنها را به خاطر بسپارند؟

رمزهای عبور پیچیده – قوانین ساده

اساساً رمز عبورهای پیچیده امن‌تر هستند اما به خاطر سپردن آنها دشوار است. اما فطرت انسان همواره به دنبال راه‌حل‌های ساده است. تا زمانی که قوانین و راهکارهای ساده‌ی ایجاد رمز عبور را برای کاربران خود فراهم نکنید، آنها از قوانین و روش‌های خود استفاده خواهند کرد. احتمالا کارمندان واحد IT از روش‌های موثر و ایمن در این خصوص بهره می‌برند، اما سایر کاربران تمایل به استفاده از رمز عبورهای ساده دارند. در بدترین حالت، یک کاربر از یک رمز عبور بسیار ساده برای تمامی اکانت‌هایش استفاده خواهد کرد. از دید امنیتی این بدترین اتفاق ممکن خواهد بود.

این کار را برای کاربران آسان کنید

روش Single Sign-On یا SSO قدم بعدی و منطقی در راستای ایمن و کاربر پسند کردن قوانین رمز عبور می‌باشد. اکتیودایرکتوری و سایر راه‌حل‌های LDAP به شما اجازه می‌دهند به بسیاری از سیستم‌های شبکه اینترانت با یک رمز عبور به صورت ایمن لاگین کنید. این امر، کار را برای کاربر بسیار آسان خواهد کرد. او تنها کافیست یک رمز عبور را برای سیستم‌های داخلی به خاطر بسپارد.

از مزایای استفاده از SSO می‌توان به موارد زیر اشاره کرد:

• کاهش ریسک برای دسترسی به سایت‌های سوم (رمزهای عبور کاربران ذخیره نمی‌شوند یا در خارج از محدوده مدیریت می‌شود)
• کاهش احتمال بروز خستگی از رمز عبور (Password Fatigue)
• کاهش زمان تایپ مجدد رمز عبور برای انجام عملیات شناسایی یکسان
• کاهش هزینه IT به دلیل تعداد کم درخواست‌های ثبت شده در نرم‌افزار Help Desk در خصوص تغییرات رمزهای عبور. همچنین، در مواردی که کاربر رمز عبور خود را فراموش کرده است و نیاز به تماس با واحد IT دارد، زیرسیستم‌هایی مانند زیرسیستم بازنشانی رمز عبور در نرم‌افزار مدیریت اکتیو دایرکتوری برنا این امکان را می‌دهد تا کاربر به کمک پیام کوتاه رمز عبور مورد نظر خود را تنظیم نماید که در این حالت نیز بار واحد IT کاهش خواهد بافت.

روشی دیگر که به کاربران شما کمک خواهد کرد بتوانند رمز عبورهای مختلفی را به خاطر بسپارند، استفاده از روشی است به نام امنیت رمز عبور (Password Safe). تعداد زیادی سیستم امنیت رمز عبور در مارکت‌ها وجود دارد که رمز عبورها را برای چندین دامین و وب سایت ذخیره می‌کنند و بسیاری از آنها هنگامی که صفحه وب فراخوانی می‌شود، به صورت خودکار کاربر را لاگین می‌کنند. اما این به تنهایی تضمین نمی‌کند که رمز عبور ایمن باشد.

بر رمزهای عبور ایمن تاکید کنید

در مورد دامین یا برنامه‌های تحت وب داخلی، رمز عبورهای ایمن می‌توانند از قوانین تعریف شده مثل کاراکترهای خاص، حروف کوچک و بزرگ، اعداد و غیره استفاده کنند. این مورد قسمتی از مشکل را برطرف خواهد کرد، اما مشکل دیگری را به وجود خواهد آورد: همکارانی که مرتباً به سوی میز شما می‌آیند و درخواست ریست کردن رمز عبور (فراموش شده) خود را دارند. یا کسی که تکه‌ای کاغذ که رمز عبور در آن نوشته شده است در کشوی میز خود دارد یا به مانیتور خود چسبانده است. علاوه بر این، اکتیودایرکتوری برای سرویس‌های فضای ابری یا وب سرویس‌ها غیرقابل استفاده است.

مسئولیت را بر عهده بگیرید

امنیت زیر ساخت IT شما امروزه بیشتر از گذشته حائز اهمیت است و این مهم باید در تمام سازمان صورت پذیرد. مدیریت شما در این امر می‌بایست حساس عمل کند و شما را در پشتیبانی مناسب یاری رساند. وب پر از لیست‌هایی از رمز عبورهای بی‌معنی و بی‌مفهوم است. از همکاران خود درباره‌ی روشی که برای تولید رمز عبورشان استفاده می‌کنند سوال کنید. در ادامه روشی نسبتا رایج را شرح خواهیم داد. در واقع بهترین روش این است که همواره خود کاربر بتواند با آن کار کند.

رمزهای عبور “به یاد ماندنی” و ایمن

تعدادی راهکار برای ایجاد رمز عبورهای ایمن وجود دارد. قبل از شروع، در ابتدا باید مراقب موانع پیش رو هنگام ایجاد سیستم‌ رمز عبور یکپارچه باشید. موانع موجود هنگام انتخاب یک رمز عبور عبارتند از:

طول رمز عبور: طول رمز عبورها متفاوت خواهند بود. برخی سیستم‌ها به حداقل تعداد کاراکتر نیاز دارند، در حالی که برخی دیگر طول رمز عبور را محدود می‌کنند. از این رو روشی را پایه ریزی کنید که به شما اجازه دهد رمز عبورهایی هم با طول کوتاه و و هم با طول بلند ایجاد کنید.
تغییرات رمز عبور: برخی سیستم‌ها نیاز دارند رمز عبور به طور منظم هر چند وقت یکبار تغییر کند.
تکرارهای رمز عبور: برخی سیستم‌ها به شما اجازه نمی‌دهند از رمز عبورهایی که قبلا استفاده کرده‌اید و آن را تغییر داده‌اید، مجدداً استفاده کنید.
نیازمندی‌های رمز عبور: بسیاری از سیستم‌ها، نیازمندی‌های امنیتی مربوط به رمز عبورها را بسیار سرسختانه در نظر می‌گیرند. در جایی ممکن است رمز عبور 123456 برای دو سال استفاده شود، حال آنکه در جایی دیگر حداقل از هشت کاراکتر شامل کاراکترهای خاص، حروف کوچک و حروف بزرگ و اعداد باید استفاده شود.

روش رمز عبور ایمن

رمز عبورهای مناسب ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترهای خاص را شامل می‌شوند. هیچ‌گاه از کلمات واقعی استفاده نکنید. یک توصیه متداول این است که به یک جمله فکر کنید و از حروف ابتدای هر کلمه به عنوان رمز عبور استفاده کنید. حروف و اعداد می‌توانند به عنوان مثال با استفاده از + یا & به هم متصل شوند. بنابراین کاراکترهای خاص به روش ساده و قابل ملاحضه‌ای در رمز عبورها قرار می‌گیرند.

برای مثال: “My name is Donald and I’m 70 years old” تبدیل می‌شود به “MniDaI+70+yo”.

این روش به ما یک رمز عبور مستحکم می‌دهد. اما زمانی که یک رمز عبور کافی نباشد، ما به روشی نیاز داریم تا رمز عبور را با سیستم‌ها و پلتفرم‌های متفاوتی وفق دهیم. برای مثال یک ویژگی مبنی بر پیشوندسازی با استفاده از یک متغیر و جدا کردن آن توسط یک کاراکتر خاص ثانویه از مابقی رمز عبور وجود دارد که شامل سیستم‌های رمز عبور نیز می‌شود:

Wo-MniDaI+70+yo (Work)

Am-MniDaI+70+yo (Amazon)

Tw-MniDaI+70+yo (Twitter)

اگر نیاز دارید رمز عبور دامین خود را در هر شش ماه سال یکبار تغییر دهید، نیمه سال متناظر آن را وارد کنید:

Wo-MniDaI+70+yo-201701

حالا ما یک رمز عبور 22 کاراکتری داریم که همیشه به خاطر سپرده خواهد شد، اما وارد کردن آن نسبتا طولانی و پیچیده است. بنابراین اجازه دهید همه چیز را ساده کنیم. متغیر ابتدایی یعنی WO را نگه می‌داریم. می‌توانیم حروف ابتدایی جمله را با یک کلمه واقعی جایگزین کنیم. البته از مجموع کاراکترهای خاص و اعدادی که با ریسک بالا ایجاد نشده باشند. کلمه Donald را قرار دهید و اجازه دهید از اعداد و کاراکترهای خاص استفاده کنیم:

Wo-Donald+70-201701

هنوز 19 کاراکتر است، اما در تایپ کردن و به خاطر سپردن بسیار راحت‌تر شده است. اگر رمز عبور هنوز بسیار طولانی است، Don یا D را به جای Donald قرار دهید. حال 14 کاراکتر شامل اعداد متفاوت، کاراکترهای خاص و حروف بزرگ و کوچک برای رمز عبور وجود دارد:

Wo-D+70-201701

شاخص‌ انسانی

شما هیچ‌گاه نباید در قوانین رمز عبور تناقضی ایجاد کنید، در واقع رمز عبور باید اعداد، کاراکترهای خاص، کاراکترهای کوچک و بزرگ را شامل شود. اما به کاربران خود کمک کنید: هر کسی منطق خودش را دارد و هر روشی برای همه افراد جوابگو نخواهد بود. هیچ‌گاه به یک سیستم خاص پافشاری نکنید، اما به همکاران خود در توسعه بهترین و قابل فهم‌ترین روش برای آنها کمک کنید.

سوالات متداول

1. چگونه می‌توانید از امنیت رمز عبور سازمان خود اطمینان حاصل کنید؟
   رمزهای عبور پیچیده – جلوگیری از قوانین ساده – بر رمزهای عبور ایمن تاکید کنید و …. .
2. شاخص‌ انسانی در امنیت رمز عبور چیست؟
   شما هیچ‌گاه نباید در قوانین رمز عبور تناقضی ایجاد کنید، در واقع رمز عبور باید اعداد، کاراکترهای خاص، کاراکترهای کوچک و بزرگ را شامل شود. اما به کاربران خود کمک کنید: هر کسی منطق خودش را دارد و هر روشی برای همه افراد جوابگو نخواهد بود. هیچ‌گاه به یک سیستم خاص پافشاری نکنید، اما به همکاران خود در توسعه بهترین و قابل فهم‌ترین روش برای آنها کمک کنید.