حفاظت از كلمات عبور موجود در شبكه از مهمترين اصول حفظ امنيت يك شبكه ميباشد. شما به عنوان يك مسئول حساس و دقيق شبكه بايد با اجراي سياستهاي قوي و محكم از كلمات عبور محافظت نموده و مانع از فاش شدن آن شويد. مانند :
» سيستم عامل را طوري پيكربندي نماييد كه كلمات عبور كوتاه تر از حد معين را اصلا قبول نكند (مثلا 9 كاراكتر).
» در صورت امكان قبل از پذيرش كلمه عبور از كاربر ، كلمه انتخابي در يك فرهنگ لغت جستجو شده و در صورت وجود پذيرفته نشود.
» كاربران مجبور باشند در كلمه عبور خود حداقل از 2 يا 3 كاراكتر غير الفبايي استفاده نمايند.
» براي كلمات عبور طول عمر در نظر گرفته شود و سيستم عامل را طوري تنظيم نماييد تا پس از انقضاي طول عمر كلمه عبور حساب كاربر قفل نموده و كاربر مجبور به تعويض كلمه عبور باشد و در آينده نيز نتواند به هيچ وجه از آن كلمه عبور استفاده نمايد. توصيه ميشود كلمات عبور طول عمر حدود 30 تا 90 روز داشته باشند و پس از آن كاربر مجبور به تعويض آن باشد. اگر مدت زمان انقضا بيش از حد كئتاه باشد ، كاربر مجبور به انتخاب كلمات با معني براي جلوگيري از فراموشي خواهد شد كه اين به نوبه خود خطرناك ميباشد.
» سياستهاي انتخابي كلمات عبور را بطور آشكار و شفاف در سايت وب خود به همه كاربران اعلام نماييد و حتي كاربران بيروني سرويس دهنده هاي شما نيز در صورت وجود مجبور به رعايت اين موارد باشند.
آگاهي كاربران:
با توجه به آنكه در محيطهاي شلوغ و پركاربر نمي توان تمام كلمات عبور انتخابي آنان را بررسي نمود و آنها نيز ميتوانند به نحوي از قواعد تعيين شده شما به روشهايصوري بگريزند، لذا سعي كنيد با هشدارهاي امنيتي و توضيح كافي، ذهن كاربر را با خطراتي كه آنها را تهديد ميكند، آشنا نماييد. بعنوان مثال ممكن است يك كاربر براي راحتي خود و همچنين برآورده كردن قواعد امنيتي شما كلمه عبور apple1234 را انتخاب نمايد كه خطرناك خواهد بود.
استفاده از برنامه هاي مولد كلمه عبور:
در هنگامي كه كاربر ميخواهد كلمه عبور انتخاب نمايد، براي انتخاب يك كلمه عبور خوب و محكم، مردد خواهد ماند زيرا او به اين مي انديشد كه يك كلمه عبور سخت را چگونه ميتوان به خاطر سپرد به گونه اي كه نياز به نوشتن آن روي كاغذ نباشد! آنها را به نحو مناسب راهنمايي كنيد. پيدا كردن چنين كلمات عبوري چندان سخت هم نيست. مثلا آيا به نظر شما كلمه عبور "Jsrb,Ayhat7" بقدر كافي طولاني و مناسب نيست؟ به نظر ميرسد كه اين كلمه عبور به اندازه كافي و محكم است و به خاطر سپردن آن هم چندان دشوار نيست چرا كه اين كلمه عبور حروف نخست جمله "Just sit right back , And you hear a tale" است. كاربر ميتواند يك جمله مانند بالا در ذهن خود در نظر بگيرد و كلمه اي از آن بدست آورده و چند علامت و رقم به آن بيافزايد. فقط كاربران شما نبايد از يك جمله نمادين مثلبالا استفاده نمايند بلكه بايد از آنها بخواهيد تا متنوع فكر كنند!
ميتوانيد از برنامه هايي استفاده كنيد كه كلمه هاي عبور بي معني به كاربر پيشنهاد ميدهد ولي راه به خاطر سپردن آن را نيز آموزش ميدهد.
براي فارسي زبانها اين امر ساده است زيرا كه اولا فرهنگ لغت فارسي كه به انگليسي تايپ شده باشد وجود ندارد (فعلا) ثانيا آنها ميتوانند به يك بيت شعر يا ضرب المثل و يا جمله به ياد ماندني فكر كنند و ابتداي كلمات آنرا به انگليسي نوشته و كلمه عبور خود قرار دهند.
استفاده از نرم افزارهاي غربال كننده كلمات عبور ضعيف:
بايد به هر ترتيب مطمئن شويد كه كاربران كلمات عبور ضعيف انتخاب نكرده اند. با توجه به اينكه شما قادر نخواهيد بود تمام كلمات عبور و تغييراتي كه كاربران ميتوانند در كلمه عبور خود بدهند بررسي كنيد، لذا به يك ابزار خودكار نرم افزاري نياز خواهيد داشت. اين ابزار بر روي سرويس دهنده هاي شما كه نياز به كلمه عبور دارند نصب ميشوند. سپس شما قواعد و سياستهاي امنيتي خود را با تنظيم گزينه هاي آنها تعيين مينماييد. از اين به بعد بررسي كلمات عبوري كه كاربران انتخاب ميكنند به عهده اين ابزارها خواهد بود. اينابزارها براي محيط يونيكس و ويندوز به رايگان قابل دسترسي است.
- ابزارهاي يونيكس :
Npasswd كه از آدرس ftp://ftp.cc.utexas.edu/pub/npasswd قابل تهيه است.
Passwd پلاس كه از آدرس ftp://ftp.darthmouth.edu/pub/security قابل تهيه است.
- ابزارهاي ويندوز:
PassProp اين برنامه توسط مايكروسافت تهيه شده و در در بسته قابل خريداري Win NT Server Resource Kit Supplement 4 موجود است.
PassFilt.dll اين برنامه هم متعلق به مايكروسافت و در در ديسك فشرده Service Pack2 ويندوز 2000 موجود است.
Password Guardian اين برنامه رايگان از آدرس قابل تهيه است.
Strongpass يك برنامه رايگان قابل تهيه از :
Fast Lane يك برنامه رايگان موجود در :
در صورت امكان از روشهاي احراز هويت بدون استفاده از كلمات عبور استفاده كنيد
بدليل اينكه حتي با رعايت نكات ايمني ممكن است ابزارهاي شكننده كلمات عبور بتوانند يك كلمه عبور را كشف كنند، بهتر است در صورت حساسيت زياد اطلاعات از مكانيسمهاي پيچيده احراز هويت مانند Smart Card و سيستم هاي بيومتريك استفاده كنيد.
ابزارهاي شكننده كلمات عبور را گاهي عليه خود بكار ببريد:
براي اطمينان نهايي از عدم آسيب پذيري كلمات عبور، هر از چند گاهي ابزارهاي شكننده كلمات عبور را اجرا كرده و بر عليه سيستم خود بكار ببريد. البته بايد آنرا در محيطي امن و خارج از شبكه و روي يك سيستم مجزا بكار بگيريد تا شبكه شما دچار اختلال نشود.
ابزار John (يك شكننده كلمه عبور) ابزاري رايگان است كه كد منبع آن نيز ارائه ميشود. اگر به هيچ نرم افزاري از نظر امنيتي اطمينان نداريد ميتوانيد كدهاي منبع آن را دريافت نموده و آنرا كامپايل و اجرا نماييد.
اگر شبكه شما بدليل سهل انگاري مشتريانتان از كار بيافتد، آنها را از دست خواهيد دادو شما هم به عنوان مسئول شبكه كارتان را! لذا به دقت آسيب پذيري كلمات عبور را بررسي نماييد و اگر پس از استفاده از ابزارهاي فوق موفق به كشف يك كلمه عبور شديد، دقت كنيد كه چه چيزي باعث شده تا كاربر شما با نقض سياستهاي امنيتي كلمه عبور ضعيفي براي خود انتخاب نمايد.
از فايلهاي حاوي كلمات عبور رمز شده بدقت محافظت كنيد
آخرين و مهمترين راه حفاظت از كلمات عبور آنست كه نگذاريد بهيچوجه كسي فايل آنرا در اختيار بگيرد. اگر نفوذگر نتواند فايل محتوي كلمات عبور يا بانك اطلاعاتي SAM را در اختيار بگيرد، كشف كلمات عبور از طريق استراق سمع بسيار مشكل خواهد بود. لذا :
-وقتي در محيط ويندوز ديسك بازيابي (Recovery Disk) ميسازيد، آنرا در جاي مطمئن نگهداري كنيد.
-وقتي از سرويس دهنده هاي مهم خود نسخه پشتيبان ميگيريد، مطمئن شويد كه فقط در جايي ذخيره ميشوند كه فقط خودتان به آن دسترسي داريد.
-اگر در محيط يونيكس/لينوكس كار ميكنيد، مطمئن شويد كه گزينه Shadow فعال است.
-اگر در محيط ويندوز كار ميكنيد از ابزار Syskey استفاده كنيد تا قواعد سخت گيرانه تري را برايسيستم شما وضع كند.
-اگر مجبور نيستيد در محيط ويندوز از workgroup پشتيباني كنيد و فقط از domain استفاده ميكنيد، روش احراز هويت LM را غير فعال كنيد چرا كه روش ضعيفي محسوب ميشود. روش اين كار را ميتوانيد از آدرس
» وقتي عمل پشتيبان گيريBackup از سيستمتان خاتمه يافت، به خاطر داشته باشيد تا مجوز دسترسي به آنرا به گونه اي تنظيم نماييد كه هيچ ... حق دسترسي به آنرا ( بجز Admin) نداشته باشد.
اگر مطمئن شديد تمام موارد فوق را اجرا نموده ايد، احتمال لو رفتن كلمات عبور در شبكه شما به حداقل رسيده است.
» سيستم عامل را طوري پيكربندي نماييد كه كلمات عبور كوتاه تر از حد معين را اصلا قبول نكند (مثلا 9 كاراكتر).
» در صورت امكان قبل از پذيرش كلمه عبور از كاربر ، كلمه انتخابي در يك فرهنگ لغت جستجو شده و در صورت وجود پذيرفته نشود.
» كاربران مجبور باشند در كلمه عبور خود حداقل از 2 يا 3 كاراكتر غير الفبايي استفاده نمايند.
» براي كلمات عبور طول عمر در نظر گرفته شود و سيستم عامل را طوري تنظيم نماييد تا پس از انقضاي طول عمر كلمه عبور حساب كاربر قفل نموده و كاربر مجبور به تعويض كلمه عبور باشد و در آينده نيز نتواند به هيچ وجه از آن كلمه عبور استفاده نمايد. توصيه ميشود كلمات عبور طول عمر حدود 30 تا 90 روز داشته باشند و پس از آن كاربر مجبور به تعويض آن باشد. اگر مدت زمان انقضا بيش از حد كئتاه باشد ، كاربر مجبور به انتخاب كلمات با معني براي جلوگيري از فراموشي خواهد شد كه اين به نوبه خود خطرناك ميباشد.
» سياستهاي انتخابي كلمات عبور را بطور آشكار و شفاف در سايت وب خود به همه كاربران اعلام نماييد و حتي كاربران بيروني سرويس دهنده هاي شما نيز در صورت وجود مجبور به رعايت اين موارد باشند.
آگاهي كاربران:
با توجه به آنكه در محيطهاي شلوغ و پركاربر نمي توان تمام كلمات عبور انتخابي آنان را بررسي نمود و آنها نيز ميتوانند به نحوي از قواعد تعيين شده شما به روشهايصوري بگريزند، لذا سعي كنيد با هشدارهاي امنيتي و توضيح كافي، ذهن كاربر را با خطراتي كه آنها را تهديد ميكند، آشنا نماييد. بعنوان مثال ممكن است يك كاربر براي راحتي خود و همچنين برآورده كردن قواعد امنيتي شما كلمه عبور apple1234 را انتخاب نمايد كه خطرناك خواهد بود.
استفاده از برنامه هاي مولد كلمه عبور:
در هنگامي كه كاربر ميخواهد كلمه عبور انتخاب نمايد، براي انتخاب يك كلمه عبور خوب و محكم، مردد خواهد ماند زيرا او به اين مي انديشد كه يك كلمه عبور سخت را چگونه ميتوان به خاطر سپرد به گونه اي كه نياز به نوشتن آن روي كاغذ نباشد! آنها را به نحو مناسب راهنمايي كنيد. پيدا كردن چنين كلمات عبوري چندان سخت هم نيست. مثلا آيا به نظر شما كلمه عبور "Jsrb,Ayhat7" بقدر كافي طولاني و مناسب نيست؟ به نظر ميرسد كه اين كلمه عبور به اندازه كافي و محكم است و به خاطر سپردن آن هم چندان دشوار نيست چرا كه اين كلمه عبور حروف نخست جمله "Just sit right back , And you hear a tale" است. كاربر ميتواند يك جمله مانند بالا در ذهن خود در نظر بگيرد و كلمه اي از آن بدست آورده و چند علامت و رقم به آن بيافزايد. فقط كاربران شما نبايد از يك جمله نمادين مثلبالا استفاده نمايند بلكه بايد از آنها بخواهيد تا متنوع فكر كنند!
ميتوانيد از برنامه هايي استفاده كنيد كه كلمه هاي عبور بي معني به كاربر پيشنهاد ميدهد ولي راه به خاطر سپردن آن را نيز آموزش ميدهد.
براي فارسي زبانها اين امر ساده است زيرا كه اولا فرهنگ لغت فارسي كه به انگليسي تايپ شده باشد وجود ندارد (فعلا) ثانيا آنها ميتوانند به يك بيت شعر يا ضرب المثل و يا جمله به ياد ماندني فكر كنند و ابتداي كلمات آنرا به انگليسي نوشته و كلمه عبور خود قرار دهند.
استفاده از نرم افزارهاي غربال كننده كلمات عبور ضعيف:
بايد به هر ترتيب مطمئن شويد كه كاربران كلمات عبور ضعيف انتخاب نكرده اند. با توجه به اينكه شما قادر نخواهيد بود تمام كلمات عبور و تغييراتي كه كاربران ميتوانند در كلمه عبور خود بدهند بررسي كنيد، لذا به يك ابزار خودكار نرم افزاري نياز خواهيد داشت. اين ابزار بر روي سرويس دهنده هاي شما كه نياز به كلمه عبور دارند نصب ميشوند. سپس شما قواعد و سياستهاي امنيتي خود را با تنظيم گزينه هاي آنها تعيين مينماييد. از اين به بعد بررسي كلمات عبوري كه كاربران انتخاب ميكنند به عهده اين ابزارها خواهد بود. اينابزارها براي محيط يونيكس و ويندوز به رايگان قابل دسترسي است.
- ابزارهاي يونيكس :
Npasswd كه از آدرس ftp://ftp.cc.utexas.edu/pub/npasswd قابل تهيه است.
Passwd پلاس كه از آدرس ftp://ftp.darthmouth.edu/pub/security قابل تهيه است.
- ابزارهاي ويندوز:
PassProp اين برنامه توسط مايكروسافت تهيه شده و در در بسته قابل خريداري Win NT Server Resource Kit Supplement 4 موجود است.
PassFilt.dll اين برنامه هم متعلق به مايكروسافت و در در ديسك فشرده Service Pack2 ويندوز 2000 موجود است.
Password Guardian اين برنامه رايگان از آدرس قابل تهيه است.
Strongpass يك برنامه رايگان قابل تهيه از :
Fast Lane يك برنامه رايگان موجود در :
در صورت امكان از روشهاي احراز هويت بدون استفاده از كلمات عبور استفاده كنيد
بدليل اينكه حتي با رعايت نكات ايمني ممكن است ابزارهاي شكننده كلمات عبور بتوانند يك كلمه عبور را كشف كنند، بهتر است در صورت حساسيت زياد اطلاعات از مكانيسمهاي پيچيده احراز هويت مانند Smart Card و سيستم هاي بيومتريك استفاده كنيد.
ابزارهاي شكننده كلمات عبور را گاهي عليه خود بكار ببريد:
براي اطمينان نهايي از عدم آسيب پذيري كلمات عبور، هر از چند گاهي ابزارهاي شكننده كلمات عبور را اجرا كرده و بر عليه سيستم خود بكار ببريد. البته بايد آنرا در محيطي امن و خارج از شبكه و روي يك سيستم مجزا بكار بگيريد تا شبكه شما دچار اختلال نشود.
ابزار John (يك شكننده كلمه عبور) ابزاري رايگان است كه كد منبع آن نيز ارائه ميشود. اگر به هيچ نرم افزاري از نظر امنيتي اطمينان نداريد ميتوانيد كدهاي منبع آن را دريافت نموده و آنرا كامپايل و اجرا نماييد.
اگر شبكه شما بدليل سهل انگاري مشتريانتان از كار بيافتد، آنها را از دست خواهيد دادو شما هم به عنوان مسئول شبكه كارتان را! لذا به دقت آسيب پذيري كلمات عبور را بررسي نماييد و اگر پس از استفاده از ابزارهاي فوق موفق به كشف يك كلمه عبور شديد، دقت كنيد كه چه چيزي باعث شده تا كاربر شما با نقض سياستهاي امنيتي كلمه عبور ضعيفي براي خود انتخاب نمايد.
از فايلهاي حاوي كلمات عبور رمز شده بدقت محافظت كنيد
آخرين و مهمترين راه حفاظت از كلمات عبور آنست كه نگذاريد بهيچوجه كسي فايل آنرا در اختيار بگيرد. اگر نفوذگر نتواند فايل محتوي كلمات عبور يا بانك اطلاعاتي SAM را در اختيار بگيرد، كشف كلمات عبور از طريق استراق سمع بسيار مشكل خواهد بود. لذا :
-وقتي در محيط ويندوز ديسك بازيابي (Recovery Disk) ميسازيد، آنرا در جاي مطمئن نگهداري كنيد.
-وقتي از سرويس دهنده هاي مهم خود نسخه پشتيبان ميگيريد، مطمئن شويد كه فقط در جايي ذخيره ميشوند كه فقط خودتان به آن دسترسي داريد.
-اگر در محيط يونيكس/لينوكس كار ميكنيد، مطمئن شويد كه گزينه Shadow فعال است.
-اگر در محيط ويندوز كار ميكنيد از ابزار Syskey استفاده كنيد تا قواعد سخت گيرانه تري را برايسيستم شما وضع كند.
-اگر مجبور نيستيد در محيط ويندوز از workgroup پشتيباني كنيد و فقط از domain استفاده ميكنيد، روش احراز هويت LM را غير فعال كنيد چرا كه روش ضعيفي محسوب ميشود. روش اين كار را ميتوانيد از آدرس
» وقتي عمل پشتيبان گيريBackup از سيستمتان خاتمه يافت، به خاطر داشته باشيد تا مجوز دسترسي به آنرا به گونه اي تنظيم نماييد كه هيچ ... حق دسترسي به آنرا ( بجز Admin) نداشته باشد.
اگر مطمئن شديد تمام موارد فوق را اجرا نموده ايد، احتمال لو رفتن كلمات عبور در شبكه شما به حداقل رسيده است.
هیچ نظری موجود نیست:
ارسال یک نظر