انتخاب و محافظت از کلمات عبور
Ircert - کلمات عبور بخش مهمی از امنیت کامپیوتر هستند و در حقیقت در خط مقدم حفاظت از اکانت کاربران قرار می گیرند. یک کلمه عبور نامناسب ممکن است منجر به سوءاستفاده از کل شبکه شود. بهمین دلیل تمام کارمندان شامل پیمانکاران و فروشندگان که به سیستم شرکت دسترسی دارند مسوول انتخاب کلمه عبور مناسب و محافظت از آن هستند.
در این مقاله به نکاتی در مورد ایجاد کلمات عبور قوی و محافظت از آنها و زمان انقضاء و تغییر آنها اشاره می شود. در حقیقت مخاطب این مقاله تمام افرادی هستند که مسوول اکانت یا هر سیستمی هستند که از طریق آن به شبکه یا اطلاعات غیرعمومی دسترسی دارند.
سیاست کلی
• تمام کلمات عبور در سطح سیستم باید حداقل سه ماه یکبار عوض شوند.
• تمام کلمات عبور سطح کاربر (مانند ایمیل یا کامپیوتر) باید هر شش ماه تغییر کنند که البته تغییر چهار ماهه توصیه می شود.
• اکانتهای کاربری که مجوزهای سطح سیستم دارند باید کلمات عبوری داشته باشند که با کلمات عبور دیگر اکانتهای آن کاربر متفاوت باشد.
• کلمات عبور نباید در ایمیلها یا سایر شکلهای ارتباطات الکترونیکی درج شوند.
• باید رهنمونهای زیر در تمام کلمات عبور سطح سیستم و سطح کاربر رعایت شود.
راهنماییها
راهنمایی کلی ساخت کلمه عبور
کلمات عبور برای اهداف گوناگونی در شرکتها استفاده می شوند. تعدادی از استفاده های معمول اینها هستند:
• اکانتهای سطح کاربر
• اکانتهای دسترسی به وب
• اکانتهای ایمیل
• حفاظت از مونیتور
• کلمه عبور صندوق پستی
• ورود به روتر محلی
چون سیستمهای بسیار کمی از نشانه های یکبارمصرف استفاده می کنند (مانند کلمات عبور دینامیک که فقط یکبار استفاده می شوند)، هرکسی باید از نحوه انتخاب کلمات عبور مناسب آگاه باشد.
کلمات عبور ضعیف معمولا مشخصات زیر را دارند:
• کلمه عبور شامل کمتر از هشت حرف است.
• کلمه عبور کلمه ای است که در یک فرهنگ لغت یافت می شود.
• کلمه عبور کلمه ای است که کاربرد عمومی دارد مانند:
o نام خانوادگی، حیوانات اهلی، دوستان، همکاران، شخصیت های خیالی و غیره
o نامها و اصطلاحات کامپیوتری، فرمانها، سایتها، شرکتها، سخت افزار و نرم افزار.
o نام شرکت یا کلمات مشتق شده از این نام.
o تاریخ های تولد و سایر اطلاعات شخصی مانند آدرس ها و شماره های تلفن.
o الگوهای کلمات یا شماره ها مانند aaabbb، qwerty، zyxwvuts، 123321 و غیره.
o هرکدام از عبارات فوق بطور برعکس.
o هرکدام از عبارات فوق که تنها با یک رقم شروع یا به آن ختم می شود.
کلمات عبور مناسب مشخصات زیر را دارند:
• شامل هم حروف کوچک و هم بزرگ هستند (a-z و A-Z)
• علاوه بر حروف از ارقام و نشانه ها هم در آنها استفاده می شود مانند 0-9 و !@#$%^&*()_+|~=’{}[];?./
• حداقل هشت حرف دارند.
• کلمه ای در هیچ زبان، گویش یا صنف خاص نیستند.
• برپایه اطلاعات شخصی، اسم یا فامیل نیستند.
• کلمات عبور هرگز نباید نوشته یا جایی ذخیره شوند. سعی کنید کلمات عبوری انتخاب کنید که بتوانید براحتی در ذهن داشته باشید. یک روش انجام این کار، ایجاد کلمه عبور بر پایه یک ترانه یا عبارت است. برای مثال عبارت “This May Be One Way To Remember” و کلمه عبور می تواند “TmB1w2R!” یا “Tmb1W>r~” یا انواع دیگری از همین الگو باشد.
توجه: این مثالها را بعنوان کلمه عبور استفاده نکنید.
استانداردهای حفاظت از کلمه عبور
از کلمات عبور مشترک برای اکانتهای شرکت و دسترسی های شخصی استفاده نکنید. تا جایی ممکن است، از کلمه عبور مشترک برای نیازهای مختلف شرکت استفاده نکنید. برای مثال، برای سیستمهای مهندسی یک کلمه عبور انتخاب کنید و یک کلمه عبور دیگر برای سیستمهای IT . همچنین برای استفاده از اکانتهای NT و UNIX کلمات عبور متفاوت انتخاب کنید.
کلمات عبور شرکت با هیچ کس از جمله دستیاران و منشی ها در میان نگذارید. باید با تمام کلمات عبور بصورت اطلاعات حساس و محرمانه برخورد شوند.
در اینجا به لیستی از “انجام ندهید ”ها اشاره می شود.
• کلمه عبور را از طریق تلفن به هیچ کس نگویید.
• کلمه عبور را از طریق ایمیل فاش نکنید.
• کلمه عبور را به رئیس نگویید
• در مورد کلمه عبور در جلوی دیگران صحبت نکنید.
• به قالب کلمه عبور اشاره نکنید (مثلا نام خانوادگی)
• کلمه عبور را روی فهرست سوالات یا فرمهای امنیتی درج نکنید.
• کلمه عبور را با اعضای خانواده در میان نگذارید.
• کلمه عبور را هنگامی که در مرخصی هستید به همکاران نگویید.
اگر کسی از شما کلمه عبور را پرسید، از ایشان بخواهید که این مطلب را مطالعه کند یا اینکه با کسی در قسمت امنتیت اطلاعات تماس بگیرد.
از ویژگی “Remember Password” یا حفظ کلمه عبور در کامپیوتر استفاده نکنید.
مجددا، کلمات عبور را در هیچ جای محل کار خود ننویسید و در فایل یا هر سیستم کامپیوتری ذخیره نکیند (شامل کامپیوترهای دستی) مگر با رمزکردن.
کلمات عبور را حداقل هر شش ماه عوض کنید (بجز کلمات عبور سطح سیستم که باید هر سه ماه تغییر کنند).
اگر هر اکانت یا کلمه عبور احتمال فاش و سوءاستفاده از آن میرود، به بخش امنیت اطلاعات اطلاع دهید و تمام کلمات عبور را تغییر دهید.
شکستن یا حدس زدن کلمه عبور ممکن است در یک زمان متناوب یا اتفاقی توسط بخش امنیت اطلاعات یا نمانیدگی های آن رخ دهد. اگر کلمه عبور در طول یکی از این پیمایش ها حدس زده یا شکسته شود، از کاربر خواسته خواهد شد که آن را تغییر دهد.
رعایت موارد مذکور، به حفاظت بیشتر از اطلاعات و قسمتهای شخصی افراد کمک خواهد کرد.
- ۸۴/۰۲/۱۲