![[-]](https://forum.romaak.ir/images/first18/collapse.png "[-]")
۹۷/۱/۲۱، ۰۴:۳۸ صبح
رمزعبور خود را به صورت دورهای تغییر دهید، حتما پیشنهاد تغییر پسورد به صورت متناوب را در اکثر سامانههای الکترونیک شنیدهاید، برای مثال رمز پستالکترونیکی، کارتهای اعتباری و سایرحسابهای کاربری؛ اما چرا باید این کار را انجام دهیم؟ اصلا این کار مفید است؟
اگر مدیر شبکه یا سامانهی خاصی میباشید، آیا باید کاربران خود را مجبور کنید که رمزهایشان را عوض نمایند؟
آیا تغییر متناوب پسورد مفید است؟
اگر بهدنبال پاسخ کوتاه هستید، بلی، در صورتی که سامانه مورد استفاده یا مدیریت شما استانداردهای امنیتی لازم را رعایت نماید، تغییر پسورد عموما بازدارنده و مفید واقع خواهد شد و جلوی مورد سرقت و سوءاستفاده قرار گرفتن اطلاعات و… شما را خواهد گرفت.
اجبار در تغییر رمز عبور، خوب یا بد؟
مدیران باید به یاد داشته باشند اگر کاربران را برای ادامه فعالیت مجبور به تغیر رمزعبور نمایند، ممکن است کاربر تنها با افزودن یا تغییر یک کارکتر به ادامه فعالیت خود بپردازند و یا به روشهای خطرناکتری همچون یادداشت کردن رمزعبور و یا استفاده از رمزهای کوتاه، ساده و با معنی (کلمات معنی دار) روی بیاورد. اگر جزو این دسته از کاربران هستید، رویه خطرناکی را پیشرو گرفتهاید.
یکی از مزایای مجبور کردن کاربران به تغییر رمزعبور، محافظت از سیستمهایتان در مقابل کاربرانی است که از رمزهای یکسان برای تمام حسابهای کاربریشان استفاده مینمایند، با این کار در صورتی که رمز یکسان کاربر به هر صورتی مورد سرقت قرار گیرد سیستمهای شما امن باقی خواهند ماند.
نظرات مخالف
برخی بر این اعتقاداند که تغییر پسورد نمیتواند مفید واقع شود فرد مهاجم که به رمزعبور دسترسی پیدا کرده است بلافاصله اقدام به استفاده از آن خواهد کرد و روزها و ماهها منتنظر شما نخواهد ماند تا رمز عبورتان را تغییر دهید، این نظریه تا حدی صحیح است، اما همانطور که در ابتدا بیان شد ایجاد این تغییر زمانی مفید است که سیستم از استانداردهای امنیتی تبعیت نماید، برای مثال رمزهای عبور به صورت هش ذخیره شوند و سیستم در مقابل نصب بدافزار و دربهای پشتی امن باشد.
موضوع دیگر مورد حملات brute-force به صورت مستقیم قرار گرفتن است، فرض کنید یک ماشین در تلاش برای حدس زدن رمزعبور شما به صورت زنده است، تضمینی وجود ندارد که رمزعبور انتخاب شده جدید شما حدس بعدی ماشین مهاجم نباشد، اما باید بپذیریم احتمال رخ داد همچین اتفاقی بسیار ناچیز است و برای مقابله با اینگونه حملات راهکارهای خاص خود وجود دارد.
در چه شرایطی تغییر پسورد مفید واقع میشود؟
رمز شما به صورت هش شده نگهداری میشود و این هش به سرقت رفته، حال فرد مهاجم میتواند بدون نیاز به اتصال به سیستم اقدام به یافتن رمز اصلی شما نماید، این کار بسته به نوع الگوریتم مورد استفاده برای هش کردن پسورد عملی عموما زمان بر خواهد بود، در صورتی که این الگوریتم به اندازه کافی قدرتمند باشد فرصت لازم را برای شما ایجاد میکند تا با تغییر رمز خود مهاجم را از دسترسی یافتن به حسابتان ناکام سازید.
بسته به نوع سامانه مورد نفوذ واقع شده، مهاجم میتواند عملکرد متفاوتی داشته باشد. برای مثال سیستمی که قابلیت نصب Back-door را نداشته باشد را در نظر بگیرید، مثلا یک سرویس ایمیل تحت وب، یا سیستمی که امنیت لازم برای جلوگیری از نصب Back-door در آن برقرار شده باشد، عموما در این مواقع نفوذگر همانند یک احمق رفتار نخواهد کرد و با تغییر ندادن رمز عبور اجازه نمیدهد کابر متوجه نفوذ به سیستم شود و با این کار امکان دسترسی خود به سیستم مورد نفوذ در آینده را فراهم میسازد. در این موارد همانطور که مشخص است تغییر رمز عبورتان از اطلاعات و اکانتهایتان محافظت به عمل خواهد آورد و حداقل مزایای آن سخت کردن کار مهاجم و مجبور کردن آن برای تلاش دوچندان خواهد بود.
شرایط متفاوت دیگری ممکن است رخ دهد که در این موارد هم تغییر رمز عبورتان از دسترسی غیرمجاز به حساب و … شما جلوگیری به عمل خواهد آورد:
- مهاجم در ابتدا قصد تخریب نداشته باشد.
- هنوز اقدام به نصب بدافزار و درب پشتی نکرده باشد.
- دانش کافی برای پیشروی لازم را در اختیار نداشته باشد.
- در حال حاضر شرایط دسترسی به حسابتان را نداشته باشد.
- پس از به دست آوردن دسترسی تا مدت خاصی صبر نماید (برای اطلاعات با ارزشتر).
نکات مهم
در صورتی که قصد تغییر رمز عبور خود را دارید یا به اینکار مجبور میشوید، هرگز رمزتان را به رمز قبلی تغییر ندهید. ممکن است رمز قبلی شما به نحوی لو رفته باشد و در لیست دیکشنری مهاجم برای حملات آتی قرار داشته باشد. فرض کنید نسخهی پشتیبان اطلاعات سامانه که حاوی رمز سابق شما است در دسترس فرد مهاجم قرار گیرد.
با توجه به نکته فوق مدیران سیستم باید نسخهی پشتیبان اطلاعات را به صورت امن و ترجیها رمزنگاری شده نگهداری نمایند.
در هنگام انتخاب پسورد، نکات لازم برای ایجاد یک پسورد قوی و مناسب را رعایت نمایید، پسوردهای بسیار ساده، کوتاه و با معنی، به راحتی توسط دیکشنری یافته خواهند شد، همینطور مقدار هش شده این پسوردها بسیار سریعتر از هش یک رمز قوی، مهاجم را به رمز اصلی خواهد رساند.
نتیجه گیری
با توجه به حالتهای برسی شده، همانطور که پیشتر اشاره شد، در صورتی که سیستمها موارد امنیتی لازم را رعایت کرده باشند، تغییر دادن رمز عبور به صورت دورهای توسط کاربران میتواند تا حد قابل توجهای به افزایش امنیت یاری رساند. هرچند امنیت هیچگاه به طور کامل قابل تضمین نیست ولی میتوان با افزایش سیستمهای امنیتی و پیچیده کردن آنها حداقل کار مهاجمین را سختتر کرد.
