ایجاد گذرواژه‌های قوی و در عین حال کاربرپسند: نکاتی درباره گذرواژه تجاری شما

افراد را با قوانین ترکیب رمز عبور بسیار پیچیده شکنجه نکنید، اما گذرواژه‌های رایج مورد استفاده را در لیست سیاه قرار دهید، به علاوه راه‌های دیگر برای کمک به افراد برای کمک به خود و کل سازمان شما

هنگامی که مهندس بیل بور از موسسه ملی استاندارد و فناوری ایالات متحده (NIST) در سال 2003 چیزی را نوشت که به زودی به استاندارد طلایی جهان برای امنیت رمز عبور تبدیل می‌شود، به مردم و سازمان‌ها توصیه کرد که با اختراع خطوط طولانی و “آشوب” کاراکترها از حساب‌های خود محافظت کنند. ، اعداد و نشانه ها – و به طور منظم آنها را تغییر دهید.

چهارده سال بعد، بور اعتراف کرد که از توصیه های گذشته خود پشیمان است. او به وال استریت ژورنال گفت: «این فقط باعث می‌شود مردم از موز استفاده کنند و هر کاری که می‌کنید پسوردهای خوبی انتخاب نمی‌کنند.

یا همانطور که کمیک معروف xkcd بیان کرده است: “در طول 20 سال تلاش، ما با موفقیت همه را آموزش دادیم که از رمزهای عبوری استفاده کنند که به خاطر سپردن آنها برای انسان سخت است، اما به راحتی برای رایانه ها قابل حدس زدن است.”

این روزها، یک فرد به طور متوسط تا 100 کلمه عبور برای به خاطر سپردن دارد، که این تعداد در سال‌های اخیر به سرعت در حال افزایش است (اگرچه در واقع، برخی از افراد از حدود 50 رمز عبور، از جمله تعدادی کد آفلاین، حتی سال‌ها پیش و مقداری امنیتی استفاده می‌کردند. کارشناسان اشاره کرده‌اند که چنین عادت‌ها و سیاست‌های رمز عبور ناپایدار هستند.)

در واقع، مطالعات نشان داده‌اند که افراد معمولاً فقط پنج رمز عبور را به خاطر می‌آورند و با ایجاد گذرواژه‌هایی که به راحتی قابل حدس زدن هستند، میانبر می‌گیرند و سپس آنها را در حساب‌های مختلف آنلاین بازیافت می‌کنند. برخی ممکن است در واقع اعداد و کاراکترهای ویژه را جایگزین حروف کنند (مثلاً «رمز عبور» به «P4??WØrd» تبدیل می‌شود)، اما این همچنان رمز عبوری را ایجاد می‌کند که شکستن آن آسان است.

در سال‌های اخیر، سازمان‌های پیشرو مانند پروژه امنیت برنامه‌های وب باز (OWASP) و البته خود NIST، سیاست‌ها و توصیه‌های خود را به سمت یک رویکرد کاربرپسندتر تغییر داده‌اند – همه اینها در عین افزایش امنیت رمز عبور.

در همان زمان، غول‌های فناوری مانند مایکروسافت و گوگل همه را تشویق می‌کنند که رمزهای عبور را به کلی کنار بگذارند و در عوض بدون رمز عبور کنند. با این حال، اگر کسب و کار کوچک یا متوسط شما هنوز آماده نیست که راه خود را با گذرواژه ها جدا کند، در اینجا راهنمایی هایی وجود دارد که شما و کارمندانتان را در سال 2023 در جای خوبی قرار می دهد.

از تحمیل قوانین پیچیده ترکیب رمز عبور غیر ضروری خودداری کنید

هر گونه قوانین ترکیبی بسیار پیچیده (مانند الزام کاربران به گنجاندن نویسه های بزرگ و کوچک، حداقل یک عدد و یک کاراکتر خاص) دیگر ضروری نیست. این به این دلیل است که چنین قوانینی به ندرت کاربران را تشویق به تنظیم رمزهای عبور قوی‌تر می‌کند و در عوض آنها را تشویق می‌کند تا به طور پیش‌بینی‌شده عمل کنند و رمزهایی را ایجاد کنند که “دوباره” هستند – آنها هم ضعیف هستند و هم به خاطر سپردن آنها دشوار است.

به عبارات عبور سوییچ کنید

به جای گذرواژه‌های کوتاه‌تر اما دشوار، به سراغ عبارت‌های عبور بروید. آنها طولانی تر و پیچیده تر هستند اما هنوز به راحتی قابل یادآوری هستند. به عنوان مثال، ممکن است یک جمله کامل باشد که به دلایلی در سر شما گیر کرده باشد و با حروف بزرگ، کاراکترهای خاص و ایموجی ها پاشیده شده باشد. در حالی که بسیار پیچیده نیست، هنوز هم زمان زیادی طول می کشد تا ابزارهای خودکار آن را شکست دهند.

چند سال پیش، حداقل طول یک رمز عبور خوب هشت کاراکتر بود که شامل حروف کوچک و بزرگ، علائم و اعداد بود. امروزه ابزارهای خودکار شکستن رمز عبور می توانند چنین رمز عبوری را در چند دقیقه حدس بزنند، به خصوص اگر با عملکرد هش MD5 ایمن شده باشد.

این بر اساس آزمایش‌هایی است که Hive Systems انجام داده و در آوریل 2023 منتشر شده است. برعکس، رمز عبور ساده‌ای که فقط شامل حروف کوچک و بزرگ است اما 18 کاراکتر طول دارد، شکستن آن زمان بسیار طولانی‌تری دارد.

حداقل طول 12 کاراکتر را هدف قرار دهید – هر چه بیشتر، بهتر!

دستورالعمل‌های NIST طول را به‌عنوان عامل کلیدی در قدرت رمز عبور تأیید می‌کنند و حداقل طول مورد نیاز 12 کاراکتر را معرفی می‌کنند که پس از ترکیب فاصله‌های متعدد، حداکثر تا حداکثر 64 کاراکتر می‌رسد. همه چیز برابر باشد، هر چه بیشتر بهتر است.

انواع کاراکترها را فعال کنید

وقتی کاربران رمزهای عبور خود را تنظیم می‌کنند، باید از بین همه کاراکترهای ASCII و UNICODE قابل چاپ، از جمله ایموجی‌ها، آزاد باشند. آنها همچنین باید این گزینه را داشته باشند که از فضاها استفاده کنند، که بخشی طبیعی از عبارات عبور هستند – جایگزینی که اغلب برای رمزهای عبور سنتی توصیه می شود.

استفاده مجدد از رمز عبور را کاهش دهید

در حال حاضر این عقل متعارف است که مردم نباید از رمزهای عبور خود در حساب های مختلف آنلاین استفاده مجدد کنند، زیرا نقض یک حساب می تواند به راحتی منجر به در معرض خطر قرار گرفتن حساب های دیگر شود.

با این حال، بسیاری از عادت‌ها به سختی از بین می‌روند و حدود نیمی از پاسخ‌دهندگان در مطالعه موسسه Ponemon در سال 2019 اذعان کردند که به طور متوسط از پنج رمز عبور در حساب‌های تجاری و/یا شخصی خود استفاده مجدد کرده‌اند.

تاریخ «استفاده تا» را برای گذرواژه‌ها تعیین نکنید

NIST همچنین توصیه می کند که نیاز به تغییر رمز عبور منظم نداشته باشید، مگر اینکه توسط کاربر درخواست شود یا مدرکی دال بر مصالحه وجود نداشته باشد. منطق این است که کاربران فقط برای اینکه دائماً به رمزهای عبور نسبتاً قوی جدید فکر کنند، صبر زیادی دارند. در نتیجه، واداشتن آن‌ها به انجام این کار در فواصل زمانی منظم، می‌تواند بیش از آنکه مفید باشد، ضرر داشته باشد.

زمانی که مایکروسافت سه سال پیش اعلام کرد که سیاست‌های انقضای رمز عبور را کنار می‌گذارد، کل ایده انقضای رمز عبور را زیر سوال برد.

«اگر احتمال دزدیده شدن رمز عبور وجود دارد، چند روز زمان قابل قبولی برای ادامه دادن به سارق برای استفاده از رمز عبور دزدیده شده وجود دارد؟ پیش فرض ویندوز 42 روز است. آیا به نظر نمی رسد مدت زمان مسخره ای طولانی باشد؟ خب، اینطور است، و با این حال، خط پایه فعلی ما می‌گوید 60 روز – و قبلاً می‌گفتند 90 روز – زیرا انقضای مکرر اجباری مشکلات خودش را ایجاد می‌کند.»

به خاطر داشته باشید که این فقط یک توصیه کلی است. اگر برنامه ای را ایمن می کنید که برای تجارت شما حیاتی است و برای مهاجمان جذاب است، هنوز هم می توانید کارمندان خود را مجبور کنید که رمزهای عبور را به صورت دوره ای تغییر دهند.

نکات حفر شده و احراز هویت مبتنی بر دانش

نکات رمز عبور و سؤالات تأیید مبتنی بر دانش نیز منسوخ شده است. در حالی که اینها ممکن است در واقع به کاربران در جستجوی رمزهای عبور فراموش شده کمک کنند، اما می توانند برای مهاجمان نیز ارزش زیادی داشته باشند. همکار ما جیک مور در چندین مورد نشان داده است که چگونه هکرها می توانند از صفحه “گذرواژه فراموش شده” برای نفوذ به حساب های دیگران، به عنوان مثال در پی پال و اینستاگرام، سوء استفاده کنند.

به عنوان مثال، سؤالی مانند “نام اولین حیوان خانگی شما” را می توان با کمی تحقیق یا مهندسی اجتماعی به راحتی حدس زد و واقعاً تعداد بی پایانی از احتمالات وجود ندارد که یک ابزار خودکار باید از آن عبور کند.

لیست سیاه رمزهای عبور رایج

به‌جای تکیه بر قوانین ترکیب‌بندی استفاده‌شده قبلی، گذرواژه‌های جدید را با «فهرست سیاه» از متداول‌ترین گذرواژه‌های استفاده شده و/یا در معرض خطر قبلی بررسی کنید و تلاش‌های تطبیقی را غیرقابل قبول ارزیابی کنید.

در سال 2019، مایکروسافت حساب‌های کاربران خود را اسکن کرد و نام‌های کاربری و رمزهای عبور را با پایگاه داده‌ای از بیش از سه میلیارد مجموعه اطلاعات فاش شده مقایسه کرد. 44 میلیون کاربر با گذرواژه‌های در معرض خطر را پیدا کرد و گذرواژه را بازنشانی کرد.

از مدیران و ابزارهای رمز عبور پشتیبانی کنید

اطمینان حاصل کنید که عملکرد «کپی و چسباندن»، ابزارهای رمز عبور مرورگر، و مدیران گذرواژه خارجی اجازه دارند تا مشکلات ایجاد و حفظ گذرواژه‌های کاربران را مدیریت کنند.

کاربران همچنین باید به طور موقت کل رمز عبور پوشانده شده یا آخرین نویسه تایپ شده رمز عبور را مشاهده کنند. با توجه به دستورالعمل های OWASP، ایده این است که قابلیت استفاده از ورودی اعتبار را بهبود بخشد، به ویژه در مورد استفاده از رمزهای عبور طولانی تر، عبارات عبور و مدیریت رمز عبور.

مدت زمان ماندگاری کوتاهی را برای رمزهای عبور اولیه تعیین کنید

هنگامی که کارمند جدید شما یک حساب کاربری ایجاد می کند، رمز عبور اولیه یا کد فعال سازی ایجاد شده توسط سیستم باید به صورت تصادفی، حداقل شش کاراکتر، و ممکن است حاوی حروف و اعداد باشد.

اطمینان حاصل کنید که پس از مدت کوتاهی منقضی می شود و نمی تواند به رمز عبور واقعی و طولانی مدت تبدیل شود.

کاربران را از تغییرات رمز عبور آگاه کنید

هنگامی که کاربران رمز عبور خود را تغییر می دهند، باید از آنها خواسته شود که ابتدا رمز عبور قدیمی خود را وارد کرده و در حالت ایده آل، احراز هویت دو مرحله ای (2FA) را فعال کنند. پس از اتمام، آنها باید یک اعلان دریافت کنند.

مراقب فرآیند بازیابی رمز عبور خود باشید

فرآیند بازیابی نه تنها نباید رمز عبور فعلی را نشان دهد، بلکه در مورد اطلاعات مربوط به وجود یا عدم وجود حساب واقعی نیز صدق می کند. به عبارت دیگر، هیچ اطلاعات (غیر ضروری) را در اختیار مهاجمان قرار ندهید!

از CAPTCHA و سایر کنترل های ضد اتوماسیون استفاده کنید

از کنترل‌های ضد اتوماسیون برای کاهش تست اعتبار نقض شده، خشونت بی‌رحمانه و حملات قفل حساب استفاده کنید. چنین کنترل‌هایی شامل مسدود کردن رایج‌ترین رمزهای عبور نقض‌شده، قفل‌های نرم‌افزار، محدود کردن نرخ، CAPTCHA، تاخیرهای روزافزون بین تلاش‌ها، محدودیت‌های آدرس IP یا محدودیت‌های مبتنی بر ریسک مانند مکان، اولین ورود به سیستم در دستگاه، تلاش‌های اخیر برای باز کردن قفل حساب است. ، یا مشابه

با توجه به استانداردهای فعلی OWASP، باید حداکثر 100 تلاش ناموفق در ساعت در یک حساب واحد وجود داشته باشد.

فقط به رمزهای عبور متکی نباشید

صرف نظر از اینکه یک رمز عبور چقدر قوی و منحصر به فرد است، همچنان یک مانع است که مهاجم و داده های ارزشمند شما را جدا می کند. وقتی برای حساب‌های امن هدف قرار می‌گیرید، یک لایه تأیید هویت اضافی باید به عنوان یک الزام مطلق در نظر گرفته شود.

به همین دلیل است که باید در صورت امکان از احراز هویت دو عاملی (2FA) یا چند عاملی (MFA) استفاده کنید.

با این حال، همه گزینه های 2FA برابر نیستند. پیام‌های اس ام اس، اگرچه به مراتب بهتر از عدم وجود 2FA هستند، اما در معرض تهدیدات متعددی هستند. جایگزین‌های امن‌تر شامل استفاده از دستگاه‌های سخت‌افزاری اختصاصی و تولیدکننده‌های رمز عبور یک‌بار مصرف (OTP) مبتنی بر نرم‌افزار، مانند برنامه‌های ایمن نصب‌شده در دستگاه‌های تلفن همراه است.

ترجمه:
پیشگامان تجارت امن ایرانیان