نحوه انتخاب و محافظت از کلمه عبور

کلمات عبور بخش مهمي از امنيت کامپيوتر هستند و در حقيقت در خط مقدم حفاظت از اکانت کاربران قرار مي گيرند. يک کلمه عبور نامناسب ممکن است منجر به سوءاستفاده از کل شبکه شود. بهمين دليل تمام کارمندان شامل پيمانکاران و فروشندگان که به سيستم شرکت دسترسي دارند مسوول انتخاب کلمه عبور مناسب و محافظت از آن هستند.
در اين مقاله به نکاتي در مورد ايجاد کلمات عبور قوي و محافظت از آنها و زمان انقضاء و تغيير آنها اشاره مي شود. در حقيقت مخاطب اين مقاله تمام افرادي هستند که مسوول اکانت يا هر سيستمي هستند که از طريق آن به شبکه يا اطلاعات غيرعمومي دسترسي دارند.


سياست کلي
» تمام کلمات عبور در سطح سيستم بايد حداقل سه ماه يکبار عوض شوند.
» تمام کلمات عبور سطح کاربر (مانند ايميل يا کامپيوتر) بايد هر شش ماه تغيير کنند که البته تغيير چهار ماهه توصيه مي شود.
» اکانتهاي کاربري که مجوزهاي سطح سيستم دارند بايد کلمات عبوري داشته باشند که با کلمات عبور ديگر اکانتهاي آن کاربر متفاوت باشد.
» کلمات عبور نبايد در ايميلها يا ساير شکلهاي ارتباطات الکترونيکي درج شوند.
» بايد رهنمون هاي زير در تمام کلمات عبور سطح سيستم و سطح کاربر رعايت شود.

راهنمايي ها
راهنمايي کلي ساخت کلمه عبور
کلمات عبور براي اهداف گوناگوني در شرکتها استفاده مي شوند. تعدادي از استفاده هاي معمول عبارتند از:
» اکانتهاي سطح کاربر
» اکانتهاي دسترسي به وب
» اکانتهاي ايميل
» حفاظت از مونيتور
» کلمه عبور صندوق پستي
» ورود به روتر محلي
چون سيستمهاي بسيار کمي از نشانه هاي يکبارمصرف استفاده مي کنند (مانند کلمات عبور ديناميک که فقط يکبار استفاده مي شوند)، هرکسي بايد از نحوه انتخاب کلمات عبور مناسب آگاه باشد.

کلمات عبور ضعيف معمولا مشخصات زير را دارند:
» کلمه عبور شامل کمتر از هشت حرف است.
» کلمه عبور کلمه اي است که در يک فرهنگ لغت يافت مي شود.
» کلمه عبور کلمه اي است که کاربرد عمومي دارد مانند:
» نام خانوادگي، حيوانات اهلي، دوستان، همکاران، شخصيت هاي خيالي و غيره
» نامها و اصطلاحات کامپيوتري، فرمانها، سايتها، شرکتها، سخت افزار و نرم افزار.
» نام شرکت يا کلمات مشتق شده از اين نام.
» تاريخ هاي تولد و ساير اطلاعات شخصي مانند آدرس ها و شماره هاي تلفن.
» الگوهاي کلمات يا شماره ها مانند aaabbb، qwerty، zyxwvuts، 123321 و غيره.
» هرکدام از عبارات فوق بطور برعکس.
» هرکدام از عبارات فوق که تنها با يک رقم شروع يا به آن ختم مي شود.

کلمات عبور مناسب مشخصات زير را دارند:
» شامل هم حروف کوچک و هم بزرگ هستند (a-z و A-Z)
» علاوه بر حروف از ارقام و نشانه ها هم در آنها استفاده مي شود مانند 0-9 و !@#$%^&*()_+|~=’{}[];<>?./
» حداقل هشت حرف دارند.
» کلمه اي در هيچ زبان، گويش يا صنف خاص نيستند.
» برپايه اطلاعات شخصي، اسم يا فاميل نيستند.
» کلمات عبور هرگز نبايد نوشته يا جايي ذخيره شوند. سعي کنيد کلمات عبوري انتخاب کنيد که بتوانيد براحتي در ذهن داشته باشيد. يک روش انجام اين کار، ايجاد کلمه عبور بر پايه يک ترانه يا عبارت است. براي مثال عبارت “This May Be One Way To Remember” و کلمه عبور مي تواند “TmB1w2R!” يا “Tmb1W>r~” يا انواع ديگري از همين الگو باشد.

توجه: اين مثالها را بعنوان کلمه عبور استفاده نکنيد.

استانداردهاي حفاظت از کلمه عبور
از کلمات عبور مشترک براي اکانتهاي شرکت و دسترسي هاي شخصي استفاده نکنيد. تا جايي ممکن است، از کلمه عبور مشترک براي نيازهاي مختلف شرکت استفاده نکنيد. براي مثال، براي سيستمهاي مهندسي يک کلمه عبور انتخاب کنيد و يک کلمه عبور ديگر براي سيستمهاي IT . همچنين براي استفاده از اکانتهاي NT و UNIX کلمات عبور متفاوت انتخاب کنيد.
کلمات عبور شرکت را با هيچ کس از جمله دستياران و منشي ها در ميان نگذاريد. بايد با تمام کلمات عبور بصورت اطلاعات حساس و محرمانه برخورد شوند.

در اينجا به مواردي که نبايد آنها را انجام داد اشاره مي شود:
» کلمه عبور را از طريق تلفن به هيچ کس نگوييد.
» کلمه عبور را از طريق ايميل فاش نکنيد.
» کلمه عبور را به رئيس نگوييد
» در مورد کلمه عبور در جلوي ديگران صحبت نکنيد.
» به قالب کلمه عبور اشاره نکنيد (مثلا نام خانوادگي)
» کلمه عبور را روي فهرست سوالات يا فرمهاي امنيتي درج نکنيد.
» کلمه عبور را با اعضاي خانواده در ميان نگذاريد.
» کلمه عبور را هنگامي که در مرخصي هستيد به همکاران نگوييد.

اگر کسي از شما کلمه عبور را پرسيد، از ايشان بخواهيد که اين مطلب را مطالعه کند يا اينکه با کسي در قسمت امنتيت اطلاعات تماس بگيرد.
از ويژگي “Remember Password” يا حفظ کلمه عبور در کامپيوتر استفاده نکنيد. (به خصوص در محل کار يا کافي نت ها)
مجددا، کلمات عبور را در هيچ جاي محل کار خود ننويسيد و در فايل يا هر سيستم کامپيوتري ذخيره نکيند (شامل کامپيوترهاي دستي) مگر با رمزکردن.
کلمات عبور را حداقل هر شش ماه عوض کنيد (بجز کلمات عبور سطح سيستم که بايد هر سه ماه تغيير کنند).
اگر هر اکانت يا کلمه عبور احتمال فاش و سوءاستفاده از آن ميرود، به بخش امنيت اطلاعات اطلاع دهيد و تمام کلمات عبور را تغيير دهيد.
شکستن يا حدس زدن کلمه عبور ممکن است در يک زمان متناوب يا اتفاقي توسط بخش امنيت اطلاعات يا نمانيدگي هاي آن رخ دهد. اگر کلمه عبور در طول يکي از اين پيمايش ها حدس زده يا شکسته شود، از کاربر خواسته خواهد شد که آن را تغيير دهد.
رعايت موارد مذکور، به حفاظت بيشتر از اطلاعات و قسمتهاي شخصي افراد کمک خواهد کرد.

منبع: www.ircert.com

ارسال شده در : 1391/7/14 - 20:54:43

این صفحه را برای یک دوست بفرستید.

با تشکر ! پيام شما ارسال شد