بسیاری از سیستم ها و خدمات الکترونیکی به دلیل انتخاب رمز عبور ضعیف آسیب پذیر هستند و حتی بعضی از ویروس ها و کرم ها می توانند رمز عبور این سیستم ها را حدس زده و به آنها آسیب برسانند.
به طور معمول اکثر کاربران وسایل الکترونیک از جمله رایانه، اینترنت، تلفن همراه برای محافظت سیستم خود از افراد غیرمجاز از رمز عبور استفاده می کنند. به عنوان مثال افراد برای دریافت پول از دستگاه عابربانک، خرید اینترنتی، خرید از طریق دستگاه POS، ورود به رایانه و ایمیل از رمز عبور استفاده می کنند.
رمز عبور به طور معمول از دنباله اعداد، حروف، کاراکترهای غیرحرفی تشکیل شده است؛ از این رو به خاطر سپردن تمام این حروف و اعداد ترکیبی به مرور زمان با توجه به محدودیت حافظه کاربران سخت و با مخاطره فراموشی همراه است.
امروزه رایج ترین روش احراز هویت استفاده از رمز عبور است؛ اما اگر رمز عبور شما (از نظر امنیتی) به درستی انتخاب نشود و محرمانگی آن حفظ نگردد، هیچ تأثیری در حفظ امنیت حساب های کاربریتان ندارد.
** انتخاب رمز عبور با امنیت بالا
رمزهای عبور به عنوان اولین لایه حفاظتی مفید هستند، ولی آنها توسط روش های گوناگونی توسط نفوذگران قابل حدس هستند و به تنهایی برای حفظ امنیت کافی نیستند.
از رمز عبور یکسان برای حساب های مختلف استفاده نشود. برای هر حساب کاربری یک رمز عبور مجزا انتخاب شود.
انتخاب رمز عبور یکسان برای حسابهای کاربری مختلف به مصداق وجود یک کلید برای باز کردن درب خانه، ماشین و دفتر کار است. حال فرض شود فرد بدخواهی به این کلید دسترسی پیدا کند، ممکن است به تمامی آنها دستبرد بزند.
رمز عبور باید دارای حداقل 16 کاراکتر و شامل حداقل یک عدد، یک حرف بزرگ، یک حرف کوچک و یک نماد خاص باشد. رمز عبور با طول بلند، امن تر از یک رمز عبور با طول کوتاه است؛ زیرا حدس زدن آن سخت تر و زمان بیشتری برای Crack شدن نیاز دارد.
از رمزهای ساده مانند '123456' و 'password' که به راحتی قابل حدس زدن می باشند، استفاده نشود. از نام خود، دوستان، کد پستی، شماره پلاک، شماره تلفن، تاریخ تولد، شماره ملی و از این قبیل در رمز عبور استفاده نشود.
تحقیقات نشان داده است که بسیاری از مردم رمز عبور را بر اساس اطلاعات شخصی خود انتخاب می کنند؛ در صورتی که این کار باعث می شود نفوذگر به راحتی رمز عبور آنان را حدس زده و یا کرک کند.
از کلمات معروف در رمز عبور استفاده نکنید. به عنوان مثال کلماتی مانند apple، ایران، تهران، به عنوان رمز عبور انتخاب نشود.
به مرورگر رایانه (Firefox، Chrome، Safari، Opera، IE) مجوز ذخیره رمزهای عبور داده نشود؛ زیرا تمام رمزهای ذخیره شده در مرورگر قابل مشاهده هستند.
به حساب های مهم (مانند ایمیل شخصی، حساب بانکی) از طریق رایانه دیگران یا هنگامی که به یک شبکه وایرلس عمومی، شبکه TOR یا VPN متصل هستید، وارد نشوید.
اطلاعات حساس از طریق پروتکل های HTTP و FTP ارسال نشود؛ زیرا اطلاعات در این پروتکل ها قابل شنود هستند. برای انتقال اطلاعات حساس از پروتکل هایی مانند HTTPS و SFTP استفاده شود.
رمز عبور باید در بازه مشخص زمانی به عنوان مثال به صورت ماهیانه تغییر کند. رمز عبور را توسط نرم افزارهای 'مدیریت رمز عبور' مانند KeePass یا روی دیسک های رمزگذاری شده با روش هائی مانند BitLocker ذخیره شود.
رمز عبور به صورت نوشته شده روی میز کار قرار داده نشود. همچنین رمز عبور از طریق ایمیل برای دیگران ارسال نشود. رمز عبور در شبکه های ابری مانند Google Drive، iCloud و غیره ذخیره نشود.
وب سایت های مهم مانند حساب ایمیل و حساب های بانکی توسط Bookmark مرورگر باز شود. قبل از اینکه رمز عبور وارد شود، حتماً از صحت آدرس اینترنتی بازشده در مرورگر اطمینان حاصل شود. نفوذگرها از این طریق حمله فیشینگ را پیاده سازی می کنند.
رمز عبور را در اختیار کسی قرار ندهید، حتی اگر دوستان نزدیک و قابل اعتماد باشند. رایانه خود را توسط آنتی ویروس و فایروال امن نگه دارید.
** اقداماتی برای امنیت بیشتر عملیات احراز هویت
بسیاری از سازمان ها از روش های دیگری برای احراز هویت استفاده می کنند؛ که در ادامه به بررسی این روش ها پرداخته می شود.
احراز هویت دومرحله ای: با استفاده از احراز هویت دو مرحله ای، رمز عبور یک عامل از احراز هویت است. در صورتی که نفوذگر موفق به دستیابی به رمز عبور شود، بدون عامل دوم نمی تواند وارد حساب کاربر شود.
این نظریه شبیه به این است که یک گاو صندوق با ترکیب دو کلید باز شود. البته در اکثر معماری های موجود کلید دوم 'یکبار مصرف' است و به محض اینکه یک بار از آن استفاده شود، باطل می شود.
به عنوان مثال ایمیل ها علاوه بر رمز عبور، یک رمز تصادفی برای کاربر پیامک می کنند که برای ورود به حساب ایمیل، واردکردن آن در کادر مربوطه الزامی است.
گواهی وب شخصی: برخلاف گواهی استفاده شده برای وب سایت ها، گواهی وب شخصی برای شناسایی کاربران استفاده می شود. این وب سایت ها از کلید عمومی و خصوصی برای تائید کاربران استفاده می کنند.
در این مدل اطلاعات کاربری در گواهینامه ذخیره شده است و علاوه بر آن برای تکمیل احراز هویت نیاز به یک رمز عبور نیز می باشد.
** فراموش کردن رمز عبور
کاربران ممکن است رمز عبور خود را فراموش کنند یا رایانه خود را فرمت و رمز عبور و گواهی نامه های احراز هویت خود را از دست دهند.
بعضی از سازمان ها در این شرایط روش های خاصی برای بازیابی اطلاعات کاربران دارند. در اکثر مواقع سازمان ها و وب سایت ها از طریق سؤالات محرمانه یا ارسال ایمیل لینک بازیابی رمز عبور، عملیات تغییر رمز عبور را انجام می دهند.
وقتی کاربر یک حساب جدید (ایمیل، حساب بانکی) ایجاد می کند، این سایت ها از کاربر درخواست می کنند که به سؤالاتی پاسخ دهد. حال در زمانی که کاربر رمز عبور خود را فراموش کند، همان سؤالات از کاربر پرسیده می شود.
این سؤالات معمولاً در مورد اطلاعات شخصی مانند نام خود یا پدر و مادر، شماره ملی، تاریخ تولد و از این قبیل هستند.
تصور شود کاربر در یک شبکه اجتماعی مانند فیس بوک عضویت دارد تمامی اطلاعات شخصی خود را در آن نوشته یا به طرق مختلف و در صفحات دیگران در مورد اطلاعات و علایق شخصی اظهارنظر کرده و یا عکسی را در زمینه خاصی اصطلاحاً Like کرده است. نفوذگران از طریق جمع آوری تمام این اطلاعات و شناسایی دقیق آنها می توانند به حساب های مهم کاربران نفوذ کنند.
از طرف دیگر، کاربر در صفحه فیس بوک خود 'رضا صادقی' را به علاقه مندی های خود اضافه کرده است. همین اشتباه کافی است تا ایمیل شخصی کاربر توسط یک نفوذگر بازیابی شود. یکی از راهکارهای مطرح در این زمینه این است که از دادن اطلاعات واقعی پرهیز شود.