آيا رمزهای عبور به تنهائی کافی می باشند ؟ New Page 1



ساير




 

 

 

SAKHA RAVESH CO.

 ا مروز

 دوشنبه  8  خرداد  1396  2017  May  29   Monday ToDay
صفحه اصلی  مقالات نکته هادايره المعارف خودآموزها | تازه ها خود آزمون ها  

  نسخه قابل چاپ

 عنوان

 نويسنده

  مشاهده

 آيا رمزهای عبور به تنهائی کافی می باشند؟

 مديريت آموزش

6661

با توجه به جایگاه داده در عصر حاضر و  لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر  روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و  خدمات خود  را از طریق  سایت www.fabak.ir  به مخاطبان محترم عرضه می نماید

 

مکمل رمزهای عبور

آيا رمزهای عبور به تنهائی کافی می باشند ؟
رمزهای عبور، روشی متداول به منظور حفاظت از اطلاعات می باشند ولی استفاده از آنان به تنهائی يک سطح مطلوب امنيتی را ايجاد نخواهد کرد . برای حفاظت بهتر ، بررسی و استفاده از  سايت هائی  که از امکانات اضافه ای برای تشخيص هويت کاربران استفاده می نمايند ، می بايست در دستور کار قرار گيرد .

چرا رمزهای عبور به تنهائی کفايت نمی کنند ؟
رمزهای عبور به عنوان اولين لايه حفاظتی، سودمند بوده  ولی آنان دارای استعداد لازم برای ره گيری توسط مهاجمان می باشند . برای کاهش ضريب موفقيت مهاجمان ، می توان رمزهای عبور را با رعايت موارد زير تعريف نمود :

  • عدم استفاده از رمزهای عبور مبتنی بر اطلاعات شخصی نظير شماره شناسنامه و ...
  • عدم استفاده از رمزهای عبوری که مشابه آنان را می توان در واژه نامه ها يافت .
  • استفاده از رمزهای عبوری که با ترکيب اعداد ، حروف ويژه و حروف الفبائی بزرگ و کوچک ايجاد می شوند.
  • عدم اشتراک رمز عبور خود با ساير افراد

با رعايت موارد فوق و يا ساير توصيه های موجود در اين زمينه ، هيچگونه تضمينی وجود نخواهد داشت که مهاجمان قادر به تشخيص رمزهای عبور نگردند و همواره احتمال لو رفتن رمزهای عبور وجود خواهد داشت . بديهی است در صورتی که رمز عبور تنها سطح حفاظت از  اطلاعات باشد ، لو رفتن آنان اين امکان را در اختيار مهاجمان قرار خواهد داد که بدون هيچگونه مانع ديگر به سادگی به اطلاعات شخصی ، مالی و يا پزشکی شما دستيابی داشته باشند .

ايجاد سطوح امنيتی اضافه
سازمان های متعددی به منظور بررسی و تائيد هويت کاربران از روش های مختلفی علاوه بر رمزهای عبور استفاده می نمايند . روش های زير نمونه هائی متداول در اين زمينه می باشد :

  • تائيد دو فاکتوره : در اين روش  از رمز عبور توام با  يک بخش اطلاعات اضافی ديگر استفاده می شود . مهاجمی که برنامه ريزی لازم به منظور تشخيص رمز عبور را انجام می دهد ، بدون آگاهی از بخش دوم اطلاعات ، قادر به انجام هيچگونه عملياتی نخواهد بود . تئوری اين قضيه همانند ضرورت استفاده از دو کليد برای باز نمودن يک جعبه حاوی اشياء گرانقيمت می باشد .بخش دوم اطلاعات، يک رمز عبور با تاريخ يک بار مصرف است که پس از استفاده از آن فاقد اعتبار قانونی می گردد. در صورتی که يک مهاجم قادر به  ره گيری و تشخيص رمز عبور و بخش دوم اطلاعات مرتبط با آن گردد، وی نمی تواند با استفاده از آنان به اطلاعات دستيابی داشته باشد چراکه ترکيب خاص ايجاد شده، معتبر و قابل استفاده مجدد نخواهد بود .

  • گواهينامه های وب شخصی : برخلاف گواهينامه هائی که از آنان به منظور شناسائی وب سايت ها استفاده می شود ، گواهينامه های شخصی وب به منظور شناسائی افراد استفاده می گردد . وب سايتی که از گواهينامه های وب شخصی استفاده می نمايد در ارتباط با اين گواهينامه ها بوده و فرآيند تائيد آن ماحصل عملکرد کليدهای عمومی و خصوصی خواهد بود . با توجه به اين که اطلاعاتی که بر اساس آنان هويت شما شناسائی می گردد در گواهينامه موجود می باشد، به يک رمز عبور اضافه نياز نخواهد بود . بديهی است که در چنين مواردی حفاظت از کليد خصوصی می بايست در دستور کار قرار گرفته و از يک رمز عبور در ارتباط با آن استفاده گردد . با لو رفتن کليد خصوصی ، مهاجمان می توانند از آن به منظور رمزگشائی و دستيابی به اطلاعات استفاده نمايند .

گم شدن رمز عبور و يا گواهينامه
در صورتی که رمز عبور خود را فراموش نمائيد و يا با فرمت کردن کامپيوتر ، گواهينامه شخصی خود را از دست دهيد، تکليف چيست و چه اقدام و يا اقداماتی را می بايست در اين رابطه انجام داد ؟
اکثر سازمان ها دارای رويه هائی خاص به منظور دستيابی شما به اطلاعات می باشند . در صورتی که گواهينامه شخصی خود را از دست داده باشيد ، می بايست درخواست خود را برای صدور يک گواهينامه جديد برای سازمان مربوطه ارسال نمائيد . در رابطه با رمز عبور ، صرفا" به يک  "ياد انداز " نياز خواهيد داشت . صرفنظر از اين که چه اتفاقی افتاده است ، سازمان مربوطه نيازمند روشی به منظور بررسی هويت شما می باشد . بدين منظور اغلب سازمان ها از " سوالات سری " استفاده می نمايند .
زمانی که شما يک account جديد ( نظير email و ... ) را ايجاد می نمائيد ، برخی سازمان ها شما را ملزم به پاسخگوئی به يک سوال خاص می نمايند تا در صورت فراموش کردن رمز عبور با طرح سوال فوق و مقايسه پاسخ شما با آن چيزی که قبلا" پاسخ داده شده است ، امکان شناسائی هويت شما وجود داشته باشد . با اين که ايده سوالات سری دارای ارزش و جايگاه مختص به خود است ولی متاسفانه اکثر سوالاتی که در اين رابطه مطرح و مبنای تشخيص هويت کاربران قرار خواهد گرفت در ارتباط با اطلاعات شخصی نظير تاريخ تولد ، نام فيلم مورد علاقه و مواردی از اين قبيل است . با توجه به اين که امروزه حجم اطلاعات شخصی موجود بر روی اينترنت و ساير منابع اطلاعاتی عمومی بسيار گسترده می باشد ، مهاجمان نيز اين شانس را خواهند داشت که پاسخ مرتبط با اين نوع سوالات را بدون دردسر پيدا نمايند  .
فراموش نکنيد که سوالات سری ، صرفا" يک رمز عبور اضافه می باشند و هيچگونه دليلی وجود ندارد که  پاسخ  اين گونه سوالات،واقعی و درست باشد و دروغ گوئی  بهترين سياست  در اين رابطه می باشد ! پاسخ به اين گونه سوالات نيز می بايست با رعايت موارد ايمنی نظير رمزهای عبور باشد .
با اين که  روش های امنيتی اضافه يک سطح حفاظتی بمراتب مطلوبتر از يک رمز عبور به تنهائی را ارائه می نمايند ولی هيچگونه تضمينی وجود نخواهد داشت که آنان بطور کامل موثر واقع شوند .با افزايش سطوح حفاظتی، صرفا" درصد موفقيت مهاجمان کاهش خواهد يافت .



جستجو

مقالات                 
دايره المعارف       
دوره های آموزشی


 

 

مشاهده گروه ها



              

 

 تهيه شده در شرکت سخا روش -  1382