Pooye Content Pass 14011242 00 01 min

حملات رمز عبور و نکاتی که باید رعایت کنید

حملات رمز عبور همیشه در صدر آمار حمله نقض امنیت داده قرار دارند. در حالی که کاهش آنها نسبتاً آسان و کم هزینه است، بسیاری از سازمان ها تدابیر حفاظتی را به درستی اجرا نمی کنند.

Pooye Content Pass 14011242 00 01 min

حمله رمز عبور به هر یک از روش‌های مختلف مورد استفاده برای احراز هویت مخرب در حساب‌های محافظت شده با رمز عبور اشاره دارد. این حملات معمولاً از طریق استفاده از نرم‌افزاری تسهیل می‌شود که شکستن یا حدس زدن رمزهای عبور را تسریع می‌کند. رایج‌ترین روش‌های حمله عبارتند از اجبار بی‌رحمانه، حملات فرهنگ لغت، سم پاشی رمز عبور و پر کردن اعتبار.

  • اجبار بی رحمانه تلاش برای حدس زدن رمز عبور با تکرار در میان تمام ترکیبات ممکن از مجموعه کاراکترهای مجاز است.
  • حملات دیکشنری سعی می کنند رمزهای عبور را با تکرار رمزهای عبور رایج، مانند کلمات موجود در فرهنگ لغت و تغییرات ساده روی آنها حدس بزنند.
  • به جای استفاده از چندین رمز عبور برای یک حساب کاربری، هکر تعداد کمی از رمزهای عبور رایج را در مقابل بسیاری از حساب ها به امید دسترسی به حداقل یکی از آنها امتحان می کند. این روش به جلوگیری از قوانین قفل حساب کمک می کند و تشخیص آن دشوارتر است.
  • عوامل تهدید سایبری از تمایل کاربران نهایی برای استفاده مجدد از رمزهای عبور از طریق پر کردن اعتبار سوء استفاده می کنند. این شامل استفاده از نام‌های کاربری و گذرواژه‌های نقض شده برای تلاش (یا «موارد») تعداد زیادی درخواست ورود به یک وب‌سایت متفاوت است، به این امید که برخی از کاربران از نام‌های کاربری و رمزهای عبور نقض‌شده استفاده مجدد کرده باشند.

این موارد رایج ترین حملات “front end” هستند که در آن عوامل مخرب سعی می کنند حساب ها را از طریق پورتال های ورود به سیستم به خطر بیاندازند. مجموعه دیگری از حملات وجود دارد که پس از ذخیره رمز عبور انجام می شود. از آنجایی که مهاجمان اغلب مسیر دارای کمترین مقاومت را انتخاب می کنند، محافظت در برابر هر دو نوع بسیار مهم است.

 

  • چرا مهم است؟

حملات رمز عبور همیشه در صدر آمار حمله نقض امنیت داده قرار دارند. در حالی که کاهش آنها نسبتاً آسان و کم هزینه است، بسیاری از سازمان‌ها تدابیر حفاظتی را به درستی اجرا نمی‌کنند. حتی زمانی که سازمان‌ها احراز هویت چند عاملی (MFA) را پیاده‌سازی می‌کنند، رمز عبور معمولاً به عنوان یکی از عوامل عمل می‌کند. علاوه بر این، عوامل مخرب معمولاً حساب‌ها را به خطر می‌اندازند تا پیامدهای دیگری مانند استخراج داده‌ها، فیشینگ تسهیل‌شده یا معرفی بدافزار به شبکه‌ها را تسهیل کنند.

Pooye Content Pass 14011242 00 02 min

  • آنچه شما می‌توانید انجام دهید

به منظور محافظت از سازمان شما در برابر حملات گذرواژه، مقامات انتخاباتی باید با کارکنان امنیتی خود برای پیاده سازی راهنمایی رمز عبور در دستورالعمل های هویت دیجیتال، احراز هویت و مدیریت چرخه حیات، موسسه انتشارات ویژه 800-63B  موسسه ملی استانداردها و فناوری همکاری کنند. این راهنما الزامات مربوط به گذرواژه‌هایی را که می‌توانند حملات فوق را ناکارآمد جلوه دهند، روش‌های ذخیره‌سازی مناسب گذرواژه‌ها و استراتژی‌هایی با هدف دفاع در برابر حملات رمز عبور را توضیح می‌دهد. گذرواژه هایی که به خوبی ایجاد شده و به خوبی محافظت شده اند، مقدار محدودی محافظت را فراهم می کنند. از MFA برای محافظت از تمام حساب‌ها و اطلاعات حساس استفاده کنید.

 

در زیر برخی از نکات برجسته راهنمای رمز عبور NIST آورده شده است. این راهنما پیاده سازی را با جزئیات بسیار بیشتری برای کادر فنی شما توضیح می دهد:

  • استفاده از عبارات عبور را به جای گذرواژه با اجازه دادن به عبارت‌های عبور طولانی (حداقل 64 کاراکتر) تشویق کنید. طول عبارات عبور باید حداقل 15 کاراکتر باشد.
  • اگر به یک عبارات عبور از 15 کاراکتر یا بیشتر نیاز دارید، نیازی به قوانین ترکیب، مانند حروف بزرگ و کوچک، اعداد یا کاراکترهای خاص نیست. این پست وبلاگ توضیح می دهد که چرا عبارات عبور هم برای قابلیت استفاده و هم برای امنیت بهتر هستند.
  • نه رمز عبور و نه عبارات عبور به تنهایی نباید برای محافظت از اطلاعات حساس استفاده شوند. برای هر چیزی حساس یا دارای ارزش اساسی برای سازمان شما، از حساب های کاربری با MFA محافظت کنید.
  • به‌جای اینکه گذرواژه‌ها منقضی شوند، فقط زمانی تغییر می‌کنند که دلیلی وجود داشته باشد که مصالحه وجود داشته باشد. برای جلوگیری از مشکلات استفاده مجدد از رمز عبور، هنگام ایجاد عبارات عبور کاربران، داده های نقض قبلی را بررسی کنید.
  • به ذخیره کننده های رمز عبور اجازه کار ندهید.
  • رمزهای عبور ذخیره شده را به درستی مخفی کنید.

 

  • برای مطالعه مقاله “فضای مجازی و تهدیدات امنیتی آن” بر روی اینجا کلیک کنید.