5 گام برای پذیرش سیاستهای امنیت گذرواژه در سازمانها
هکرها معمولاً از گواهینامههای ضعیف و سرقتی با شیوۀ خاصی برای نفوذ به شبکههای حساس تجاری استفاده میکنند. نفوذ به شبکههای تجاری با استفاده از گذرواژه سرقتیِ یک حساب کاربری بسیار سادهتر از بهرهبرداری از نقاط ضعف دیگر شبکه است.
بنابراین، ضروری است که شرکتها از گذرواژههای مناسب و سیاستهای امنیتی کارامد برای مخفی نگه داشتن آن استفاده کنند تا بدین ترتیب جایگاه امنیت سایبری خود را ارتقا بخشند.
یک سیاست کارامد امنیت گذرواژه چه ویژگیهایی باید داشته باشد؟
برای حفظ امنیت گذرواژه، طراحی و ایجاد ساختاری کارامد برای گزارشدهی به مالکان اصلی، رهبران، و نهادهای خارجی بر پایه سیاستهای امنیتی قدرتمند ضروری است.
با توجه به پیشرفت و تکامل تهدیدهای امنیت سایبری، برترین روشهای حفظ امنیت گذرواژه نیز پیوسته در حال تغییر است. کارشناسان امنیتی سالها فرصت در اختیار داشتهاند تا دریابند که در حوزه سیاستهای حفظ امنیت گذرواژه، کدام موارد کارایی دارد و کدام موارد کارایی ندارد.
در اینجا، برخی از مهمترین دستورالعملهای راهنما درباره سیاستهای کارامد حفظ امنیت گذرواژه را مرور میکنیم:
1- تشویق به استفاده از عبارت عبور (PassPhrase)
هکرها با استفاده از ابزارهای مناسب معمولاً به راحتی میتوانند گذرواژههای سنتی را هک کنند، حتی اگر حاوی نمادها و کاراکترهای خاصی باشند.
از این رو، ضروری است بجای گذرواژه کوتاهی که حاوی کاراکترهای خاص است از گذرواژه قدرتمندی که از تعداد زیادی کاراکتر تشکیل شده استفاده کنیم.
امروزه، در استانداردهای جدید امنیت سایبری به شرکتها پیشنهاد میشود تا به کاربران نهایی امکان دهند و آنها را تشویق نمایند که از عبارت عبور به عنوان گذرواژه معتبر استفاده کنند.
عبارت عبور چندین مزیت نسبت به گذرواژه سنتی دارد. به یاد سپردن عبارت عبور از گذرواژههایی شامل کاراکترهای خاص سادهتر است.
همچنین، عبارت عبور طولانیتر و قویتر است و برای مهاجمانی که به دنبال نفوذ به حسابهای کاربری هستند پیشبینی ناپذیر میباشد.
به طور مثال، به مقایسه زیر توجه کنید (هرچه تعداد بیتها بیشتر باشد، گذرواژه قویتر است):
1- MyP@$$w0rd1$ (84 بیت)
2- Is.My.Password (100 بیت)
روشن است که به یاد آوردن و تایپ کردن گذرواژه دوم که در واقع یک عبارت عبور میباشد سادهتر است؛ در عین حال، این گذرواژه قویتر نیز هست.
2- چشمپوشی نکردن از زمان انقضای گذرواژه
دستورالعمل راهنمای جدید نهادهای تنظیم مقرراتی مانند سازمان ملی استاندارد و فناوری (NIST) موجب شده است که برخی شرکتها قوانین مربوط به انقضای گذرواژه را کنار بگذارند.
اما، بهتر است بدانید که قوانین انقضای گذرواژه کاربران را وامیداراند تا پس از انقضای طول عمر یک گذرواژه آن را تغییر دهند.
3- پیادهسازی اصول حفاظت در برابر گذرواژه لو رفته
اگر شرکتی مصمم باشد که قوانین انقضای گذرواژه را کنار بگذارد، باید از بخش دوم پیشنهاد NIST پیروی کند، مگر اینکه شواهدی مبنی بر آلوده شدن ابزار احراز هویت وجود داشته باشد.
NIST همچنان پیشنهادی میکند که چنانچه گذرواژهای در فهرست نفوذهای شناسایی شده یافته شد، آن گذرواژه باید تغییر داده شود؛ بنابراین، چه بخواهید انقضای گذرواژه را حذف بکنید و چه نخواهید، استفاده از سرویس بررسی گذرواژه افشا شده بخش مهمی از دستورالعمل راهنما است.
شرکتها برای آگاهی از اینکه آیا گذرواژهای لو رفته است یا اینکه آیا کاربری در تلاش برای استفاده از گذرواژه لو رفته است باید اصول حفاظت در برابر گذرواژه لو رفته را پیادهسازی کنند.
پیادهسازی اصول حفاظت در برابر گذرواژه لو رفته در حسابهای کاربری به محافظت در برابر پایگاه دادههای بزرگ حاوی گذرواژهای که هکرها از آن برای حملات اسپریوار و انواع دیگر حملات واژهنامه محور استفاده میکنند کمک مینماید.
4- استفاده از بررسی گذرواژه در واژهنامه
مانند پیادهسازی اصول حفاظت در برابر گذرواژه لو رفته در سیاستهای گذرواژه، بررسی گذرواژه در واژهنامه نیز روشی برای جلوگیری از استفاده از گذرواژههای پراستفادهای است که الزامات پیچیدگی را برآورده میکنند، اما در عین حال بسیار ضعیف هستند.
بررسی گذرواژه در واژهنامه به شرکتها امکان میدهد تا برای جلوگیری از استفاده از نام شرکت یا کاراکترهای دیگری که به سادگی حدس زده میشوند در گذرواژه، واژهنامههای سفارشی خاص خودشان را ایجاد کنند.
5- استفاده از سیاستهای بستن حساب کاربری
NIST و سایر نهادهای امنیت سایبری همچنان استفاده از ابزاری برای محدود کردن شمار دفعات احراز هویت ناموفق برای یک حساب کاربری خاص را پیشنهاد میکنند.
«در اعتبارسنجها مکانیزمی برای محدودسازی شمار تلاشهای ناموفق برای احراز هویت جهت دسترسی به یک حساب کاربری مطابق با الزامات تعریف شده در بخش 2-2-5 باید وجود داشته باشد.»
پیادهسازی بهترین سیاستهای گذرواژه و حسابرسی آنها
در صورتی که شرکتها از قابلیتهای بومی سیاست اکتیو دایرکتوری برای حفاظت از گذرواژه استفاده کنند، امکان بهرهبرداری از ابزارهای درون ساخته مورد نیاز برای اجرای بهترین سیاستهای پیشنهاد شده برای گذرواژه، مانند حفاظت در برابر گذرواژه لو رفته، را نخواهند داشت.
بنابراین، شرکتها چگونه میتوانند این قابلیتها را به سادگی اجرا کنند و سیاستهای خود را برحسب استانداردهای صنعتی سیاست گذرواژه حسابرسی نمایند؟
شرکتها با استفاده از یک ابزار فقط خواندنی در شبکهشان میتوانند به هر دو قابلیت دست یابند. افزون بر این، سیاست گذرواژه Specops (در صورتی که به طور کامل خریداری شود)، روش قدرتمندی شامل موارد زیر را برای گسترش قابلیتهای درون ساخته به سیاست گذرواژه در اکتیو دایرکتوری فراهم میکند:
- طراحی واژهنامه سفارشی برای ممنوع کردن استفاده از برخی واژگان یا کلمات در گذرواژههای شرکت
- جلوگیری از استفاده از گذرواژههای لو رفته به کمک قابلیت حفاظت در برابر گذرواژههای لو رفته
- شناسایی و حذف گذرواژههای لو رفته
- پیام رسانی بلادرنگ و قابل سفارشیسازی دربارۀ تلاشهای ناموفق برای تغییر گذرواژه
- مسدودسازی امکان استفاده از نامهای کاربری، نامهای نمایش داده شده، واژگان خاص، کاراکترهای متوالی، و گذرواژههای تصاعدی به عنوان گذرواژه یا امکان استفاده دوباره از بخشی از گذرواژه کنونی
- هدفگیری ذرهای و GPO-محور در هر سطح GPO، کامپیوتر، کاربر، یا گروه کاربری
- پشتیبانی از عبارت عبور
- پشتیبانی از 25 زبان مختلف شامل انگلیسی، فرانسه، آلمانی، اسپانیایی، روسی، و چینی
- استفاده از اصطلاحات رایج برای سفارشیسازی بیشتر الزامات
قابلیت حسابرسی گذرواژه Specops به مدیران آیتی امکان حسابرسی آسان سیاستهای موجود برای گذرواژه و مقایسۀ آنها با برترین سیاستهای استاندارد صنعتی را میدهد؛ گذشته از این، امکان بررسی کارایی سیاستهای گذرواژه را نیز میسر میسازد.
همچنین، امکان آمادهسازی گزارشهای اجرایی برای تحویل به حسابرسان، مالکان کسب و کار، یا رهبران نیز میدهد.
![چگونه از کاربران Active directory در فایروال فورتی گیت استفاده کنیم؟ [ستاک فناوری ویرا]](https://www.setakit.com/wp-content/uploads/2023/12/use-active-directory-objects-directly-in-policies-240x144.jpg)
![پروتکل STP چیست و چگونه کار میکند؟ [ستاک فناوری ویرا]](https://www.setakit.com/wp-content/uploads/2023/12/STP-240x144.png)
