آیا رمزهای عبور به تنهائی کافی می باشند ؟

رمزهای عبور، روشی متداول به منظور حفاظت از اطلاعات می باشند ولی استفاده از آنان به تنهائی یک سطح مطلوب امنیتی را ایجاد نخواهد کرد . برای حفاظت بهتر ، بررسی و استفاده از  سایت هائی  که از امکانات اضافه ای برای تشخیص هویت کاربران استفاده می نمایند ، می بایست در دستور کار قرار گیرد .

چرا رمزهای عبور به تنهائی کفایت نمی کنند ؟

رمزهای عبور به عنوان اولین لایه حفاظتی، سودمند بوده  ولی آنان دارای استعداد لازم برای ره گیری توسط مهاجمان می باشند . برای کاهش ضریب موفقیت مهاجمان ، می توان رمزهای عبور را با رعایت موارد زیر تعریف نمود :

•           عدم استفاده از رمزهای عبور مبتنی بر اطلاعات شخصی نظیر شماره شناسنامه و ...

•           عدم استفاده از رمزهای عبوری که مشابه آنان را می توان در واژه نامه ها یافت .

•           استفاده از رمزهای عبوری که با ترکیب اعداد ، حروف ویژه و حروف الفبائی بزرگ و کوچک ایجاد می شوند.

•           عدم اشتراک رمز عبور خود با سایر افراد

با رعایت موارد فوق و یا سایر توصیه های موجود در این زمینه ، هیچگونه تضمینی وجود نخواهد داشت که مهاجمان قادر به تشخیص رمزهای عبور نگردند و همواره احتمال لو رفتن رمزهای عبور وجود خواهد داشت . بدیهی است در صورتی که رمز عبور تنها سطح حفاظت از  اطلاعات باشد ، لو رفتن آنان این امکان را در اختیار مهاجمان قرار خواهد داد که بدون هیچگونه مانع دیگر به سادگی به اطلاعات شخصی ، مالی و یا پزشکی شما دستیابی داشته باشند .

ایجاد سطوح امنیتی اضافه

سازمان های متعددی به منظور بررسی و تائید هویت کاربران از روش های مختلفی علاوه بر رمزهای عبور استفاده می نمایند . روش های زیر نمونه هائی متداول در این زمینه می باشد :

•         تائید دو فاکتوره : در این روش  از رمز عبور توام با  یک بخش اطلاعات اضافی دیگر استفاده می شود . مهاجمی که برنامه ریزی لازم به منظور تشخیص رمز عبور را انجام می دهد ، بدون آگاهی از بخش دوم اطلاعات ، قادر به انجام هیچگونه عملیاتی نخواهد بود . تئوری این قضیه همانند ضرورت استفاده از دو کلید برای باز نمودن یک جعبه حاوی اشیاء گرانقیمت می باشد .بخش دوم اطلاعات، یک رمز عبور با تاریخ یک بار مصرف است که پس از استفاده از آن فاقد اعتبار قانونی می گردد. در صورتی که یک مهاجم قادر به  ره گیری و تشخیص رمز عبور و بخش دوم اطلاعات مرتبط با آن گردد، وی نمی تواند با استفاده از آنان به اطلاعات دستیابی داشته باشد چراکه ترکیب خاص ایجاد شده، معتبر و قابل استفاده مجدد نخواهد بود .

•         گواهینامه های وب شخصی : برخلاف گواهینامه هائی که از آنان به منظور شناسائی وب سایت ها استفاده می شود ، گواهینامه های شخصی وب به منظور شناسائی افراد استفاده می گردد . وب سایتی که از گواهینامه های وب شخصی استفاده می نماید در ارتباط با این گواهینامه ها بوده و فرآیند تائید آن ماحصل عملکرد کلیدهای عمومی و خصوصی خواهد بود . با توجه به این که اطلاعاتی که بر اساس آنان هویت شما شناسائی می گردد در گواهینامه موجود می باشد، به یک رمز عبور اضافه نیاز نخواهد بود . بدیهی است که در چنین مواردی حفاظت از کلید خصوصی می بایست در دستور کار قرار گرفته و از یک رمز عبور در ارتباط با آن استفاده گردد . با لو رفتن کلید خصوصی ، مهاجمان می توانند از آن به منظور رمزگشائی و دستیابی به اطلاعات استفاده نمایند .

گم شدن رمز عبور و یا گواهینامه

در صورتی که رمز عبور خود را فراموش نمائید و یا با فرمت کردن کامپیوتر ، گواهینامه شخصی خود را از دست دهید، تکلیف چیست و چه اقدام و یا اقداماتی را می بایست در این رابطه انجام داد ؟

اکثر سازمان ها دارای رویه هائی خاص به منظور دستیابی شما به اطلاعات می باشند . در صورتی که گواهینامه شخصی خود را از دست داده باشید ، می بایست درخواست خود را برای صدور یک گواهینامه جدید برای سازمان مربوطه ارسال نمائید . در رابطه با رمز عبور ، صرفا" به یک  "یاد انداز " نیاز خواهید داشت . صرفنظر از این که چه اتفاقی افتاده است ، سازمان مربوطه نیازمند روشی به منظور بررسی هویت شما می باشد . بدین منظور اغلب سازمان ها از " سوالات سری " استفاده می نمایند .

زمانی که شما یک account جدید ( نظیر email و ... ) را ایجاد می نمائید ، برخی سازمان ها شما را ملزم به پاسخگوئی به یک سوال خاص می نمایند تا در صورت فراموش کردن رمز عبور با طرح سوال فوق و مقایسه پاسخ شما با آن چیزی که قبلا" پاسخ داده شده است ، امکان شناسائی هویت شما وجود داشته باشد . با این که ایده سوالات سری دارای ارزش و جایگاه مختص به خود است ولی متاسفانه اکثر سوالاتی که در این رابطه مطرح و مبنای تشخیص هویت کاربران قرار خواهد گرفت در ارتباط با اطلاعات شخصی نظیر تاریخ تولد ، نام فیلم مورد علاقه و مواردی از این قبیل است . با توجه به این که امروزه حجم اطلاعات شخصی موجود بر روی اینترنت و سایر منابع اطلاعاتی عمومی بسیار گسترده می باشد ، مهاجمان نیز این شانس را خواهند داشت که پاسخ مرتبط با این نوع سوالات را بدون دردسر پیدا نمایند  .

فراموش نکنید که سوالات سری ، صرفا" یک رمز عبور اضافه می باشند و هیچگونه دلیلی وجود ندارد که  پاسخ  این گونه سوالات،واقعی و درست باشد و دروغ گوئی  بهترین سیاست  در این رابطه می باشد ! پاسخ به این گونه سوالات نیز می بایست با رعایت موارد ایمنی نظیر رمزهای عبور باشد .

با این که  روش های امنیتی اضافه یک سطح حفاظتی بمراتب مطلوبتر از یک رمز عبور به تنهائی را ارائه می نمایند ولی هیچگونه تضمینی وجود نخواهد داشت که آنان بطور کامل موثر واقع شوند .با افزایش سطوح حفاظتی، صرفا" درصد موفقیت مهاجمان کاهش خواهد یافت .