آیا رمزهای عبور به تنهائی کافی می باشند ؟

رمزهای عبور، روشی متداول به منظور حفاظت از اطلاعات می باشند ولی استفاده از آنان به تنهائی یک سطح مطلوب امنیتی را ایجاد نخواهد کرد . برای حفاظت بهتر ، بررسی و استفاده از  سایت هائی  که از امکانات اضافه ای برای تشخیص هویت کاربران استفاده می نمایند ، می بایست در دستور کار قرار گیرد .

چرا رمزهای عبور به تنهائی کفایت نمی کنند ؟

رمزهای عبور به عنوان اولین لایه حفاظتی، سودمند بوده  ولی آنان دارای استعداد لازم برای ره گیری توسط مهاجمان می باشند . برای کاهش ضریب موفقیت مهاجمان ، می توان رمزهای عبور را با رعایت موارد زیر تعریف نمود :

•           عدم استفاده از رمزهای عبور مبتنی بر اطلاعات شخصی نظیر شماره شناسنامه و ...

•           عدم استفاده از رمزهای عبوری که مشابه آنان را می توان در واژه نامه ها یافت .

•           استفاده از رمزهای عبوری که با ترکیب اعداد ، حروف ویژه و حروف الفبائی بزرگ و کوچک ایجاد می شوند.

•           عدم اشتراک رمز عبور خود با سایر افراد

با رعایت موارد فوق و یا سایر توصیه های موجود در این زمینه ، هیچگونه تضمینی وجود نخواهد داشت که مهاجمان قادر به تشخیص رمزهای عبور نگردند و همواره احتمال لو رفتن رمزهای عبور وجود خواهد داشت . بدیهی است در صورتی که رمز عبور تنها سطح حفاظت از  اطلاعات باشد ، لو رفتن آنان این امکان را در اختیار مهاجمان قرار خواهد داد که بدون هیچگونه مانع دیگر به سادگی به اطلاعات شخصی ، مالی و یا پزشکی شما دستیابی داشته باشند .

ایجاد سطوح امنیتی اضافه

سازمان های متعددی به منظور بررسی و تائید هویت کاربران از روش های مختلفی علاوه بر رمزهای عبور استفاده می نمایند . روش های زیر نمونه هائی متداول در این زمینه می باشد :

•         تائید دو فاکتوره : در این روش  از رمز عبور توام با  یک بخش اطلاعات اضافی دیگر استفاده می شود . مهاجمی که برنامه ریزی لازم به منظور تشخیص رمز عبور را انجام می دهد ، بدون آگاهی از بخش دوم اطلاعات ، قادر به انجام هیچگونه عملیاتی نخواهد بود . تئوری این قضیه همانند ضرورت استفاده از دو کلید برای باز نمودن یک جعبه حاوی اشیاء گرانقیمت می باشد .بخش دوم اطلاعات، یک رمز عبور با تاریخ یک بار مصرف است که پس از استفاده از آن فاقد اعتبار قانونی می گردد. در صورتی که یک مهاجم قادر به  ره گیری و تشخیص رمز عبور و بخش دوم اطلاعات مرتبط با آن گردد، وی نمی تواند با استفاده از آنان به اطلاعات دستیابی داشته باشد چراکه ترکیب خاص ایجاد شده، معتبر و قابل استفاده مجدد نخواهد بود .

•         گواهینامه های وب شخصی : برخلاف گواهینامه هائی که از آنان به منظور شناسائی وب سایت ها استفاده می شود ، گواهینامه های شخصی وب به منظور شناسائی افراد استفاده می گردد . وب سایتی که از گواهینامه های وب شخصی استفاده می نماید در ارتباط با این گواهینامه ها بوده و فرآیند تائید آن ماحصل عملکرد کلیدهای عمومی و خصوصی خواهد بود . با توجه به این که اطلاعاتی که بر اساس آنان هویت شما شناسائی می گردد در گواهینامه موجود می باشد، به یک رمز عبور اضافه نیاز نخواهد بود . بدیهی است که در چنین مواردی حفاظت از کلید خصوصی می بایست در دستور کار قرار گرفته و از یک رمز عبور در ارتباط با آن استفاده گردد . با لو رفتن کلید خصوصی ، مهاجمان می توانند از آن به منظور رمزگشائی و دستیابی به اطلاعات استفاده نمایند .

گم شدن رمز عبور و یا گواهینامه

در صورتی که رمز عبور خود را فراموش نمائید و یا با فرمت کردن کامپیوتر ، گواهینامه شخصی خود را از دست دهید، تکلیف چیست و چه اقدام و یا اقداماتی را می بایست در این رابطه انجام داد ؟

اکثر سازمان ها دارای رویه هائی خاص به منظور دستیابی شما به اطلاعات می باشند . در صورتی که گواهینامه شخصی خود را از دست داده باشید ، می بایست درخواست خود را برای صدور یک گواهینامه جدید برای سازمان مربوطه ارسال نمائید . در رابطه با رمز عبور ، صرفا" به یک  "یاد انداز " نیاز خواهید داشت . صرفنظر از این که چه اتفاقی افتاده است ، سازمان مربوطه نیازمند روشی به منظور بررسی هویت شما می باشد . بدین منظور اغلب سازمان ها از " سوالات سری " استفاده می نمایند .

زمانی که شما یک account جدید ( نظیر email و ... ) را ایجاد می نمائید ، برخی سازمان ها شما را ملزم به پاسخگوئی به یک سوال خاص می نمایند تا در صورت فراموش کردن رمز عبور با طرح سوال فوق و مقایسه پاسخ شما با آن چیزی که قبلا" پاسخ داده شده است ، امکان شناسائی هویت شما وجود داشته باشد . با این که ایده سوالات سری دارای ارزش و جایگاه مختص به خود است ولی متاسفانه اکثر سوالاتی که در این رابطه مطرح و مبنای تشخیص هویت کاربران قرار خواهد گرفت در ارتباط با اطلاعات شخصی نظیر تاریخ تولد ، نام فیلم مورد علاقه و مواردی از این قبیل است . با توجه به این که امروزه حجم اطلاعات شخصی موجود بر روی اینترنت و سایر منابع اطلاعاتی عمومی بسیار گسترده می باشد ، مهاجمان نیز این شانس را خواهند داشت که پاسخ مرتبط با این نوع سوالات را بدون دردسر پیدا نمایند  .

فراموش نکنید که سوالات سری ، صرفا" یک رمز عبور اضافه می باشند و هیچگونه دلیلی وجود ندارد که  پاسخ  این گونه سوالات،واقعی و درست باشد و دروغ گوئی  بهترین سیاست  در این رابطه می باشد ! پاسخ به این گونه سوالات نیز می بایست با رعایت موارد ایمنی نظیر رمزهای عبور باشد .

با این که  روش های امنیتی اضافه یک سطح حفاظتی بمراتب مطلوبتر از یک رمز عبور به تنهائی را ارائه می نمایند ولی هیچگونه تضمینی وجود نخواهد داشت که آنان بطور کامل موثر واقع شوند .با افزایش سطوح حفاظتی، صرفا" درصد موفقیت مهاجمان کاهش خواهد یافت .

شبکه

شبکه‌ مجموعه‌ای‌ از سرویس‌ دهنده‌ها و سرویس‌ گیرنده‌های‌ متعددی‌ می‌باشد که‌به‌ یکدیگر متصل‌ هستند. در این‌ بین‌ سرویس‌ دهنده‌ها (server) نقش‌ سرویس‌ دهنده‌ و خدمات‌ دهی‌ وسرویس‌ گیرنده‌ها (Client) نقش‌ سرویس‌ گیرنده‌ یا همان‌ مشتری‌ را بازی‌ می‌کنند. انواع‌ شبکه‌: شبکه‌ها را می‌توان‌ به‌ دو دسته‌ی‌ «شبکه‌های‌ محلی‌» LAN و شبکه‌های‌ بزرگ‌تر از آن‌(WAN) تقسیم‌ کرد. شبکه‌های‌ محلی‌: Local Area Network این‌ نوع‌ شبکه‌ها به‌ شبکه‌های(‌ (LAN) معروف‌ هستند. شبکه های محلی معمولا میزبان 2 تا 20کامپیوتر و در غالب Work Group میباشند. سرعت این نوع شبکه بسیار زیاد است (معمولا 100MB Per Sec) و می توان حجم داده های بالا را در مدت بسیار کم انتقال داد. شبکه‌های‌ گسترده‌: Wide Area Network این نوع شبکه ها به شبکه های WAN معروف هستند. این شبکه ها بزرگتر از شبکه های LAN و اغلب برای امور عمومی از آن استفاده می شود. ازجمله این شبکه ها میتوان شبکه های VAN و یا شبکه های بزرگتر مانند Internet و.. را نام برد. سرعت انتقال داده ها در این نوع شبکه ها نسبت به LAN (در ایران) بسیار ناچیز میباشد. این سرعت به خاطر استفاده از خطوط 56K است. البته می توان با استفاده از خطوط DSL یا ISDN و یا بی سیم Wire Less سرعت این ارتباط را به اندازه 128K ,256 k , 512 kیا بالاتر افزایش داد. Internet Protocol: IP IP یک‌ عدد 32 بیتی‌ (bit) است‌ که‌ پس‌ از اتصال‌ به‌ شبکه‌(... , Internet , LAN) به‌ ما متعلق‌ می‌گیرد. شکل کلی IP را می توان به صورت http://www.xxx.yyy.zzz در نظر گرفت که با هر بار اتصال به اینترنت به صورت Dial Up این عدد تغییر می کند. به عنوان مثال در حال حاضر IP ما 213.155.55.104 است اما در اتصال بعدی ممکن است این عدد به 213.155.55.20 تغییر کند. IP چه کاربردی دارد؟ IP به عنوان یک شناسنامه در شبکه است و کاربردهای بسیاری دارد .برای توصیف کامل IP نیاز به شرح TCP/IP است که بعدا به آن اشاره خواهیم کرد. همان طور که در جامعه شناسنامه وسیله ای برای احراز هویت ماست و بدون آن جزو آن جامعه محسوب نمی شویم ، IP نیز وسیله ای برای شناسایی ما در شبکه است و امکان اتصال به شبکه بدون آن وجود ندارد. به طور مثال هنگامی که در شبکه مشغول چت (Chat) هستیم ، کامپیوتر شما دارای یک IP می باشد. و جملاتی را که شما تایپ می کنید به وسیله مسیر یابها (Router ) مسیر یابی (Routing) شده و به کامپیوتر شخص مقابل میرسند و متنی را هم که شخص مقابل تایپ میکند روی IP شما فرستاده می شود. خط فرمان در ویندوز چیست؟ خط فرمان یا همان "Command Prompt" در ویندوز نوعی شبیه ساز سیستم عامل Dos در ویندوز است که فایلهای اجرایی "exe,com" در آن اجرا می شود. خط فرمان ویندوز دستورات بسیار زیاد و کاربردی دارد که به مرور زمان انها را خواهیم آموخت. دسترسی به خط فرمان در ویندوز: دسترسی به خط فرمان به دو روش میسر است. روش اول : روی Start Menu کلیک کرده و گزینه Run را انتخاب می کنیم . سپس در پنجره ظاهر شده اگر ویندوز شما 98/ME باشد عبارت "Command" و اگر 2000/2003/XP باشد عبارت "CMD" را تایپ می کنیم هم اکنون محیط Command Prompt در جلوی شما قرار دارد! روش دوم : با طی کردن مسیر Start> Programs>Accessories و کلیک کردن برروی Command Prompt این محیط برای شما باز میشود. ادامه مبحث IP : چگونه IPخود را بدست آوریم : برای بدست آوردن IP خود در سیستم عامل ویندوز کافی است همان طور که در بالا توضیح داده شد به محیط Command Prompt رفته و عبارت " IPCONFIG " را تایپ کنیم. به طور مثال پس از اجرای دستور به نتایج زیر می رسید : Windows IP Configuration 0 Ethernet adapter : IP Address. . . . . . . . . : 213.155.55.232 Subnet Mask . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . : 213.155.55.232 فعلا تنها به سطر IP Address که با رنگ قرمز مشخص شده است توجه کنید (Default Gateway و Subnet Mask) بعدا برسی خواهد شد. ملاحظه میکنید که IP ما213.155.55.232 است. آدرسهای IP به چند دسته تقسیم می شوند؟ آدرسهای IP به پنج کلاس A,B,C,D,E تقسیم می شوند. از بین این کلاسها تنها کلاسهای A,B,C کاربرد دارند که به شرح آنها می پردازیم . کلاس A : تمام IP هایی که www آنها (در درس قبل شکل کلی IP را به صورت http://www.xxx.yyy.zzz معرفی کردیم) بین 1 تا 126 است ، جزو کلاس A محسوب می شوند. به عنوان مثال : 112.10.57.13 یک IP کلاس A است. این کلاس ویژه پایگاهای بزرگ اینترنتی است. کلاس B : تمام IP هایی که WWW آنها بین 128 تا 191 می باشد را شامل می شود. مانند IP ی 172.155.55.73 که جزو کلاس B است. کلاس C : این کلاس تمام IP هایی که WWW آنها بین 192 تا 223 است را شامل می شود: مانند 213.133.52.138 که جزو کلاس C محصوب می شود. تحلیل IP : همان طور که گفته شد IP یک عدد 32 بیتی است. هم اکنون این گفته را کاملتر شرح داده و مطلب را بازتر می کنیم/ درک این قسمت از مطلب نیازمند دانستن مفاهیم Bit و Byte است . این در حقیقت واحدهای اندازه گیری حافظه کامپیوتر هستند که در پایین آنها را شرح می دهیم : BIT :به کوچکترین واحد اندازه گیری حافظه کامپیوتری می گویند. Byte : به مجموع 8 بیت ، یک بایت می گویند. بنابر این نتیجه می گیریم 32 بیت همان 4 بایت در مبنای اعشاری (مبنای 10 ) است و برای این که کامپیوتر اعداد را در مبنای 2 در نظر می گیرد آن را به صورت Binary (مبنای 2 ) می نویسیم. برای اینکه این مفاهیم را بهتر متوجه شوید آنها را در جدول برسی می کنیم. IP از چند قسمت تشکیل شده است؟ IP از دو قسمت Net ID و Host ID تشکیل شده است و مقادیر بیت ها در این دو قسمت در کلاسهای مختلف IP متفاوت است. Net ID در واقع شناسه شبکه و Host ID شناسه میزبان در IP است. برسی Net ID در کلاساهی مختلف: Net ID در کلاس A به صورت http://www.0.0.0 یعنی تنها www را شامل می شود. در کلاس B به صورت : http://www.xxx.0.0 است یعنی http://www.xxx در واقع Net Id می باشد. و در کلاس C به صورت : http://www.xxx.yyy.0 است یعنی NetID .. این رودیگه باید فهمیده باشید چیه ;) کلاس A : در کلاس A : Net ID هشت بیت است و Host ID آن 24 بیت که مجموعا 32 بیت می شود. این کلاس می تواند 16.777.14 میزبان (Host) داشته باشد یعنی 16.777.14 IP که زیر مجموعه آن قرار می گیرند. به عنوان مثال http://www.44.4.13 که 44.4.13 یکی از میزبان ها (Host) می باشد. کلاس B : در کلاس B : NetID از هشت بیت به شانزده بیت افزایش می یابد و فضا را برای host ID کمتر می کند، به همین دلیل IP های زیر مجموعه آن به 56.534 کاهش می یابد. به عنوان مثال IP : http://www.xxx.55.137 که 55.137 یکی از میزبانهاست . کلاس C : NetID باز هم بزرگتر شده و از 16 بیت در کلاس B به بیست و چهار افزایش می یابد و Host ID به کوچکترین مقدار خود یعنی هشت بیت می رسد. این کلاس تنها 242 IP را پشتیبانی می کند. به عنوان مثال http://www.xxx.yyy.93 که در آن 93 یکی از میزبانهاست. نکات مهم درس : 1- سعی کنید بیشتر در محیط Command Prompt کار کنید تا به آن عادت کرده و دست خود را در اجرای دستورات سریع تر کنید. سرعت در اجرای دستورات هنگام Hack کردن بخصوص Client بسیار مهم است. 2- با کمی دقت حتما متوجه می شوید که IP ای که www آن 127 باشد در هیچ یک از کلاسهای مطرح شده وجود ندارد. در حقیقت IP ی 127.0.0.1 از قبل برای کامپیوتر خودمان رزرو شده و به آن Local Host می گویند. 3- هنگامی که به صورت Dial Up به اینترنت متصل می شوید معمولا IP کلاس C به شما تعلق می گیرد. 4- توصیه و پیشنهاد برای استفاده از Command Line ویندوز 2000 یا XP است