آیا تاکنون شده از اپلیکیشنی استفاده کنید که در زمانهای مشخص از شما بخواهد رمزعبورتان را تغییر دهید؟ تعیین طول عمر رمزعبور یکی از سیاستهایی امنیتیای است که برخی شرکتها از آن برای سرویس یا کارمندانشان استفاده میکنند. در این مقاله از وبسایت امنیت اینترنت کنشتک چالشهای تعیین طول عمر پسورد را میخوانیم.
رمزعبور به شکلی که اکنون رواج دارد، ترکیبی از حروف و اعداد، یکی از اصلیترین و مهمترین لایههای امنیت روی حسابهای آنلاین و حتی آفلاین است. گزینههای دیگری به غیر از رمزعبورها برای احراز هویت وجود دارند مانند احراز هویت بیومتریک، با اینحال همانطور که گفتیم بیشتر سرویسهای اینترنتی از رمزعبور یا ترکیب رمزعبور با گزینههای دیگر برای احراز هویت استفاده میکنند.
توسعه دهندگان اپلیکیشنها برای حفظ امنیت اطلاعات کاربرانشان، از ویژگیهای امنیتی هنگام ثبت نام کاربر استفاده میکنند، برای نمونه تعیین حداقل حروف رمزعبوری که کاربر وارد میکند بهمراه اینکه رمزعبور باید شامل حروف بزرگ، کوچک، اعداد و حروف خاص باشد. در اثر این ویژگی است که کاربر مجبور شود رمزعبور قدرتمندی برای خود انتخاب کند.
یکی دیگر از ویژگیهای امنیتیای که توسعه دهندگان در اپلیکیشنها استفاده میکنند، تعیین طول عمر رمزعبور است. یعنی مشخص میکنند رمزعبور برای مدت زمان خاصی، مثلا ۳۰ روز، قابل استفاده است. بعد از این مدت مشخص کاربر نمیتواند با وارد کردن این رمزعبور به حسابش دسترسی داشته باشد و باید رمزعبور جدیدی انتخاب کند. اما این گزینه چه مزیتها و تهدیدهایی بدنبال دارد؟
چالشهای تعیین طول عمر رمزعبور
اگر کاربرتان را مجبور کنید که در زمانهای مشخص رمزعبورشان را تغییر دهند، آنها خود را با سیستمی درگیر میکنند تا به آنها کمک کند رمزعبورهایشان را بخاطر بسپارند. اکثر کاربران از روش نوشتن رمزعبور روی کاغذ استفاده میکنند، علاوه بر این کاربران زیادی هم هستند که با تغییر کوچکی در رمزعبور قبلی، یک رمزعبور جدید میسازند; برای مثال:
رمزعبور قبلی : mypassword1
رمزعبور جدید : mypassword2
کاربرانی هستند که تنها با یک تغییر مانند افزایش یا کاهش عدد اول یا آخر رمزعبور قبلی، یکی جدید آن را میسازند. مطمئنا خرابکارها هم از عادت و رفتار کاربران در تغییر رمزعبورها آگاه هستند. اگر بعنوان توسعه دهنده اپلیکیشن تصمیم بگیرید تاریخچه رمزعبورها را ذخیره کنید تا مطمئن شوید در هر تغییر رمزعبور کاملا محنصربفرد است، تنها به خرابکار به جای یک هش رمزعبور برای شکستن، چندین هش رمزعبور میدهید. هر چه تاریخچه رمزعبور بیشتر شود احتمال کرک کردن پسورد نیز بالاتر میرود.
بهترین سیاست برای امنیت رمزعبور و در نتیجه امنیت اطلاعات و دادهها:
- رمزعبور طولانی بسازید، هر چقدر رمزعبور طولانیتر باشد شکستن یا حدس زدن آن زمانبرتر خواهد شد. علاوه بر طولانی بودن، اگر رمزعبورتان را تصادفی و پیچیده انتخاب کنید، زمان شکستن رمزعبور حتی بیشتر نیز خواهد شد.
- هر رمزعبور تنها و تنها باید به یک حساب کاربریتان متعلق باشد، از یک رمزعبور برای فقط و فقط یک حساب کاربری استفاده کنید.
- اگر سرویسی که استفاده میکنید از گزینه احراز هویت دو یا چند عامله پشتیبانی میکند، حتما آن را فعال کنید.
- اگر شک دارید یا مطمئن هستید که رمزعبورتان لو رفته است، بدون درنگ آن را تغییر دهید.
- از نرمافزارهای مدیریت رمزعبور مانند LastPass، 1 Password و KeePass استفاده کنید.
اگر سرویس یا اپلیکیشنی که توسعه دادهاید از ویژگی طول عمر رمزعبور استفاده میکند، درباره آن مجددا فکر کنید.
[…] با بکارگیری رمزعبور نادرست یا بهتر بگوییم با بکارگیری سیاست رمزعبور نادرست باعث افشای اطلاعات، نفوذ به سیستم و آسیبهای دیگر […]