ضمیمه دانش امروز روزنامه اطلاعات نوشت: اگر عبارت «حمله سایبری به گذرواژه» را در موتور جستجوی وبگاه «گوگل نیوز» تایپ کنیم، نتایج جستجو نشان خواهند داد مجرمین سایبری با چه تناوبی یعنی هرچند وقت یکبار دادههای مهم شرکتها و افراد را میربایند. گذرواژههای ضعیف بخش بزرگی از مشکل هک شدن است. برای مثال، در سال 2023 یک شرکت امنیت فناوری به نام «نوردپَس» (Nordpass) گزارش کرد که «123456» متداولترین گذرواژه در نیجریه و دومین گذرواژه پرکاربرد در تمامی دنیا است.
با افزایش حملات سایبری که منجر به نفوذ به سیستمهای رایانهای و نشت دادهها شدهاند، بازبینی و تجدیدنظر روی راهبردهای کنترل دسترسی اجتنابناپذیر به نظر میرسد. برای مثال، در سال 2023 تعداد حملات سایبری به صاحبان تجارت و کسبوکار در آفریقای جنوبی، کنیا و زامبیا 76 درصد افزایش یافت.
گذر واژهها و نامهای کاربری همچنان مانند گذشته آسیبپذیر هستند؛ چون هنوز برای دسترسی به ایمیل، حساب کاربری و احراز هویت از آنها استفاده میشود. عده بسیار زیادی از افراد گذر واژههایی با امنیت پایین یا گذرواژههایی که قبلاً استفاده شدهاند را انتخاب میکنند.
سالانه منابع مختلف فهرستی از پرکاربردترین گذر واژهها را منتشر میکنند. طبق تحقیق انجام شده توسط نوردپس، گذرواژههای قابل پیشبینی که اغلب کاربرها انتخاب میکنند مانند 123456، admin، 12345678 و خود واژهی password هستند. هکرهای بسیار ماهر و افرادی که مهارتهای اولیه هک کردن را یاد گرفتهاند میتوانند این گذرواژهها را در کمتر از یک دقیقه کرَک کنند. در نتیجه، اطلاعات محرمانه در معرض سرقت، حذف، تغییر و تحریف قرار میگیرند. ابزارهای هوش مصنوعی یکی پس از دیگری کار هکرها را آسانتر میکنند.
در برخی سازمانها، گذر واژهها منقضی نمیشوند و این فرصتهایی را برای افراد سودجو فراهم میآورد تا به اطلاعات سایرین دسترسی پیدا کنند. در بسیاری موارد، گذر واژهها در معرض «سرقت هویت آنلاین» قرار میگیرند. امکاناتی که وبسایتها هنگام ایجاد حساب کاربری جدید برای ذخیره گذرواژه ارائه میدهند نیز راهحل عاری از عیبی نیستند؛ درست است که این ویژگی ورود به وبسایتها را برای کاربرها آسان میکند اما احتمال اینکه گذرواژهها در دسترس شخص ثالث قرار گیرند را افزایش میدهد.
بنابراین لازم است برای حفظ امنیت گذرواژهها و اطلاعات شخصی افراد سیاستها و استانداردهای مربوطه تنظیم شوند و به اجرا درآیند تا اهداف شرکت تأمینکننده امنیت سایبری محقق شوند. نحوه انجام این کار به سازمان مورد نظر و نوع کسبوکار بستگی دارد. برای مثال، موسسههای مالی و شرکتهای صادرکننده کارت اعتباری، «استاندارد امنیت داده صنعت پرداخت کارت» (PCIDSS)را مناسبترین گزینه میدانند که یک استاندارد امنیت اطلاعات برای سازمانهایی است که تراکنشهای کارتهای اعتباری عمده ازجمله ویزا، مسترکارد، امریکن اکسپرس، دیسکاور و جیسیبی را پردازش میکنند. این استاندارد بهمنظور بالا بردن میزان کنترل روی دادههای دارنده کارت و کاهش جعل کارتهای اعتباری ایجاد شده است.
برخی نیز راهنماییها و توصیههای «مؤسسه ملی فناوری و استانداردها» (NIST)یا استانداردهای امنیتی ایزو/آی ای سی 27001 را کافی و سودمند میدانند. این استانداردها در سراسر دنیا مورد استفاده هستند.
وظیفه شرکتهای فناوری در حفظ امنیت گذرواژهها
شرکتها باید اطمینان حاصل کنند که کارکنانشان بهطور کامل از سیاستها و روندهای مرتبط با استفاده از گذرواژه و نیز از مسؤولیتهای خود آگاهی دارند. بنابراین لازم است بهطور مداوم کمپینهای آگاهیدهنده برگزار کنند تا اقدامات لازم برای انتخاب گذرواژههای امن را ترویج دهند و با تهدیدهایی که امنیت گذرواژهها را به خطر میاندازند مقابله کنند.
همچنین باید بهترین استانداردهای امنیتی بهمنظور مدیریت حسابهای کاربری و کنترل گذرواژهها را اتخاذ کرده و تابع آنها باشند. دیگر اینکه باید روش احراز هویت چندعاملی را به کار گیرند؛ چون در این روش تأیید هویت کاربر با ارائه دو یا چند شاهد اثباتکننده هویت امکانپذیر میشود. برای مثال، کاربرها را ملزم به استفاده از گذرواژه و سیستم تشخیص چهره یا تشخیص شبکیه چشم کنند. علاوهبراین، باید اطمینان حاصل کنند که فایلهای حاوی ذرواژهها رمزگذاریشده هستند.
نبایدهایی برای کاربرها
کاربرها نباید گذرواژههای کوتاه را انتخاب کنند. گذر واژههای انتخابی آنهانباید کمتر از 12 حرف باشند و باید از ترکیب حروف الفبا، اعداد، علائم، حروف بزرگ و حروف کوچک تشکیل شده باشند. مهمتر اینکه باید آنها را محرمانه نگه دارند.
کاربرها نباید از یک گذرواژه برای ورود به چند حساب کاربردی استفاده کنند.
نباید گذرواژه خود را در وبسایتها ذخیره (save)یا از گزینه auto-fillاستفاده کنند؛ بهخصوص اگر رایانه بهطور مشترک با افراد دیگر استفاده میشود.
نباید از گذرواژه مشترک استفاده کنند یا آن را به سایرین بهویژه همکاران در محل کار اعلام کنند. اگر ناچار هستند با فرد یا افراد دیگری یک گذرواژه مشترک داشتهباشند باید مطمئن شوند که مدیر یا رئیس اداره از این موضوع باخبر است.
نباید جزئیات گذرواژه خود را بدون صحتسنجی پشت تلفن به افرادی بدهند که ادعا میکنند تکنسین فناوری اطلاعات (IT)هستند.
چند راه برای اطمینان از اینکه تماس دریافتی اعتبار و صحت دارد به کاربرها پیشنهاد میشود: یکی از آن راهها بهویژه اگر برای دسترسی به رایانه مشکلی ندارند این است که از فرد تماسگیرنده بخواهند یک ایمیل رسمی بهحساب کاربری آنها ارسال کند. اگر فرد تماسگیرنده با شماره تلفن اینترنتی تماس گرفته است، صحت تماس را چک کنند. همچنین باید مشخصات فرد تماسگیرنده از قبیل نام، محل دفتر کار، اداره یا سازمان را از او بخواهند.
توصیههایی به کاربرها برای مراقبت از گذر واژهها
هر کدام از کاربرها بهنوبه خود میتوانند امنیت محیط آنلاین خود را هم در محل کار و هم در زندگی خصوصی بالا ببرند. کافی است تمامی مدت مراقب و گوشبهزنگ باشند و خود را از تازهترین تهدیدهایی که ممکن است امنیت گذرواژه آنها را به مخاطره بیاندازند مطلع نگه دارند. اگر افراد در محیطهای اداری و سازمانی کار میکنند باید چند نکته را برای حفظ گذرواژه خود به خاطر بسپارند.
نخست اینکه از سیاستها و استانداردهای سازمانی برای استفاده ایمن از گذرواژه مطلع باشند. دوم، در جلساتی که برای آگاهی و آموزش دادن برگزار میشوند شرکت کنند. سوم، هرگونه اتفاق امنیتی مشکوک را گزارش کنند. همچنین حتماً باید اطلاعات loginخود را امن و دور از دسترس نگه دارند و پس از اتمام کارشان logoutکنند؛ بهویژه اگر از رایانه مشترک استفاده میکنند.
دیگر اینکه ضروری است گذرواژهای مستحکم انتخاب کنند بهطوریکه افراد مهاجم نتوانند آن را حدس بزنند. بهعلاوه، نباید از حروفی که به ترتیب هستند یا عبارات تکراری بهعنوان گذرواژه استفاده کنند. باید از گذر واژههایی مثل واژههای لغتنامه که بهراحتی حدس زده میشوند نیز اجتناب کرد. هر وقت کاربرها به عدم امنیت گذرواژه خود مظنون میشوند، باید آن را تغییر دهند و سرانجام اینکه توصیه میشود از ابزارهای مدیریت گذرواژه رمزگذاریشده کمک بگیرند تا گذرواژههای خود را با امنیت ذخیره کنند.