امنیت

فناوری اطلاعات

November 13, 2013
20:02 چهارشنبه، 22ام آبانماه 1392
کد خبر: 58746

ماجرای اسنودن نشانۀ اهمیت گذرواژه‌های ایمن

اگر مؤسسۀ امنیت ملی امریکا گذرواژه­‌هایی ایمن به کار برده بود می­‌توانست لااقل آسیب­های ناشی از افشای اطلاعات توسط اسنودن را محدودتر سازد.
 
 
همه می­دانند که گذرواژه­ را نباید با دیگران به اشتراک گذاشت. گذرواژه­‌ها برای حفاظت از اطلاعات­ شما و کارفرمای شماست و کارشان جلوگیری از دسترسی غیر و آسیب­های ناشی از آن است. به همین دلیل است که باید بر اطلاعات بانکداری خود گذرواژه‌ه­ای قدرتمند بگذارید.
 
پس اسنودن چگونه توانست به گذرواژه­‌هایی دست یابد که امکان دسترسی او به مدارک سری را فراهم کرد؟ بنا به گزارش رویترز، او این کار را به آسان­ترین شیوه انجام داد: درخواست کرد.
 
اما موضوع مفصل­تر از این­هاست. کاری که اسنودن کرد این بود که به همکارانش گفت در مقام مدیر سیستم به گذرواژه­‌های آنان نیاز دارد. همکاران وی نیز با اطلاع از این که وی شناخته­ شده است، بدون احساس ناامنی گذرواژه­‌هایشان را به او می­‌دادند. اسنودن از این اعتماد برای حمله به تمام انواع فایل­های NSA استفاده کرد.
 
جدا از ظرافت کار اسنودن، این واقعیت که او توانست با اطلاعات ورودی سایرین به اطلاعات دست یابد خود مؤید خیلی چیزهاست. شاید مهم­ترین نکته­‌اش مستقیماً به شما و کارفرمایتان مربوط باشد.
 
اسنودن از نقطه­ ضعفی استفاده کرد که تقریباً در تمام شرکت­ها و سازمان­ها وجود دارد و تنها با اتخاذ سیاست­های امنیتی درست و آموزش مناسب می­توان بر آن غلبه کرد. این نقطه ضعف عبارت است از اعتماد به افراد نامناسب در زمانی نامناسب.
 
پرسش بسیار مشهود این است که این نکات به چه درد شما و سازمان­تان می­‌خورد. از این گذشته، به احتمال زیاد شما حجم عظیمی از اطلاعات محرمانۀ دولتی را در اختیار ندارید. اما احتمال آن هست که شرکت­تان اطلاعات فراوانی در اختیار داشته باشد که برای رقیب­تان، مجرمان، یا افراد دیگری با اهداف مشکوک باارزش تلقی شود. آیا واقعاً مایل­ اید در دنیای بیرون از سازمان­تان همه از فهرست مشتریان، گزارش­های مالی، زنجیرۀ عرضه، یا جزییات تولیدتان اطلاع داشته باشند؟ احتمالاً خیر.
 
متأسفانه اگر کنترل گذرواژه­‌های سازمان­تان را از دست بدهید، در واقع همان اتفاقات بالا افتاده است. اما می­توانید مشکل را با چند کار بنیادی به حداقل برسانید و مطمئن شوید که کارکنان­تان آموزش­ دیده­ اند و هر چند وقت یک بار بازآموزی می­شوند. بعضی از کارهای که می­توانید انجام دهید عبارت­اند از:
 
1. همه را ملزم به استفاده از گذرواژه­‌هایی کنید که حدس زدن­شان دشوار باشد اما در این زمینه زیاده­‌روی نکنید. اگر گذرواژه­‌هایی ایجاد کنید که بیش­ از حد دشوار باشند، هیچ­کس آن­ها را به یاد نخواهد سپرد. می­دانید که بعد از آن چه اتفاقی می­‌افتد- یادداشت روی برچسب­های زردِ روی مونیتورها. این کار به افزایش امنیت کمکی نمی­‌کند.
 
2. اتفاقات ناشی از به اشتراک گذاشتن گذرواژه­‌ها را کنترل کنید. راحت می­شود گفت که کارکنان هرگز نباید تحت هیچ شرایطی گذرواژه‌هایشان را به دیگران اعلام کنند. اما در دنیای واقعی همه چیز این طور پیش نمی­رود. بعضی ­وقت­ها مدیر سیستم واقعاً دلیل موجهی برای پرسیدن اطلاعات ورودی کاربران دارد.
 
3. وقتی این اتفاق می­افتد، کاربر باید چه کار کند؟ به خیلی چیزها بستگی دارد اما لااقل باید بدانند که لازم است گذرواژه را فوراً عوض کنند. همچنین ممکن است لازم شود که درخواست تغییر گذرواژه در قالب فرمی متداول و ساده گزارش شود تا کسی که مسوول آن است، مثلاً مدیر آی­تی، از این تغییر مطلع شود.
 
4. اعمال تغییر در گذرواژه را آسان کنید و فرایند گزارش­دهی را خودکار کنید تا این نوع تغییرات همگی در سیستم ثبت و اعلام شود.
 
5. به نرم­ افزارهای پیچیده کنترل به منزلۀ ابزار شناسایی کاربر متکی نشوید. این کار ممکن است مفید باشد، اما هیچ چیز به اندازۀ پیروی از روشی خوب جوابگو نیست.
 
بنا بر اعلام سایت مرکز ماهر، برای دسترسی به اطلاعاتی که واقعاً مهم است استفاده از سیستم احراز هویت دو عاملی را الزامی کنید. بسیاری از شرکت­ها از کارت هوشمندی استفاده می­کنند که هم کارتی برای دسترسی است و هم کارت شناسایی سازمانی. این روش مشکل سرقت اطلاعات ورودی را کاهش می­دهد. یقیناً راه­های پیچیده­‌تری نیز برای کنترل دسترسی وجود دارد و در موقعیت­های استثنایی باید از آن­ها استفاده کرد اما این روش­ها همیشه مناسب نیستند.
 
به یاد داشتن این نکته مهم است که حفظ امنیت دسترسی مستلزم همکاری کارکنان است. این بدان معنی است که باید به آن­ها بگویید که از چه چیزهایی باید حفاظت کرد، روش­های حفظ اطلاعات کدام است و در صورت تردید در ایمنی اطلاعات – حتی وقتی کسی در مورد قابل ­اعتماد بودنِ خود دلیلی قابل­ قبول می­‌آورد- چه کار باید کرد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.