الزامات امنیتی رمز عبور

بایدها و نبایدهای رمز عبور (پسورد/گذر واژه):

 رمزعبور قوي

در انتخاب يک رمزعبور قوي به نکات زير توجه کنید:

رمز عبور بايستي پيچيدگي لازم را داشته باشد. رمزهاي عبور ساده و قابل تشخيص، به عنوان يک حفره امنيتي در سيستم باقي مي مانند. با توجه به تحقيق صورت گرفته شده در سال 2016،رمزها بايستي حداقل 8 (اگر سيستم اجازه مي دهد حداقل 12 کاراکتر) کاراکتر شامل ترکيبي از اعداد، علائم، حروف الفبا کوچک و بزرگ باشند.

• بايستي از رمزهاي عبور براي هر داخلي (Extension) زماني که کاربران راه دور و بيروني داشته باشند، الزاماً استفاده گردد.
• از اشتباه رايج تشابه رمز عبور با شماره های خاص و استفاده از رمزهاي عبور پيش فرض اجتناب گردد. رمزعبورها نبايد ترتيبي باشند.
• رمزهاي عبور بايد ساختار مناسبي از لحاظ تعداد کاراکترها و نوع آن ها داشته باشند. برخي الگوهاي رايج و بسيار ساده که در دقايق اول به وسيله ابزارهاي نفوذ، شکسته مي شوند در سال 2014 به صورت زير ليست شده اند: 123456، 123456789، Password، abc123، Qwerty، 123123. اما رشته PG633#$re از لحاظ تعداد کاراکتر و ترکيب حروف و اعداد داراي ساختار مناسبي مي باشد. البته رمزهاي عبور اين چنيني بسيار سخت به خاطر سپرده مي شوند، به همين دليل به نگهداري نياز دارند.
• در صورتي که مکانيزمي براي بلاک کردن در سيستم وجود نداشته باشد، يک بد افزار مي تواند حدود 30 تا 40 درخواست رجيستر در ثانيه، بر روي يک خط ADSL با پهناي باند 1Mbps، ارسال کند؛ که بر اين اساس مي تواند در طول چند ساعت يک لغت نامه را به صورت کامل تست کند. (DictionaryAttack).
• در بسياري از موارد که سيستم تلفني مورد حمله قرار گرفته است، حجم پيام هاي ارسالي به حدي بالا بوده که کل شبکه نيز مختل شده و يا کيفيت ساير مکالمات تلفني به شدت تحت تاثير قرار گرفته است.
• در صورتي که امکان پذير است از کليد تصادفي استفاده شود.
• از بکارگيري رمزعبور بيش از يک بار اجتناب شود (استفاده چند کاربر يا چند برنامه نرم افزاري)
• از تکرار کاراکترها، پترن روي صفحه کليد، کلمات ديکشنري، حروف يا اعداد به ترتيب، شناسه کاربري، اسامي آشنايان و احساسات و اطلاعات زندگينامه (نظير تاريخ تولد، اعداد شناسه و …) در رمزعبور اجتناب شود.
• از رمزعبورهايي که از نظر عموم با کاربر يا اکانت ارتباط دارد، اجتناب گردد.
• از اطلاعاتي در رمزعبور که مربوط به دانشگاه است و يا افرادي از آن باخبر هستند اجتناب شود.
• از بکارگيري رمزعبوري که ترکيبي از اجزاي ضعيف (نظير موارد فوق) باشد اجتناب شود.

رمزهای عبور ضعیف:

رمزعبورهاي ضعيف به شرح زير خواهند بود که باید از آن پرهيز کرد:

• رمزعبورهاي پيش فرض (مانند password، default، admin، guest و غيره)
• کلمات ديکشنري ( مانند chameleon، RedSox،sandbags، bunnyhop، IntenseCrabtree)
• کلمات الحاقي با اعداد (مانند password1، deer2000، john1234)
• کلمات با ابهام ساده (p@ssw0rd، l33th4x0r، g0ldf1sh) [74]
• کلمات تکراري (crabcrab، stopstop، passpass)
• دنباله اي از کيبورد يا اعداد (314159، 27182، 9011)
• شناسه ها (jsmith123، 1/1/1970، 555–1234، شناسه کاربري)
• هر مشخصه اي که به شخص ربط داشته باشد (شماره سريال بشقاب!، شماره پرسنلي يا ملي، شماره تلفن سابق يا حال، شماره دانشجويي، تاريخ هاي خاص، تيم ورزشي و …)

با وجود الزامات فوق، مطلب زیر را نیز مطالعه کنید