راهی برای جلوگیری از لو رفتن کلمه عبور یا گذرواژه (‪(Password‬

[amir.NET2]

مدیران شبکه‌های کامپیوتری سازمانها معمولا برای ارزیابی گذرواژها میزان قدرت گذرواژه‌ها را تست می‌کنند. به فرایند تست میزان قدرت گذرواژه‌ها تست شکست گذرواژه‌ها یا "پسوردکرکینگ" نیز گفته می‌شود. گذرواژه‌های کاربران به سه دلیل عدم انتخاب گذرواژه مناسب، رمزنگاری ضعیف گذرواژه، و دسترسی به فایل گذرواژه‌های رمز شده ممکن است شکسته شود.
در ارزیابی شکست گذرواژه‌ها از این سه روش برای تشخیص، رمز عبورهای ضعیف بکارگرفته شده در شبکه بکارگرفته می‌شود. رمز عبورها معمولا به فرم رمز شده‌ای که ‪ hash‬نامیده می‌شوند، ذخیره و یا ارسال می‌شوند. هنگامی که یک کاربر به یک سیستم یا رایانه وارد می‌شود یک رمز عبور وارد می‌کند و یک ‪ hash‬از آن تولید می‌شود و با ‪hash‬های ذخیره شده مقایسه می‌شود، در صورت انطباق، کاربر تصدیق هویت میشود.
سریعترین روش برای حدس زدن رمز عبورها، حمله لغت نامه‌ای است که از تمام لغت‌های موجود در یک لغت نامه یا یک فایل متنی برای شکستن رمزعبور استفاده میشود. لذا توصیه می‌شود هیچ گاه از کلمات معنی داری که در لغت نامه ها موجودند برای گذرواژه انتخاب نکنید.بهترین گذرواژه‌ها از این نظر باید دارای طول کافی و ترکیبی از حروف و اعداد که معنی واحدی ندارند باشند.
قویترین روش شکستن رمز عبور، روش ‪ bruteforce‬نامیده می‌شود. در این روش بطور تصادفی کلمات عبور و ‪ hash‬مربوط به آن تولید می‌شوند.اگر چه زمان زیادی طول می‌کشد اما به هر حال، رمز عبورهای ضعیف قابل شکستن می باشند. بسیاری از سیستمهای عامل، سرویس‌دهنده‌ها و حتی سخت‌افزارهایی مانند مسیریاب، دارای تعدادی گذرواژه پیش‌فرض هستند که توسط سازنده آنها تعریف شده‌است و به خریداران امکان می‌دهد تا وقتی برای اولین بار سیستم را نصب و پیکریندی می‌کند راهی برای سیستم داشته باشند.
اگرچه انتظار می‌رود که پس از نصب و پیکربندی، سریعا گذرواژه‌های پیش‌فرض تغییر کنند، اما گاهی این کار انجام نمی‌شود. لذا موکدا توصیه می‌شود چنانچه از یک سیستم کامپیوتری استفاده می‌کنید یا مسولیت یک سیستم کامپیوتری مثلا یک سرور در اختیار شماست به هیچ وجه از کلمات عبور پیش فرض استفاده نکنید و حتما آنها را تغییر دهید.
در ارزیابی گذرواژه‌ها، آسیب‌پذیری‌های مربوط به وجود گذرواژه‌های پیش‌فرض نیز باید انجام شود. یکی از روشهای شایع که گذرواژه‌ها لو می‌روند مربوط به گذرواژه‌هایی هست که شخصی نام خود، همسر و یا فرزند خود را به عنوان گذرواژه اتنخاب کرده‌است. لذا اکیدا پیشنهاد می‌شود که از نام خود و نزدیکان خود که براحتی قابل بدست آوردن توسط اطرافیان شماست برای گذرواژه استفاده نکنید. در یک جمع‌بندی می‌توان گفت که مدیران یک شبکه برای حصول اطمینان از قدرت گذرواژه‌های انتخاب شده موارد زیر را باید مداوم تست کند:
- تست امکان دسترسی به فایلهای حاوی نام کاربران و گذرواژه‌ها (مسیر ‪ etc/passwd‬یا ‪ etc/shadow‬برای سیستم‌های ‪ winnt/sam / UNIX‬و برای سیستم‌های ویندوز)
- تست شبکه برای کلمات عبور پیش‌فرض سیستم‌ها
- ارزیابی مقاومت گذرواژه‌ها در برابر حمله‌های لغت نامه‌ای
- ارزیابی مقاومت گذرواژه در برابر حمله ‪Brute Force‬
- استفاده از گذرواژه‌های شکسته‌شده برای دسترسی به سیستمهای و برنامه‌های کاربردی دیگر
- ‪ Verify‬کردن عمر تنظیم‌شده برای گذرواژه‌ها

[حرفه ای]

البته گاهی هم به دلیل استفاده از and منطقی در دستورات Sql و عدم بررسی کوتیشنها در برنامه یک هکر نیازی به دانستن کلمه عبور ندارد و به راحتی می توان یک برنامه را دور زد

[راحله نادری]

ممنونم از مطالب مفیدتون.اما تو یه پرژه چه جوری باید از تکنینک هش برای مدیریت جلوگیری از لو رفتن پسورد استفاده کرد؟؟؟؟

[Nima NT]

ممنونم از مطالب مفیدتون.اما تو یه پرژه چه جوری باید از تکنینک هش برای مدیریت جلوگیری از لو رفتن پسورد استفاده کرد؟؟؟؟

جستجو کنید قبلا" در سایت بحث شده