رمزهاي عبور، روشي به منظور تائيد کاربران بوده و تنها حفاظ موجود بين کاربر و اطلاعات موجود بر روي يک کامپيوتر مي باشند . مهاجمان با بکارگيري برنامه هاي متعدد نرم افزاري ، قادر به حدس رمز هاي عبور و يا اصطلاحا" "کراک" نمودن آنان مي باشند . با انتخاب مناسب رمزهاي عبور و نگهداري ايمن آنان ، امکان حدس آنان مشکل و بالطبع افراد غير مجاز قادر به دستيابي اطلاعات شخصي شما نخواهند بود .

چرا به يک رمز عبور نياز است ؟

انسان عصر اطلاعات در طي مدت زمان حيات خود و متناسب با فعاليت هاي روزانه خود نيازمند استفاده از رمزهاي عبور متفاوتي مي باشد . بخاطر سپردن شماره کد دستگاه موبايل خود ، شماره کد دستگاههاي متفاوتي نظير دستگاهاي ATM براي دريافت پول ، شماره کد لازم به منظور ورود به يک سيستم کامپيوتري ، شماره کد مربوط به برنامه هاي کامپيوتري نظير برنامه هاي پست الکترونيکي ، امضاي ديجيتالي درون يک بانک Online و يا فروشگاههاي مجازي و موارد بسيار ديگر ، نمونه هائي در اين زمينه مي باشند . نگهداري اين همه عدد ، حرف و شايد هم ترکيب آنان، کاربران را مستاصل و گاها" نگران مي نمايد . مهاجمان با آگاهي از رمز عبور شما قادر به برنامه ريزي يک تهاجم بزرگ و دستيابي به اطلاعات شما مي باشند .
يکي از بهترين روش هاي حفاظت از اطلاعات ، حصول اطمينان از اين موضوع است که صرفا" افراد مجاز قادر به دستيابي به اطلاعات مي باشد . فرآيند تائيد هويت و اعتبار کاربران در دنياي سايبر شرايط و ويژگي هاي خاص خود را داشته و شايد بتوان اين ادعا را داشت که اين موضوع بمراتب پيچيده تر از دنياي غيرسايبر است . رمزهاي عبور يکي از متداولترين روش هاي موجود در خصوص تائيد افراد مي باشد . در صورتي که شما رمزهاي عبور را بدرستي انتخاب نکرده و يا از آنان بدرستي مراقبت ننمائيد ، قطعا" پتانسيل فوق جايگاه و کارآئي واقعي خود را از دست خواهد داد . تعداد زيادي از سيستم ها و سرويس ها صرفا" بدليل عدم ايمن بودن رمزهاي عبور با مشکل مواجه شده و برخي از ويروس ها و کرم ها با حدس و تشخيص رمزهاي عبور ضعيف ، توانسته اند به اهداف مخرب خود دست يابند .

چگونه مي توان يک رمزعبور خوب را تعريف کرد ؟

اکثر افراد از رمزهاي عبوري استفاده مي نمايند که مبتني بر اطلاعات شخصي آنان مي باشد ، چراکه بخاطر سپردن اين نوع رمزهاي عبور براي آنان ساده تر مي باشد . بديهي است به همان نسبت ، مهاجمان نيز با سادگي بيشتري قادر به تشخيص و کراک نمودن رمزهاي عبور خواهند بود . به عنوان نمونه ، يک رمز عبور چهار حرفي را در نظر بگيريد . ممکن است اين عدد ارتباطي با تاريخ تولد شما داشته و يا چهار شماره آخر شماره دانشجوئي و يا کارمندي و شماره تلفن باشد . اين نوع رمزهاي عبور داراي استعداد لازم براي حملات از نوع "ديکشنري " ، مي باشند . مهاجمان در اين نوع از حملات با توجه به کلمات موجود در ديکشنري ، سعي در حدس و تشخيص رمزهاي عبور مي نمايند .
با اين که تايپ نادرست برخي کلمات نظير daytt در مقابل استفاده از date ممکن است مقاومت بيشتري در مقابل حملات از نوع ديکشنري را داشته باشد ، يک روش مناسب ديگر مي تواند شامل استفاده از مجموعه اي کلمات و بکارگيري روش هائي خاص به منظور افزايش قدرت بخاطر سپردن اطلاعات در حافظه باشد . مثلا" در مقابل رمز عبور "hoops" ، از "IITpbb" ، استفاده نمائيد. ( بر گرفته شده از کلمات عبارت : I Like To Play Basketball ) . استفاده از حروف بزرگ و کوچک و ترکيب آنان با يکديگر نيز مي تواند ضريب مقاومت رمزهاي عبور را در مقابل حملات از نوع "ديکشنري" تا اندازه اي افزايش دهد . به منظور افزايش ضريب مقاومت رمزهاي عبور ، مي بايست از رمزهاي عبور پيچيده اي استفاده نمود که از ترکيب اعداد ، حروف الفبائي و حروف ويژه ، ايجاد شده باشند .
پس از تعريف يک رمز عبور مناسب ، برخي از کاربران از آن به منظور دستيابي به هر سيستم و يا برنامه هاي نرم افزاري استفاده مي نمايند.( کليد جادوئي ! ) اين نوع از کاربران مي بايست به اين نکته توجه نمايند که در صورتي که يک مهاجم رمز عبور شما را حدس و تشخيص دهد ، وي به تمامي سيستم هائي که با اين رمز عبور کار مي کنند، دستيابي پيدا مي نمايد . به منظور تعريف رمزعبور ، موارد زير پيشنهاد مي گردد :
• عدم استفاده از رمزهاي عبوري که مبتني بر اطلاعات شخصي مي باشند . اين نوع رمزهاي عبور به سادگي حدس و تشخيص داده مي شوند .
• عدم استفاده از کلماتي که مي توان آنان را در هر ديکشنري و يا زباني پيدا نمود .
• پياده سازي يک سيستم و روش خاص به منظور بخاطرسپردن رمزهاي عبور پيچيده
• استفاده از حروف بزرگ و کوچک در زمان تعريف رمزعبور
• استفاده از ترکيب حروف ، اعداد و حروف ويژه
• استفاده از رمزهاي عبور متفاوت براي سيستم هاي متفاوت

نحوه حفاظت رمزهاي عبور

پس از انتخاب يک رمزعبور که امکان حدس و تشخيص آن مشکل است ، مي بايست تمهيدات لازم در خصوص نگهداري آنان پيش بيني گردد . در اين رابطه موارد زير پيشنهاد مي گردد :
• از دادن رمز عبور خود به ساير افراد جدا" اجتناب گردد .
• از نوشتن رمز عبور بر روي کاغذ و گذاشتن آن بر روي ميز محل کار، نزديک کامپيوتر و يا چسباندن آن بر روي کامپيوتر ، جدا" اجتناب گردد . افراديکه امکان دستيابي فيزيکي به محل کار شما را داشته باشند ، براحتي قادر به تشخيص رمز عبور شما خواهند بود.
• هرگز به خواسته افراديکه ( مهاجمان ) از طريق تلفن و يا نامه از شما درخواست رمز عبور را مي نمايند ، توجه ننمائيد .
• در صورتي که مرکز ارائه دهنده خدمات اينترنت شما ، انتخاب سيستم تائيد را برعهده شما گذاشته است ، سعي نمائيد يکي از گزينه هاي Kerberos, challenge/response,و يا public key encryption را در مقابل رمزهاي عبور ساده ، انتخاب نمائيد .
• تعداد زيادي از برنامه ها امکان بخاطر سپردن رمزهاي عبور را ارائه مي نمايند ، برخي از اين برنامه ها داراي سطوح مناسب امنيتي به منظور حفاظت از اطلاعات نمي باشند . برخي برنامه ها نظير برنامه هاي سرويس گيرنده پست الکترونيکي ، اطلاعات را به صورت متن ( غيررمزشده ) در يک فايل بر روي کامپيوتر ذخيره مي نمايند . اين بدان معني است که افراديکه به کامپيوتر شما دستيابي دارند، قادر به کشف تمامي رمزهاي عبور و دستيابي به اطلاعات شما خواهند بود . بدين دليل ، همواره بخاطر داشته باشيد زماني که از يک کامپيوتر عمومي ( در کتابخانه ، کافي نت و يا يک کامپيوتر مشترک در اداره ) ، استفاده مي نمائيد ، عمليات logout را انجام دهيد . برخي از برنامه ها از يک مدل رمزنگاري مناسب به منظور حفاظت اطلاعات استفاده مي نمايند . اين نوع برنامه ها ممکن است داراي امکانات ارزشمندي به منظور مديريت رمزهاي عبور باشند .