همین حالا دنبال کن:

مبانی امنیت

پایان یک باور قدیمی: تغییر دوره‌ای رمز عبور همیشه امنیت را بیشتر نمی‌کند!

راه حل تغییر پسورد نیست…
نمایی از صفحه نمایش کامپیوتر که کادر نام کاربری و رمز عبور را نشان می‌دهد، همراه با آیکن‌های ستاره‌ای که نماد پسوردی مخفی هستند.
یونس مرادی
زمان مطالعه ۳ دقیقه
بازبینی: شایان ضیایی
صحت سنجی شده

فهرست:

شاید این پرسش ذهن شما را هم درگیر کرده باشد که آیا باید رمزها را هرچند وقت یک‌بار تغییر داد و یا بهتر است به رمزهای قدیمی دست نزنیم؟ «موسسه‌ی ملی استاندارد و فناوری آمریکا» (NIST) در دستورالعمل‌های خود می‌گوید که شرکت‌ها و سازمان‌ها دیگر نباید کاربران یا کارمندان را مجبور به تغییر دوره‌ای رمز عبور کنند.

این توصیه مبتنی بر چندین دهه تحقیق علمی است که نشان می‌دهند تغییر اجباری و دوره‌ای رمز عبور، وقتی هیچ نشانه‌ای از افشای رمز یا نفوذ وجود ندارد، معمولاً امنیت را بهتر نمی‌کند و حتی می‌تواند کاربران را به سمت رمزهای قابل حدس‌تر ببرد.

چرا تغییر مداوم رمز عبور آنقدرها مفید نیست؟

وقتی کاربران مجبور می‌شوند در بازه‌های زمانی کوتاه (مثلاً هر ۹۰ روز یک‌بار) رمز عبور خود را تغییر دهند، به دلیل ترس از فراموشی یا دشواری در به خاطر سپردن رمز جدید، تغییرات جزئی و قابل حدس در رمز قبلی ایجاد می‌کنند؛ برای مثال:

  1. افزودن اعداد پشت سر هم مثل password1 و password2 و password3؛
  2. اضافه کردن علامت‌های ساده مثل ! یا @ به انتهای رمز قبلی.

این الگوهای تکراری کار را برای هکرها آسان‌تر و حس «امنیت کاذب» ایجاد می‌کنند، در حالی که لایه‌ی محافظتی چندان موثری به حساب نمی‌آیند.

پس رمز عبور را چه زمانی عوض کنیم؟

به‌جای تغییر دادن رمز در بازه‌های ثابت، بهتر است رمز را در این شرایط عوض کنید:

  • وقتی سرویس اعلام کرده اطلاعات کاربرانش لو رفته است.
  • وقتی رمزتان را در سایت مشکوک وارد کرده‌اید.
  • وقتی روی لینک فیشینگ کلیک کرده‌اید و احتمال می‌دهید رمزتان لو رفته باشد.
  • وقتی یک رمز را در چند حساب استفاده کرده‌اید.
  • وقتی دستگاه‌تان آلوده به بدافزار یا سرقت‌کننده اطلاعات شده است.
  • وقتی حساب شما ورود مشکوک، پیام هشدار یا فعالیت غیرعادی نشان می‌دهد.

برای مطالعه بیشتر

توصیه‌های جدید برای امنیت بالاتر

دستورالعمل جدید NIST به جای این رویکرد قدیمی، راهکارهای مدرن و کارآمدتری را پیشنهاد می‌کند که تمرکز آن‌ها بر ایجاد لایه‌های امنیتی متعدد است. مهم‌ترین توصیه‌ها ‌این‌ها هستند:

  • رمز عبور فقط زمانی تغییر کند که نشانه‌ای از نفوذ دیده می‌شوند.
  • قوانین انتخاب رمز ترکیبی پیچیده (الزام به استفاده از حروف بزرگ، اعداد و نمادها) از ابزارها حذف شوند.
  • اگر رمز عبور تنها لایه ورود است، حداقل طول آن بهتر است ۱۵ کاراکتر باشد و اگر کنار احراز هویت چندمرحله‌ای استفاده می‌شود، حداقل ۸ کاراکتر پذیرفته است.
  • از ابزارهای مدیریت رمز عبور (مانند بیت‌واردن) استفاده شود.
  • احراز هویت دو مرحله‌ای فعال شود.
  • رمزهای عبور با پایگاه‌ها و فهرست رمزهای لو رفته مقایسه شوند و کاربر مجاز به انتخاب رمزهای ناامن نباشد.

در آخر: راه‌حل مناسب چیست؟

«مرکز امنیت سایبری بریتانیا» (NCSC) هم از سال ۲۰۱۸ به بعد هشدار داده که تغییر منظم رمز عبور، به جای بهبود امنیت، به آسیب‌پذیری بیشتر دامن می‌زند. کارشناسان امنیت سایبری هشدار می‌دهند که تکیه‌ی صرف بر رمز عبور ایده‌ مناسبی نیست و بهترین رویکرد استفاده از رمزهای پیچیده، احراز هویت دو مرحله‌ای و همینطور تکنولوژی Passkey است.

بازبینی: شایان ضیایی

یک پاسخ

  1. علی محمد صلاحی نیم‌رخ
    علی محمد صلاحی

    |

    مطلب ارزشمندی بود، ولی ویدیو پلی نشد.
    ارادت

پست‌های مرتبط

نوشدارو را دنبال کنید

اینستاگرام

تلگرام

واتساپ

مطالب پرنگاه

نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo

ویدیوهای نوشدارو

ویدیو های بیشتر
۰۲:۱۸
ویدیو آموزشی

همه برای آگاهی، آگاهی برای همه

نوشدارو پروژه‌ای عام‌المنفعه است که با هدف مبارزه با کلاهبرداری‌های اینترنتی و افزایش سواد دیجیتال راه‌اندازی شده است. نوشدارو: آگاهی در جهان دیجیتال

حکایت‌های کوتاه، حقیقت‌های بزرگ

در این بخش، به بررسی دقیق و جامع نشانه‌ها و رفتارهایی می‌پردازیم که ممکن است به کلاهبرداری آنلاین مرتبط باشند. شناخت این موارد می‌تواند به شما کمک کند.

ویدیو های بیشتر
ویدیو های بیشتر
بازگشت به بالای صفحه
×

منابع

  1. New Scientist
    https://www.newscientist.com/article/2449454-forcing-people-to-change-their-passwords-is-officially-a-bad-idea/