طرح Cyber Essentials و امنیت کلمه عبور

تعداد حملات سایبری در جهان رو به افزایش است. حملات سایبری که در 3 ماهه اول سال 2019 به وقوع پیوست در مقایسه با سال گذشته آن، 122% افزایش یافت. طرح Cyber Essentials که با عنوان «الزام ­های امنیت سایبری» نیز شناخته می‌شود یک طرح دولتی مربوط به کشور انگلیس است که راهنمای جامعی را برای کمک به سازمان‌ها جهت محافظت در برابر حملات سایبری متداول ارایه می‌کند.

بر اساس آمار منتشر شده توسط دولت انگلیس، کنترل‌های امنیتی گفته شده در طرح Cyber Essentials می‌توانند از حدود 80% حملات سایبری جلوگیری کنند. وجود این کنترل‌ها در تمام قراردادهای دولتی که اطلاعات شخصی افراد در آن‌ها دخیل است و از فناوری‌های ارتباطی خاصی در آن‌ها استفاده می‌شود، ضروری است.

5 موضوع مهمی که در زمینه کنترل‌های فنی در این طرح وجود دارد، عبارتند از:

1. فایروال (Firewall)
2. پیکربندی امن
3. کنترل دسترسی کاربران
4. محافظت در برابر بدافزار
5. مدیریت وصله.

طرح Cyber Essentials، دستورالعمل‌های مشخص و روشنی در خصوص امنیت کلمه عبور دارد. زیرا هنوز هم سواستفاده از رمز عبور کاربران، دلیل اصلی بسیاری از نشت‌های اطلاعاتی است. الزامات مختص به کلمه عبور را می‌توان در بخش‌های «کنترل دسترسی کاربر» و «پیکربندی امن» از این طرح پیدا کرد.

در این مقاله به شما توضیح خواهیم داد که امنیت کلمه عبور و خط­ مشی‌های آن، چه نقشی در طرح Cyber Essentials دارند.

کلمه­‌های عبور و پیکربندی امن

هدف از پیکربندی امن، ایجاد اطمینان از این است که رایانه ها و تجهیزات شبکه به نحوی پیکربندی شده باشند که سطح آسیب پذیری‌های ذاتی آن‌ها کاهش پیدا کند. دستگاه‌ها فقط باید سرویس‌های مورد نیاز جهت اجرای وظایف سازمانی را ارایه کنند. بخش پیکربندی امن علاوه بر مشخص کردن الزام های مربوط به تجهیزات شبکه و رایانه‌ها، در رابطه با احراز هویت مبتنی بر کلمه عبور نیز توضیحاتی داده است.

در رویکردی که برای جلوگیری از پیچیدگی کلمه عبور در نظر گرفته شده است، بار اصلی و فنی ایجاد آن بر روی سیستم‌ها قرار گرفته و این رویکرد، متکی به پیروی کاربران از روش‌های توصیه شده نیست. برای دریافت گواهینامه Cyber Essentials، تجهیزات مورد استفاده باید ویژگی‌های زیر را داشته باشند:

– محافظت در برابر امکان حدس کلمه عبور از طریق جستجوی فراگیر، با به کار بردن حداقل یکی از روش‌های زیر:

• قفل شدن حساب‌های کاربری، پس از حداکثر 10 بار تلاش ناموفق
• محدود کردن تعداد حدس‌های قابل انجام در یک بازه زمانی، به صورتی که در 5 دقیقه امکان امتحان کردن بیشتر از 10 حدس وجود نداشته باشد
• تنظیم حداقل طول کلمه عبور به 8 کاراکتر
• عدم تعیین بیشترین طول برای کلمه عبور
• تغییر کلمه عبور در مواقعی که فرد مورد نظر اطلاع دارد یا مشکوک شده که رمز عبور وی هک شده است

– وجود یک خط ­مشی کلمه عبور که به کاربران بگوید:

• چگونه از به کار بردن رمزهای عبور مشخص و ساده دوری کنند (مثل کلمه‌های عبور مبتنی بر اطلاعاتی که به راحتی قابل شناسایی هستند، از جمله نام حیوان خانگی مورد علاقه کاربران)
• ­کلمه ­های عبور پرکاربرد و متداول را انتخاب نکنند. این گزینه را می‌توان با استفاده از ابزارهای فنی همچون یک لیست سیاه از رمزهای عبور ممنوعه پیاده ­سازی کرد
• استفاده نکردن از کلمه­ های عبور مشابه در حساب‌های کاربری مختلف، چه در محل کار و چه در منزل
• کجا و چگونه می‌توان کلمه­‌های عبور را به صورت امن ذخیره کرد تا بعداً بازیابی شوند، به عنوان مثال در یک پاکت مهر و موم شده که در کمد امنی قرار گرفته است
• امکان استفاده از نرم افزار مدیریت کلمه عبور. در صورت مجاز بودن این کار، از چه نرم افزاری و چگونه
• چه کلمه‌های عبوری را باید به خاطر سپرده و آن‌ها را در جایی ثبت نکنند

همچنین علاوه بر رعایت موارد بالا، متقاضی دریافت این مجوز نباید اقدام‌­های زیر را انجام دهد:

• منقضی کردن کلمه‌­های عبور، پس از گذشت یک زمان مشخص (توصیه می‌کنیم به هیچ وجه این اقدام را انجام ندهید، برای کسب اطلاعات بیشتر این مطلب را مطالعه کنید).
• تعیین الزام‌هایی برای پیچیدگی کلمه عبور.

کنترل دسترسی و کلمه های عبور

کنترل دسترسی کاربر این تضمین را ایجاد می‌کند که هر حساب کاربری، تنها در اختیار افراد مجاز قرار می‌گیرد. کاربران فقط باید به برنامه‌های کاربردی، رایانه­‌ها و شبکه‌هایی دسترسی داشته باشند که دسترسی به آن‌ها جهت انجام کارهای مربوط به شغل‌شان ضرورت داشته باشد.

با کاهش سطح دسترسی به حداقل میزان ممکن می­‌توانید خطر سرقت اطلاعات یا آسیب رسیدن به آن‌ها را کاهش دهید. این کنترل فنی، الزامات مربوط به حساب‌های کاربری ویژه و فرایندهای محدود کردن دسترسی را تعریف می‌کند. این الزام‌ها عبارتند از:

• وجود فرایندی برای ایجاد و تأیید حساب کاربری
• تأیید هویت کاربران با اطلاعات لاگین منحصربه­ فرد، قبل از دسترسی آن‌ها به برنامه‌های کاربردی یا تجهیزات (بخش احراز هویت مبتنی بر کلمه عبور را مشاهده کنید)
• حذف یا غیرفعال کردن حساب‌های کاربری که دیگر نیازی به آن‌ها وجود ندارد (به عنوان مثال وقتی کارمندی سازمان را ترک می‌کند یا پس از گذشت یک مدت زمان مشخص از غیرفعال بودن حساب کاربری مربوطه)
• پیاده ­سازی احراز هویت دومرحله‌ای، هر کجا که ممکن بود
• استفاده از حساب‌های کاربری مدیر سیستم فقط جهت انجام فعالیت‌های مدیریتی (نه ارسال و دریافت ایمیل، وب­ گردی یا سایر فعالیت‌هایی که ممکن است دسترسی‌های ادمین را در معرض خطر قرار دهد)
• حذف یا غیرفعال کردن امتیازاتی که دیگر نیازی به آن‌ها نیست (به عنوان مثال وقتی نقش و سمت یک کارمند تغییر می‌کند)

قفل کردن حساب‌های کاربری برای مقابله با حملات جستجوی فراگیر

در حمله جستجوی فراگیر، با استفاده از یک ربات، تمام ترکیب­ های ممکن حروف و عددها امتحان می‌شود تا در نهایت کلمه عبوری پیدا شود که امکان دسترسی به شبکه را فراهم کند. وقتی این حمله بر ضد کلمه­ های عبور ساده و کوتاه اجرا شود، اغلب به موفقیت دست پیدا می‌کند. در سال‌های اخیر، قربانی شدن شرکت‌های مهم در برابر این حمله باعث جلب توجه بیشتر نسبت به آن شده است.

در سال 2017 میلادی، پارلمان وست‌مینستر بریتانیا قربانی چنین حمله‌ای شد که منجر به هک 90 حساب ایمیلی آن گردید. در سال 2018 نیز حساب‌های کاربری چند نفر از اعضای پارلمان ایرلند شمالی توسط مهاجمان از طریق همین حمله هک شد.

در طرح Cyber Essentials توصیه شده است که جهت محافظت از سازمان‌ها در برابر چنین حملاتی، سازوکار قفل شدن حساب کاربری (پس از حداکثر 10 بار تلاش ناموفق برای لاگین) اجرا شود. از آنجایی که ممکن است بیشتر این حملات در یک بازه کوتاه انجام شوند، در این طرح توصیه شده که تعداد این تلاش‌ها در عرض 5 دقیقه، به 10 مورد محدود شود.

تهیه یک لیست سیاه متشکل از کلمه ­های عبور ممنوعه

در طرح Cyber Essentials به سازمان‌ها توصیه شده برای مقابله با به کار بردن کلمه­ های عبور متداول و هک شده، اقدام ­های جدی را انجام دهند از جمله ایجاد یک لیست سیاه از کلمه های عبور ممنوعه که شامل رمزهای عبور بسیار متداول و رمزهای عبور هک شده است. این اقدام باعث بهبود سطح امنیت می‌شود زیرا مانع سواستفاده از کلمه های عبور ضعیف توسط هکرها خواهد شد.

لیست سیاه را می­ توان بر اساس لیست‌های مربوط به کلمه های عبور متداول که منتشر شده‌اند تهیه کرد. NCSC لیستی 100 هزارتایی از کلمه های عبور متداول را منتشر کرده که در این زمینه فقط قله یک کوه یخ محسوب می‌شود. با توجه به وجود ده‌ها میلیارد رمز عبور نشت کرده که به راحتی از طریق فضای آنلاین قابل دسترس هستند، استفاده از یک لیست سیاه جامع ضروی است.

همچنین سازمان‌ها برای این که همواره در مقابل تهدیدهای جدید ایمن باشند باید این لیست‌ها را دائماً به­ روزرسانی کنند. استفاده از یک سرویس شخص سوم برای تهیه لیست سیاه کلمه‌های عبور می‌تواند منجر به ساده‌تر شدن فرایند مدیریت لیست رمزهای عبور درز کرده شود.

منقضی شدن کلمه‌های عبور، فقط در صورت نیاز

طرح‌های Cyber Essentials و NCSC هر دو توصیه می‌کنند که تغییر کلمه عبور تنها در صورتی الزامی باشد که رمز عبوری هک شده یا نسبت به هک شدن آن شک و تردید ایجاد شده باشد. هر چند تغییر دوره‌ای کلمه‌های عبور می‌تواند مانع دسترسی هکرها به حساب‌های هک شده شود اما این رویکرد می‌تواند تأثیراتی منفی نیز بر امنیت و عملکرد داشته باشد.

همین حالا هم با توجه به حجم زیاد کلمه های عبور مورد استفاده کاربران، این احتمال وجود دارد که کاربران سعی کنند از الگوهای قابل پیش­بینی استفاده کرده یا کلمه‌های عبور خودشان را در جایی یادداشت کنند.

اما قبل از متوقف کردن تغییرات دوره‌ای کلمه عبور باید یک سیستم دفاعی دیگر تهیه کنید. این سیستم می‌تواند یک ابزار نظارتی جهت شناسایی کلمه های عبور هک شده یا احراز هویت دومرحله‌ای باشد. تاریخ انقضای کلمه عبور را می‌­توان بر اساس طول آن تعیین کرد تا کاربران سعی کنند جهت طولانی شدن این تاریخ، از کلمه های عبور طولانی‌تری استفاده کنند.

آماده ­سازی کلمه عبور برای طرح Cyber Essentials

اگر سازمانی قصد انطباق با طرح Cyber Essentials را دارد باید مطمئن شود که خط­ مشی کلمه عبور آن منطبق با الزام‌های مندرج در این طرح باشد. زحمت و بار اصلی تنظیم کلمه عبور را از دوش کاربران بردارید و آن را روی سیستم‌های فنی قرار دهید. به عنوان مثال می‌توانید با تهیه یک لیست سیاه برای کلمه های عبور، از به کاربردن رمزهای عبور هک شده جلوگیری کنید.

حساب‌های کاربری را پس از تلاش‌های ناموفق برای لاگین قفل کنید و انقضای دوره‌ای رمز عبور را متوقف کرده و همواره نیز کنترل کنید رمز عبوری هک نشده باشد. همچنین باید تعداد کاربران دارای دسترسی‌های ویژه را محدود کرده و فقط برای انجام کارهای ضروری از چنین حساب‌های کاربری استفاده کنید.