سازمان جاسوسی انگلستان: گذرواژه خود را تغییر ندهید!

دولت انگلستان در روز جهانی گذرواژه، نظر مخالف خود را در مورد تغییر گذرواژه به عنوان یک روش امنیتی تکرار کرد. گروه امنیتی ارتباطات و الکترونیک (GCHQ (CESG گفت: «در سال ۲۰۱۵ روش‌ها و توصیه‌هایی را بیان کردیم و در این جا نیز می‌خواهیم بگوییم که چرا این توصیه غیر منتظره را می‌کنیم و اینکه چرا فکر می‌کنیم راه درست همین است».
در بین تمامی توصیه‌های امنیتی فناوری اطلاعات، این بهترین موردی است که مردم حتماً باید به آن گوش کنند. گروه CESG یک متن ۱۶ صفحه‌ای به نام “آسان‎سازی رویکرد شما” منتشر کرده است که در آن می‌گوید برای امنیت اطلاعات خود چه باید بکنید.
کسانی که عادت دارند به طور مرتب و خودکار گذرواژه خود را تغییر دهند، فکر می‌کنند با این کار اطلاعات گذرواژه قبلی بی‌استفاده می‌شود و همین فکر کاربران را مجبور می‌کند که به طور مرتب به امنیت اطلاعاتشان فکر کنند و در نتیجه احتمال اینکه از گذرواژه‎ای استفاده کنند که در جای دیگری آن را به کار نبرده‌اند، افزایش می‌یابد و همین باعث می‌شود که به هدفی خوب برای مهاجمان تبدیل شوند.
چرا این روش خوبی نیست؟
گروه CESG گفت: «مشکل این است که مجبور کردن کاربران به تعویض گذرواژه اصلاً کاربر را به زحمت نمی‌اندازد و در اصل گذرواژه‎ای خوب است که ذهن کاربر را درگیر کند».
این سازمان گفت که مشکل ذهن‌های کند ماست: «با اینکه ثابت شده ‌است می‌توانیم یک دست کامل (۶ مورد) از کلمات را حفظ کنیم اما نمی‌توانیم ۱۲ گذرواژه‌ای را که در حال حاضر در دنیای اینترنت از آن‎ها استفاده می‌کنیم را به ذهن بسپاریم».
طبق گفته CESG نتیجه این است که بیشتر ما گذرواژه‎ها را جایی می‌نویسیم یا آن‌ها را فراموش می‌کنیم و مجبور می‌شویم که از آن سرویسی که در حال استفاده هستیم، بخواهیم که گذرواژه را تغییر دهند.
تردیدها
در نتیجه CESG به سازمان‌ها توصیه می‌کند که گذرواژه کاربران را مرتباً عوض نکنند و به جای آن ابزارهای کنترل‎کننده سامانه را به مشتریان خود معرفی کنند، مثلاً به کاربران نشان دهند که آخرین ورود به حسابشان متعلق به چه زمانی است تا کاربر متوجه شود شخصی به غیر از خودش وارد حسابش شده است یا خیر».
ممکن است کاربران این توصیه جدید را به علت آسان بودن دوست داشته باشند، اما مدیران ممکن است تمایل کمتری برای به کارگیری آن داشته باشند، به خصوص که آنها می‌بینند که مردم چه گذرواژه‎های آسانی انتخاب می‌کنند و حقیقت هم این است که تعداد زیادی از مردم از یک یا دو گذرواژه مشابه برای هر چیزی استفاده می‌کنند، از وارد شدن به سامانه کارشان تا ورود به توئیتر و هر چیز اینترنتی دیگری که برای بردن هدیه‌ی رایگانی رمزشان را در آن وارد می‌کنند (توجه کنید که این شما نیستید که چیزی برنده شده‎اید بلکه اشخاص دیگری هستند که موفقیتشان را جشن می‌گیرند، کسانی که اطلاعاتتان را در آینده به خودتان خواهند فروخت).
نمی‌توان تنها به همین دلیلی که CESG ارائه داده است اکتفا کرد: اینکه سازمان‌هایی که مرتبط به سازمان جاسوسی انگلستان هستند، چرا از اینکه مردم گذرواژه خود را تغییر ندهند سود می‌برند.
غیرقابل قبول است سازمانی که همیشه می‌خواسته شهروندان را کنترل کند اکنون به فکر امنیت همین شهروندان افتاده باشد. می‎توان تصور کرد که CESG کاملاً راجع به فعالیت‌ها و روش‌هایش صادق نیست.
پس اگر به سرویس امنیتی گذرواژه خود اعتماد دارید، این توصیه CESG را خیلی جدی نگیرید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap