ماجرای اسنودن نشانۀ اهمیت بکارگیری گذرواژه‌های ایمن

همه می­دانند که گذرواژه­ را نباید با دیگران به اشتراک گذاشت. گذرواژه­‌ها برای حفاظت از اطلاعات­ شما و کارفرمای شماست و کارشان جلوگیری از دسترسی غیر و آسیب­های ناشی از آن است. به همین دلیل است که باید بر اطلاعات بانکداری خود گذرواژه‌ه­ای قدرتمند بگذارید.

پس اسنودن چگونه توانست به گذرواژه­‌هایی دست یابد که امکان دسترسی او به مدارک سری را فراهم کرد؟ بنا به گزارش رویترز، او این کار را به آسان­ترین شیوه انجام داد: درخواست کرد.

اما موضوع مفصل­تر از این­هاست. کاری که اسنودن کرد این بود که به همکارانش گفت در مقام مدیر سیستم به گذرواژه­‌های آنان نیاز دارد. همکاران وی نیز با اطلاع از این که وی شناخته­ شده است، بدون احساس ناامنی گذرواژه­‌هایشان را به او می­‌دادند. اسنودن از این اعتماد برای حمله به تمام انواع فایل­های NSA استفاده کرد.

جدا از ظرافت کار اسنودن، این واقعیت که او توانست با اطلاعات ورودی سایرین به اطلاعات دست یابد خود مؤید خیلی چیزهاست. شاید مهم­ترین نکته­‌اش مستقیماً به شما و کارفرمایتان مربوط باشد.

اسنودن از نقطه­ ضعفی استفاده کرد که تقریباً در تمام شرکت­ها و سازمان­ها وجود دارد و تنها با اتخاذ سیاست­های امنیتی درست و آموزش مناسب می­توان بر آن غلبه کرد. این نقطه ضعف عبارت است از اعتماد به افراد نامناسب در زمانی نامناسب.

پرسش بسیار مشهود این است که این نکات به چه درد شما و سازمان­تان می­‌خورد. از این گذشته، به احتمال زیاد شما حجم عظیمی از اطلاعات محرمانۀ دولتی را در اختیار ندارید. اما احتمال آن هست که شرکت­تان اطلاعات فراوانی در اختیار داشته باشد که برای رقیب­تان، مجرمان، یا افراد دیگری با اهداف مشکوک باارزش تلقی شود. آیا واقعاً مایل­ اید در دنیای بیرون از سازمان­تان همه از فهرست مشتریان، گزارش­های مالی، زنجیرۀ عرضه، یا جزییات تولیدتان اطلاع داشته باشند؟ احتمالاً خیر.

متأسفانه اگر کنترل گذرواژه­‌های سازمان­تان را از دست بدهید، در واقع همان اتفاقات بالا افتاده است. اما می­توانید مشکل را با چند کار بنیادی به حداقل برسانید و مطمئن شوید که کارکنان­تان آموزش­ دیده­ اند و هر چند وقت یک بار بازآموزی می­شوند. بعضی از کارهای که می­توانید انجام دهید عبارت­اند از:

1. همه را ملزم به استفاده از گذرواژه­‌هایی کنید که حدس زدن­شان دشوار باشد اما در این زمینه زیاده­‌روی نکنید. اگر گذرواژه­‌هایی ایجاد کنید که بیش­ از حد دشوار باشند، هیچ­کس آن­ها را به یاد نخواهد سپرد. می­دانید که بعد از آن چه اتفاقی می­‌افتد- یادداشت روی برچسب­های زردِ روی مونیتورها. این کار به افزایش امنیت کمکی نمی­‌کند.

2. اتفاقات ناشی از به اشتراک گذاشتن گذرواژه­‌ها را کنترل کنید. راحت می­شود گفت که کارکنان هرگز نباید تحت هیچ شرایطی گذرواژه‌هایشان را به دیگران اعلام کنند. اما در دنیای واقعی همه چیز این طور پیش نمی­رود. بعضی ­وقت­ها مدیر سیستم واقعاً دلیل موجهی برای پرسیدن اطلاعات ورودی کاربران دارد.

3. وقتی این اتفاق می­افتد، کاربر باید چه کار کند؟ به خیلی چیزها بستگی دارد اما لااقل باید بدانند که لازم است گذرواژه را فوراً عوض کنند. همچنین ممکن است لازم شود که درخواست تغییر گذرواژه در قالب فرمی متداول و ساده گزارش شود تا کسی که مسوول آن است، مثلاً مدیر آی­تی، از این تغییر مطلع شود.

4. اعمال تغییر در گذرواژه را آسان کنید و فرایند گزارش­دهی را خودکار کنید تا این نوع تغییرات همگی در سیستم ثبت و اعلام شود.

5. به نرم­ افزارهای پیچیده کنترل به منزلۀ ابزار شناسایی کاربر متکی نشوید. این کار ممکن است مفید باشد، اما هیچ چیز به اندازۀ پیروی از روشی خوب جوابگو نیست.

بنا بر اعلام سایت مرکز ماهر، برای دسترسی به اطلاعاتی که واقعاً مهم است استفاده از سیستم احراز هویت دو عاملی را الزامی کنید. بسیاری از شرکت­ها از کارت هوشمندی استفاده می­کنند که هم کارتی برای دسترسی است و هم کارت شناسایی سازمانی. این روش مشکل سرقت اطلاعات ورودی را کاهش می­دهد. یقیناً راه­های پیچیده­‌تری نیز برای کنترل دسترسی وجود دارد و در موقعیت­های استثنایی باید از آن­ها استفاده کرد اما این روش­ها همیشه مناسب نیستند.

به یاد داشتن این نکته مهم است که حفظ امنیت دسترسی مستلزم همکاری کارکنان است. این بدان معنی است که باید به آن­ها بگویید که از چه چیزهایی باید حفاظت کرد، روش­های حفظ اطلاعات کدام است و در صورت تردید در ایمنی اطلاعات – حتی وقتی کسی در مورد قابل ­اعتماد بودنِ خود دلیلی قابل­ قبول می­‌آورد- چه کار باید کرد.