جستجو برای:
  • تقویم آموزشی
  • آموزش آنلاین
  • فرم پیش ثبت نام
  • فرم درخواست مدرک
  • وبینار
  • وبینارهای آموزشی
  • بین الملل
    • آموزشگاه های بین المللی
    • آزمون های بین المللی
  • دوره ها
    • امنیت
      • EC-Council
      • F5
      • Fortinet
      • ISACA
      • ISC2
      • Juniper
      • Payment Security
      • SANS
      • SCADA
      • Secure coding
      • SOC
      • Splunk
    • بانک اطلاعاتی
      • Oracle
      • SQL Server
    • هوش مصنوعی
    • تحول دیجیتال
    • گرافیک
    • برنامه نویسی
      • متخصص .net
      • متخصص php
      • متخصص Java
      • متخصص جاوا اسکریپت
      • متخصص پایتون
      • متخصص Front End
      • متخصص UI/UX
    • ذخیره و بازیابی اطلاعات
      • Big Data
      • EMC
      • HP
      • Netbackup
      • veeam
    • شبکه
      • Cisco Old Level
      • Cisco New Level
      • CompTIA
      • EPI
      • آموزش Linux
      • Microsoft
      • Mikrotik
      • SolarWinds
    • کارکنان دولت
    • مجازی سازی
      • Cloud computing
      • Hyper-V
      • VMware
      • AWS
      • Azure
    • Devops
    • مخابرات
    • مدیریت فناوری اطلاعات
      • ISO 27001
      • IT Management
      • Project Management
    • ارزهای دیجیتال
    • اتوماسین صنعتی و ابزار دقیق
    • ویژه دوران
      • کارگاه ها و سمینارها
      • محصولات دوران
  • ویدئوها
  • بلاگ
  • آموزش، توانمندسازی، استخدام
  • آکادمی خوزستان
 
  • 021-43589
  • دعوت به همکاری
  • درباره ما
  • تماس با ما
  • مجله اینترنتی گروه دوران
آموزشگاه آکادمی دوران | برگزاری دوره های آموزشی تخصصی IT
دسته بندی‌ دوره‌ها
  • شبکه
    • Microsoft
    • SolarWinds
    • CompTIA
    • Cisco Old Level
      • Cisco New Level
    • Mikrotik
    • آموزش Linux
    • EPI
  • مخابرات
    • مخابرات
  • امنیت
    • ISC2
    • F5
    • EC-Council
    • Juniper
    • SOC
    • Fortinet
    • SANS
    • SCADA
    • ISACA
    • Secure coding
    • Payment Security
    • Splunk
  • مجازی سازی
    • Hyper-V
    • Cloud computing
    • VMware
    • AWS
    • Azure
  • Devops
    • Devops
  • مدیریت فناوری اطلاعات
    • ISO 27001
    • IT Management
    • Project Management
  • تحول دیجیتال
  • هوش مصنوعی
  • برنامه نویسی
    • متخصص پایتون
    • متخصص .net
    • متخصص جاوا اسکریپت
    • متخصص Java
    • متخصص Front End
    • متخصص UI/UX
    • متخصص php
  • گرافیک
  • ذخیره و بازیابی اطلاعات
    • Big Data
    • HP
    • EMC
    • Netbackup
    • veeam
  • بانک اطلاعاتی
    • Oracle
    • SQL Server
  • دیجیتال مارکتینگ
    • دیجیتال مارکتینگ
  • ارزهای دیجیتال
    • ارزهای دیجیتال
  • اتوماسین صنعتی و ابزار دقیق
  • ویژه دوران
    • کارگاه ها و سمینارها
    • محصولات دوران
    • کارکنان دولت
0

ورود و ثبت نام

  • تقویم آموزشی
  • آموزش آنلاین
  • وبینارهای آموزشی
  • بین الملل
    • آموزشگاه های بین المللی
    • آزمون های بین المللی
  • فرم پیش ثبت نام
  • فرم درخواست مدرک
  • ویدئوها
  • شعب آکادمی
    • آکادمی خوزستان
    • آکادمی بندرعباس
  • آموزش، توانمندسازی، استخدام

بلاگ

آموزشگاه آکادمی دوران | برگزاری دوره های آموزشی تخصصی IT بلاگ مقالات امنیت رمز عبور ( password )

رمز عبور ( password )

1401/02/31
ارسال شده توسط soheili
مقالات امنیت
3.5k بازدید
رمز عبور

رمزعبور چیست؟

5 مه، روز جهانی رمز عبور است – فرصتی عالی برای صحبت در مورد یکی از موضوعات مورد علاقه من، رمزهای عبور قوی. گذرواژه‌های ضعیف یا استفاده نامناسب از گذرواژه، به محرک اصلی نقض‌ها تبدیل شده‌اند. مهاجمان سایبری به طور فعال گذرواژه‌های در معرض خطر را هدف قرار می‌دهند و نه تنها برای دسترسی به سازمان‌ها، بلکه برای جابجایی و عبور بی‌صدا سازمان‌ها تا بتوانند اهداف خود را بدون شناسایی به انجام برسانند. به این ترتیب، سازمان‌ها راه‌حل‌های فنی و آموزشی را پیاده‌سازی می‌کنند تا مطمئن شوند کارکنان نه تنها از رمزهای عبور قوی استفاده می‌کنند، بلکه این کار را به شیوه‌ای امن انجام می‌دهند. با این حال، در دنیای امروزی رمزهای عبور ایمن دیگر کافی نیستند زیرا هنوز هم نشان دهنده یک نقطه شکست هستند. حتی اگر طولانی‌ترین و ایمن‌ترین رمز عبور جهان را داشته باشید، اگر آن رمز عبور در معرض خطر باشد، مهاجمان سایبری به حساب، سیستم و داده‌های شما دسترسی کامل دارند.

 

یکی از مؤثرترین و اثبات‌شده‌ترین رویکردها برای احراز هویت قوی، چیزی به نام تأیید اعتبار چند عاملی یا به اختصار MFA است. MFA زمانی است که از چندین عامل احراز هویت قبل از اعطای دسترسی استفاده می شود. به این ترتیب، اگر رمز عبور شما به خطر بیفتد، حساب، سیستم و داده‌های شما همچنان ایمن هستند زیرا عامل یا عوامل دیگر همچنان از شما محافظت می‌کنند. MFA در حال تبدیل شدن به یک راه حل محبوب است، اما ممکن است سردرگمی زیادی در مورد نحوه عملکرد MFA و همچنین پیاده سازی های مختلف آن وجود داشته باشد. به این ترتیب، در اینجا یک توضیح کوتاه برای آماده سازی بهتر شما برای آموزش نیروی کار خود در مورد این رویکرد بسیار موثر برای احراز هویت قوی وجود دارد.

 

MFA چیست؟

MFA چیست؟

MFA که مخفف عبارت Multi-Factor Authentication است، یکی از قوی ترین روش های احراز هویت در نظر گرفته می شود. مایکروسافت تخمین می زند که MFA 99 درصد از حملات مبتنی بر احراز هویت را شکست می دهد. در حالی که MFA بی‌خطر نیست، یکی از مؤثرترین گام‌هایی است که سازمان‌ها می‌توانند برای کاهش چشمگیر خطر نقض بردارند. در ساده‌ترین سطح خود، MFA سطوح چندگانه احراز هویت است که در آن یک فرد نه تنها با یک رمز عبور (چیزی که می‌داند)، بلکه نوعی کد یا دستگاه منحصربه‌فرد را احراز هویت می‌کند. حتی اگر رمز عبور آنها به خطر بیفتد، حساب و داده های آنها همچنان امن است زیرا مهاجم سایبری به فرم دوم احراز هویت دسترسی ندارد. متأسفانه، اینجاست که سادگی MFA متوقف می شود و همه چیز می تواند کمی پیچیده شود.

بیشتر بخوانید: PostgreSQL چیست؟

اول، اصطلاحات مختلفی برای توصیف MFA (تأیید هویت چند عاملی) وجود دارد. برخی از سازمان ها یا فروشندگان آن را تایید دو مرحله ای، احراز هویت دو مرحله ای (2FA)، رمز عبور یکبار مصرف (OTP) یا احراز هویت قوی می نامند. همه دلالت بر یک چیز دارند، احراز هویت به دو یا چند شکل احراز هویت نیاز دارد – معمولاً یک رمز عبور و چیز دیگری مانند یک کد منحصر به فرد ارسال شده یا تولید شده توسط دستگاه تلفن همراه شما.

 

اجرای MFA

علاوه بر این، راه های متعددی برای پیاده سازی MFA وجود دارد. در حالی که فهرست زیر به هیچ وجه جامع نیست، برخی از رایج ترین روش ها در زیر گنجانده شده است.

 

کد پیامک: یک کد یکبار مصرف و منحصر به فرد از طریق پیامک به دستگاه تلفن همراه شما ارسال می شود. سپس از این کد به همراه رمز عبور خود برای احراز هویت و ورود به سیستم استفاده کنید. این پرکاربردترین روش است، احتمالاً به این دلیل که راه‌اندازی آن آسان‌تر است: یک کاربر به سادگی باید شماره تلفن همراه خود را در حساب خود ثبت کند تا زمانی که سعی می‌کند با نام کاربری و رمز عبور خود وارد سیستم شوید، یک کد به آن ارسال شود. دستگاه تلفن همراه به عنوان وسیله ثانویه احراز هویت عمل می کند. اگرچه این رویکرد آسان تر است، اما خطری نیز دارد. اگر شخصی بتواند شماره تلفن شما را تغییر مسیر دهد یا کنترل آن را در دست بگیرد (مثلاً از طریق تعویض سیم کارت)، مهاجم کد منحصر به فرد شما را دریافت خواهد کرد. در روش حمله دیگری، مهاجمان سایبری وانمود می‌کنند که یک بانک یا پشتیبان فناوری اطلاعات هستند و قربانیان را فریب می‌دهند تا از این کد منحصر به فرد صرف نظر کنند و سپس به سرعت از کد برای ورود به عنوان قربانی استفاده می‌کنند.

تولیدکننده کد: دستگاه تلفن همراه شما دارای یک برنامه تلفن همراه احراز هویت (مانند Google Authenticator) است که کدهای یکبار مصرف منحصر به فرد را برای شما تولید می کند. شما برنامه تلفن همراه را در دستگاه تلفن همراه خود دانلود می کنید، سپس برای فعال کردن MFA برای حساب های خود، برنامه احراز هویت را با هر حساب همگام می کنید. این برنامه های احراز هویت می توانند صدها حساب را به طور همزمان پشتیبانی کنند. روش دیگر این است که یک توکن فیزیکی برای شما صادر می شود که کدهای یکبار مصرف و منحصر به فرد را برای شما تولید می کند. استفاده از اپلیکیشن موبایل یا توکن فیزیکی برای تولید کدها امن‌تر از کدهای پیامکی در نظر گرفته می‌شود، زیرا هیچ راهی برای مهاجمان سایبری وجود ندارد که شماره تلفن شما را تصرف کنند. با این حال، این روش همچنان در برابر مهاجمان سایبری که افراد را فریب می دهند یا آنها را فریب می دهند تا کد منحصر به فرد را کنار بگذارند، آسیب پذیر است.

اعلان‌های احراز هویت: برخی از برنامه‌های احراز هویت تلفن همراه (مانند Authenticator مایکروسافت) نیز این کار را به گونه‌ای انجام می‌دهند که وقتی وارد وب‌سایت‌های خاصی می‌شوید، به‌جای نیاز به کد یک‌بار استفاده، وب‌سایت یک درخواست احراز هویت را به برنامه تلفن همراه شما ارسال می‌کند و از شما می‌پرسد که آیا این کار را انجام می‌دهید یا خیر. برای ورود به سیستم اگر چنین است، شما درخواست احراز هویت را از طریق دستگاه خود تأیید می کنید. این رویکردی است که معمولاً در اکوسیستم اپل استفاده می شود. این رویکرد ایمن‌تر در نظر گرفته می‌شود زیرا هیچ کدی برای مهاجمان سایبری وجود ندارد تا افراد را فریب دهند. با این حال، اگر یک مهاجم سایبری به رمز عبور شما دسترسی پیدا کند و سعی کند به عنوان شما وارد سیستم شود، می‌تواند تا زمانی که درخواست احراز هویت را در تلفن همراه خود تأیید کنید، به احراز هویت ادامه دهد.

FIDO: یک دستگاه فیزیکی به شما داده می شود که به لپ تاپ یا رایانه شما متصل می شود و در وب سایت هایی که مرتباً وارد آن می شوید ثبت می شود. هنگامی که دستگاه به رایانه شما (از طریق درگاه USB یا اتصال از طریق فناوری NFC) وصل می شود و از این وب سایت ها بازدید می کنید، دستگاه شما را احراز هویت می کند. Yubikey یک نمونه رایج در دسترس عموم از چنین دستگاه فیزیکی است که از استاندارد FIDO پشتیبانی می کند. این روش امن‌ترین روش احراز هویت است، زیرا هیچ کد یا درخواست احراز هویت منحصربه‌فردی وجود ندارد و مهاجمان سایبری چیزی برای فریب یا فریب قربانیان خود ندارند. بسیاری این را بهترین راه حل مقاوم در برابر فیشینگ می دانند. با این حال، این روش همچنین می‌تواند پیچیده‌ترین روش برای پشتیبانی سازمان‌ها باشد و بسیاری از وب‌سایت‌ها هنوز از استاندارد FIDO برای احراز هویت پشتیبانی نمی‌کنند.

پیشنهاد ما: مهمترین پروتکل های امنیتی ایمیل کدامند؟

آموزش MFA

آموزش MFA

بنابراین، سازمان شما باید از چه رویکردی حمایت کند؟ در بیشتر موارد، این موضوع توسط تیم امنیتی یا مدیریت ریسک شما تصمیم گیری می شود. صرف نظر از اینکه کدام روش را انتخاب می کنید، هر یک از آنها بهتر از رمزهای عبور به تنهایی است. برای اجرای موثر هر شکلی از MFA، اهداف کلیدی شما عبارتند از:

 

نحوه بهره‌مندی افراد از این روش را تکرار کنید، زیرا می‌تواند به دفاع در برابر اکثر حملات مبتنی بر احراز هویت کمک کند.

سعی کنید مفهوم MFA را تا حد امکان ساده نگه دارید. اصطلاحات و انواع مختلفی از MFA در اطراف وجود دارد که معمولاً افراد گیج می شوند. آنها را مغلوب نکنید; فقط آنچه را که باید بدانند به آنها بیاموزید.

تاکید کنید که چگونه MFA نه تنها یک راه حل در محل کار است، بلکه راه حلی است که مردم باید در خانه برای محافظت از مهمترین حساب های خود (بانک، بازنشستگی، سرمایه گذاری، ایمیل شخصی و غیره) اجرا کنند.

اگر می خواهید سازمان خود را در مورد نحوه استفاده از MFA و مزایای انجام آن آموزش دهید، یکی از بهترین راه ها برای آماده سازی خود این است که خودتان شروع به استفاده از آن کنید. MFA را فقط برای حساب های کاری خود تنظیم نکنید، بلکه آن را برای حساب های شخصی خود مانند حساب شخصی جیمیل، حساب آمازون یا سایر سایت هایی که از آن پشتیبانی می کنند، فعال کنید. بدین ترتیب نه تنها با این فناوری بیشتر آشنا می شوید، بلکه با روش ها و رویکردهای مختلف پیاده سازی MFA نیز آشنا می شوید.

اشتراک گذاری:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید
  • آموزش امنیت شبکه
    IT، امنیت، شبکه؛ هر چی باید بلد باشی تو این مقاله هست!

    9 بازدید

  • داکر
    مفاهیم داکر در عمل: توسعه و استقرار اپلیکیشن‌های وب

    23 بازدید

  • امنیت سایبری
    ۵ راه ورود سریع به دنیای امنیت سایبری (با منابع رایگان)

    33 بازدید

  • کارشناس امنیت
    10 مهارتی که به متمایز شدن یک کارشناس امنیت کمک می‌کند.

    27 بازدید

  • استخدام مهندس دواپس
    6 دلیل برای اینکه نباید مهندس دواپس (DevOps) را استخدام کنید!

    43 بازدید

  • اشتباهات امنیتی
    6 اشتباه رایج امنیتی و نادیده گرفتن آنها توسط متخصصان IT

    30 بازدید

قدیمی تر آموزش جاوا اسکریپت
جدیدتر علم داده چیست؟

دیدگاهتان را بنویسید لغو پاسخ

فرصت بی نظیر ورود به باز کار
دسته‌های دوره های آموزشی
  • آموزش دوره های devOPS
  • اتوماسین صنعتی و ابزار دقیق
  • ارزهای دیجیتال
  • امنیت
    • EC-Council
    • F5
    • Fortinet
    • ISACA
    • ISC2
    • Juniper
    • Payment Security
    • SANS
    • SCADA
    • Secure coding
    • SOC
    • Splunk
  • بانک اطلاعاتی
    • Oracle
    • SQL Server
  • برنامه نویسی
    • IOS
    • programming & Web
    • متخصص C#
    • متخصص PHP
    • متخصص UI/UX
    • متخصص پایتون
    • متخصص جاوا
    • متخصص جاوا اسکریپت
    • متخصص فرانت اند
  • تحول دیجیتال
  • درحال برگزاری
  • دیجیتال مارکتینگ
  • ذخیره و بازیابی اطلاعات
    • Big Data
    • EMC
    • HP
    • Netbackup
    • veeam
  • شبکه
    • Cisco Old Level
      • Cisco New Level
    • CompTIA
    • EPI
    • Microsoft
    • Mikrotik
    • SolarWinds
    • آموزش Linux
  • کارکنان دولت
  • گرافیک
  • مجازی سازی
    • AWS
    • Azure
    • Cloud computing
    • Hyper-V
    • VMware
  • مخابرات
  • مدیریت فناوری اطلاعات
    • ISO 27001
    • IT Management
    • Project Management
  • هوش مصنوعی
  • ویژه دوران
    • کارگاه ها و سمینارها
    • محصولات دوران

درباره ما

گروه دوران یکی از موفق‌ترین مجموعه شرکت‌های فناوری اطلاعات است، که با هدف ارائه محصولات وخدمات متنوع تاسیس گردید. این مجموعه بیش از 23 سال سابقه کاری در زمینه نرم افزار، مخابرات و شبکه دارد.

تماس با ما

  • تهران،خیابان بهشتی ،خیابان پاکستان ، کوچه حکیمی، پلاک 12
  • 021-43589
  • 021-88172361 اضطراری
  • 021-88172365 اضطراری
  • academy@douran.ir
Icon-instagram Icon-send-2 Linkedin-in Tape

پیوندهای مهم

  • کتابخانه
  • مجوزها
  • مشتریان
  • لابراتوار
  • فضای آموزشی
  • بلاگ
  • گروه دوران
  • دورتال

نماد اعتماد الکترونیک

تقویم زمستانی
تمامی حقوق برای آکادمی دوران محفوظ می باشد.

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت