U-host.org
October 9th, 2013, 20:01
تا به حال خیلی شنیده اید که از رمز عبور ساده استفاده نکنید و همیشه سعی کنید رمزهای بزرگ (بالای ده کاراکتر) انتخاب کنید تا برنامه های کامپیوتری رمزشکن نتوانند آن را به راحتی حدس بزنند. اما یک نکته مهمتر برای سازمان ها و گروها مطرح است و آن استفاده از یک رمز عبور برای همه کارها است! به اشتراک گذاری یک رمز عبور مابین تمامی کارکنان، برای مدیریت سیستم، ایده بسیار بدی است. یک رمز عبور میتواند مشکلات بسیاری را به همراه داشته باشد.
با استفاده از یک رمز عبور کار را به دست شیطان خواهید سپرد و فساد، خرابی و کاهش بهرهوری دست به گریبان شما خواهد بود.
کاربران بد اندیش
یک وضعیت کابوسوار ولی محتمل، کارمند حقهبازی است که از دسترسیهای اصلی سوءاستفاده میکند. این حالت اغلب اتفاق میافتد، ولی درصورت وقوع نتایجش مصیبتبار خواهد بود. ماجرای «تری چایلدز» را نگاه کنید که دسترسی به شبکه گسترده فیبر نوری در سنفرانسیسکو را گرفت. او با ریستکردن رمزهای مدیریتی مسیریابها و سوییچهای سنفرانسیسکو تصمیم داشت که کمی در هزینههای شهر صرفهجویی کند.
میتوانید گزارش تیم آمادگی اضطرار کامپیوتری (cert) را در مامه مه سال ۲۰۰۵ مطالعه کنید که حدود ۵۰ رخداد اینچنینی را در فاصله سالهای ۱۹۹۶ تا ۲۰۰۲ بررسی میکند. توجه داشته باشید که اینها فقط حوادث برجسته که «زیرساخت حیاتی» را تحت تأثیر قرار دادهاست و حوادث «جزئیتر» در سازمانهای با حساسیت کمتر رخ داده است.
اتلاف اطلاعات
همه کارمندان خرابکار نیستند که بخواهند دادههای شرکت را ب***ند یا به سیستمهایش صدمه بزنند. اما بیشتر کارمندان این کار را میکنند و سرانجام شغل را ترک یا پست جدیدی دریافت میکنند. مدیران، رمز عبور اصلی را تغییر میدهند ولی فراموش میکنند که اسناد را روزآمد کنند. اسناد میگویند که هر تعداد سناریویی برای یافتن رمز اصلی استفاده شود، نباید به نتیجه برسد.
بهاشتراک گذاری رمز عبور اصلی برای مدیران یک مساله است و شکلی از مدیریت کاربران مجاز، یک مساله دیگر. بله، میتوانید راههایی برای ریست کردن رمز عبور پیدا کنید، اما موجب اختلال در کارکرد میشود و معمولاً مستلزم در نظر گرفتن یک سیستم آفلاین است. لازم نیست تا بدترین فکرها را دربارة کارمندهایتان بکنید تا متوجه شوید راههای بهتری برای مدیریت دسترسی وجود دارد. فقط در نظر داشته باشید که آنها انسان هستند و تیم مدیریتی که امروز دارید حتماً همانهایی نخواهند بود که شش ماه دیگر دارید.
دسترسی نامحدود
یک مساله دیگر که وجود دارد، این است که برخی از کارکنان با دسترسی super user قادر به انجام کارهای مورد نظر خواهند بود و نیازی به دسترسی مدیر شبکه ندارند.
ممکن است که یکی از اعضای گروه وب نیاز داشته باشد تا برنامه Apache یا MySQL را راهاندازی مجدد کند؛ اما لازم نیست دسترسی کامل به کل سیستم داشته باشد. امکان دارد که بخواهید اعضای گروه قادر باشند تا Apache را راهاندازی مجدد کنند، ولی قادر نباشند تا برنامهای را نصب کنند. شاید مدیر پایگاه داده، دسترسی مدیریتی محدودی لازم داشته باشد، اما مجدداً یادآوری میکنم که ضرورت ندارد تا به کل سیستم دسترسی داشته باشد.
حتی مدیران که باید به تمام سیستم دسترسی داشته باشند، لازم است که که تا حدی پاسخگو باشند. استفاده از رمز عبور اصلی برای انجام کارهای مدیریتی، چندان جالب نیست. با وجود آنکه یافتن فردی که از رمز عبور اصلی سوءاستفاده کرده، ممکن است؛ ولی در عمل، پیچیدهتر از این است و هنوز جای کار برای پیشرفت وجود دارد.
ممیزی و پیروی از سیاست
ممیزی و پیروی از سیاست، یکی از دلایل اصلی برای دوری جستن از برنامه به اشتراک گذاری رمز عبور است. خواه نگران ممیزیهای گوناگون یا قواعد و استانداردها (مانند Sarbanes-Oxley, HIPAA, PCI) باشید یا نه، نشان میدهد که دسترسی شما به حساب مدیر سیستم بسیار مهم است.
همچنین ممکن است بخواهید که دسترسی را ببخشید یا متوجه شوید که هر کسی چهکار کردهاست. مجدداً کنار هم چیدن اطلاعاتی مانند لاگهای سیستم، جایگزین مناسبی برای امکانات حسابرسی واقعی نیست.
راهحلها
بعد از آنکه متوجه شدید به اشتراک گذاری رمز عبور اصلی، ایده بدی است؛ راه حل چیست؟ جواب این سئوال بستگی به منابع، نیازها و اندازة سازمان شما دارد.
برای سازمانهای کوچکتر، یک پیکرهبندی شبههکدی شاید کفایت کند. این راهکار باید شما را از انجام وظایف مدیران مطمئن سازد و اینکه به هیچ اجازه دیگری نیاز نداشته باشند. این مساله به این معنی است که اعطای «تمامی» دسترسیها به مدیر شبکه، در بسیاری از موارد یک راه حل منطقی نیست. (خصوصاً چون میتوان آن رمز عبور را تغییر دهند و برای خودشان رمز جدید ایجاد کنند)
راه حل دیگر، مدیریت کاربران مجاز از طریق برنامههایی مانند Novell’s Privileged User Manager و محصولات شرکتهایی مانند Centrify یا Quocirca است. کدام یک بهتر است؟ پاسخ بستگی زیادی به محیط شخص دارد. تنها قاعده که در مورد همة سازمانها صدق میکند که از زمان بهاشتراک گذاری رمز عبور اصلی مدتها گذشتهاست.
منبع :
با استفاده از یک رمز عبور کار را به دست شیطان خواهید سپرد و فساد، خرابی و کاهش بهرهوری دست به گریبان شما خواهد بود.
کاربران بد اندیش
یک وضعیت کابوسوار ولی محتمل، کارمند حقهبازی است که از دسترسیهای اصلی سوءاستفاده میکند. این حالت اغلب اتفاق میافتد، ولی درصورت وقوع نتایجش مصیبتبار خواهد بود. ماجرای «تری چایلدز» را نگاه کنید که دسترسی به شبکه گسترده فیبر نوری در سنفرانسیسکو را گرفت. او با ریستکردن رمزهای مدیریتی مسیریابها و سوییچهای سنفرانسیسکو تصمیم داشت که کمی در هزینههای شهر صرفهجویی کند.
میتوانید گزارش تیم آمادگی اضطرار کامپیوتری (cert) را در مامه مه سال ۲۰۰۵ مطالعه کنید که حدود ۵۰ رخداد اینچنینی را در فاصله سالهای ۱۹۹۶ تا ۲۰۰۲ بررسی میکند. توجه داشته باشید که اینها فقط حوادث برجسته که «زیرساخت حیاتی» را تحت تأثیر قرار دادهاست و حوادث «جزئیتر» در سازمانهای با حساسیت کمتر رخ داده است.
اتلاف اطلاعات
همه کارمندان خرابکار نیستند که بخواهند دادههای شرکت را ب***ند یا به سیستمهایش صدمه بزنند. اما بیشتر کارمندان این کار را میکنند و سرانجام شغل را ترک یا پست جدیدی دریافت میکنند. مدیران، رمز عبور اصلی را تغییر میدهند ولی فراموش میکنند که اسناد را روزآمد کنند. اسناد میگویند که هر تعداد سناریویی برای یافتن رمز اصلی استفاده شود، نباید به نتیجه برسد.
بهاشتراک گذاری رمز عبور اصلی برای مدیران یک مساله است و شکلی از مدیریت کاربران مجاز، یک مساله دیگر. بله، میتوانید راههایی برای ریست کردن رمز عبور پیدا کنید، اما موجب اختلال در کارکرد میشود و معمولاً مستلزم در نظر گرفتن یک سیستم آفلاین است. لازم نیست تا بدترین فکرها را دربارة کارمندهایتان بکنید تا متوجه شوید راههای بهتری برای مدیریت دسترسی وجود دارد. فقط در نظر داشته باشید که آنها انسان هستند و تیم مدیریتی که امروز دارید حتماً همانهایی نخواهند بود که شش ماه دیگر دارید.
دسترسی نامحدود
یک مساله دیگر که وجود دارد، این است که برخی از کارکنان با دسترسی super user قادر به انجام کارهای مورد نظر خواهند بود و نیازی به دسترسی مدیر شبکه ندارند.
ممکن است که یکی از اعضای گروه وب نیاز داشته باشد تا برنامه Apache یا MySQL را راهاندازی مجدد کند؛ اما لازم نیست دسترسی کامل به کل سیستم داشته باشد. امکان دارد که بخواهید اعضای گروه قادر باشند تا Apache را راهاندازی مجدد کنند، ولی قادر نباشند تا برنامهای را نصب کنند. شاید مدیر پایگاه داده، دسترسی مدیریتی محدودی لازم داشته باشد، اما مجدداً یادآوری میکنم که ضرورت ندارد تا به کل سیستم دسترسی داشته باشد.
حتی مدیران که باید به تمام سیستم دسترسی داشته باشند، لازم است که که تا حدی پاسخگو باشند. استفاده از رمز عبور اصلی برای انجام کارهای مدیریتی، چندان جالب نیست. با وجود آنکه یافتن فردی که از رمز عبور اصلی سوءاستفاده کرده، ممکن است؛ ولی در عمل، پیچیدهتر از این است و هنوز جای کار برای پیشرفت وجود دارد.
ممیزی و پیروی از سیاست
ممیزی و پیروی از سیاست، یکی از دلایل اصلی برای دوری جستن از برنامه به اشتراک گذاری رمز عبور است. خواه نگران ممیزیهای گوناگون یا قواعد و استانداردها (مانند Sarbanes-Oxley, HIPAA, PCI) باشید یا نه، نشان میدهد که دسترسی شما به حساب مدیر سیستم بسیار مهم است.
همچنین ممکن است بخواهید که دسترسی را ببخشید یا متوجه شوید که هر کسی چهکار کردهاست. مجدداً کنار هم چیدن اطلاعاتی مانند لاگهای سیستم، جایگزین مناسبی برای امکانات حسابرسی واقعی نیست.
راهحلها
بعد از آنکه متوجه شدید به اشتراک گذاری رمز عبور اصلی، ایده بدی است؛ راه حل چیست؟ جواب این سئوال بستگی به منابع، نیازها و اندازة سازمان شما دارد.
برای سازمانهای کوچکتر، یک پیکرهبندی شبههکدی شاید کفایت کند. این راهکار باید شما را از انجام وظایف مدیران مطمئن سازد و اینکه به هیچ اجازه دیگری نیاز نداشته باشند. این مساله به این معنی است که اعطای «تمامی» دسترسیها به مدیر شبکه، در بسیاری از موارد یک راه حل منطقی نیست. (خصوصاً چون میتوان آن رمز عبور را تغییر دهند و برای خودشان رمز جدید ایجاد کنند)
راه حل دیگر، مدیریت کاربران مجاز از طریق برنامههایی مانند Novell’s Privileged User Manager و محصولات شرکتهایی مانند Centrify یا Quocirca است. کدام یک بهتر است؟ پاسخ بستگی زیادی به محیط شخص دارد. تنها قاعده که در مورد همة سازمانها صدق میکند که از زمان بهاشتراک گذاری رمز عبور اصلی مدتها گذشتهاست.
منبع :