آی تی پورت

تا به حال خیلی شنیده اید که از رمز عبور ساده استفاده نکنید و همیشه سعی کنید رمزهای بزرگ (بالای ده کاراکتر) انتخاب کنید تا برنامه های کامپیوتری رمزشکن نتوانند آن را به راحتی حدس بزنند. اما یک نکته مهم‌تر برای سازمان ها و گروها مطرح است و آن استفاده از یک رمز عبور برای همه کارها است! به‌ اشتراک گذاری یک رمز عبور مابین تمامی کارکنان، برای مدیریت سیستم، ایده بسیار بدی است. یک رمز عبور می‌تواند مشکلات بسیاری را به همراه داشته باشد.

با استفاده از یک رمز عبور کار را به دست شیطان خواهید سپرد و فساد، خرابی و کاهش بهره‌وری دست به گریبان شما خواهد بود.

کاربران بد اندیش

یک وضعیت کابوس‌وار ولی محتمل،‌ کارمند حقه‌بازی است که از دسترسی‌های اصلی سوء‌استفاده می‌کند. این حالت اغلب اتفاق می‌افتد، ولی درصورت وقوع نتایجش مصیبت‌بار خواهد بود. ماجرای «تری چایلدز» را نگاه کنید که دسترسی به شبکه گسترده فیبر نوری در سن‌فرانسیسکو را گرفت. او با ریست‌کردن رمزهای مدیریتی مسیریاب‌ها و سوییچ‌های سن‌فرانسیسکو تصمیم داشت که کمی در هزینه‌های شهر صرفه‌جویی کند.

می‌توانید گزارش تیم آمادگی اضطرار کامپیوتری (cert) را در مامه مه سال ۲۰۰۵ مطالعه کنید که حدود ۵۰ رخداد این‌چنینی را در فاصله سال‌های ۱۹۹۶ تا ۲۰۰۲ بررسی می‌کند. توجه داشته باشید که این‌ها فقط حوادث برجسته که «زیرساخت حیاتی» را تحت تأثیر قرار داده‌است و حوادث «جزئی‌تر» در سازمان‌های با حساسیت کمتر رخ داده است.

اتلاف اطلاعات

همه کارمندان خرابکار نیستند که بخواهند داده‌های شرکت را بدزدند یا به سیستم‌هایش صدمه بزنند. اما بیشتر کارمندان این کار را می‌کنند و سرانجام شغل را ترک یا پست جدیدی دریافت می‌کنند. مدیران، رمز عبور اصلی را تغییر می‌دهند ولی فراموش می‌کنند که اسناد را روزآمد کنند. اسناد می‌گویند که هر تعداد سناریویی برای یافتن رمز اصلی استفاده شود، نباید به نتیجه برسد.

به‌اشتراک گذاری رمز عبور اصلی برای مدیران یک مساله است و شکلی از مدیریت کاربران مجاز، یک مساله دیگر. بله، ‌می‌توانید راه‌هایی برای ریست کردن رمز عبور پیدا کنید، اما موجب اختلال در کارکرد می‌شود و معمولاً مستلزم در نظر گرفتن یک سیستم آفلاین است. لازم نیست تا بدترین فکرها را درباره کارمندهایتان بکنید تا متوجه شوید راه‌های بهتری برای مدیریت دسترسی وجود دارد. فقط در نظر داشته باشید که آنها انسان هستند و تیم مدیریتی که امروز دارید حتماً همان‌هایی نخواهند بود که شش ماه دیگر دارید.

دسترسی نامحدود

یک مساله دیگر که وجود دارد، این است که برخی از کارکنان با دسترسی super user قادر به انجام کارهای مورد نظر خواهند بود و نیازی به دسترسی مدیر شبکه ندارند.

ممکن است که یکی از اعضای گروه وب نیاز داشته باشد تا برنامه Apache یا MySQL را راه‌اندازی مجدد کند؛ اما لازم نیست دسترسی کامل به کل سیستم داشته باشد. امکان دارد که بخواهید اعضای گروه قادر باشند تا Apache را راه‌اندازی مجدد کنند، ‌ولی قادر نباشند تا برنامه‌ای را نصب کنند. شاید مدیر پایگاه داده، ‌دسترسی مدیریتی محدودی لازم داشته باشد، اما مجدداً یادآوری می‌کنم که ضرورت ندارد تا به کل سیستم دسترسی داشته باشد.

حتی مدیران که باید به تمام سیستم دسترسی داشته باشند، لازم است که که تا حدی پاسخگو باشند. استفاده از رمز عبور اصلی برای انجام کارهای مدیریتی، چندان جالب نیست. با وجود آنکه یافتن فردی که از رمز عبور اصلی سوءاستفاده کرده‌، ممکن است؛ ‌ولی در عمل، پیچیده‌تر از این است و هنوز جای کار برای پیشرفت وجود دارد.

ممیزی و پیروی از سیاست

ممیزی و پیروی از سیاست، ‌یکی از دلایل اصلی برای دوری جستن از برنامه به‌ اشتراک گذاری رمز عبور است. خواه نگران ممیزی‌های گوناگون یا قواعد و استانداردها (مانند Sarbanes-Oxley, HIPAA, PCI)‌ باشید یا نه، نشان می‌دهد که دسترسی شما به حساب مدیر سیستم بسیار مهم است.

همچنین ممکن است بخواهید که دسترسی را ببخشید یا متوجه شوید که هر کسی چه‌کار کرده‌است. مجدداً کنار هم چیدن اطلاعاتی مانند لاگ‌های سیستم، جایگزین مناسبی برای امکانات حسابرسی واقعی نیست.

راه‌حل‌ها

بعد از آنکه متوجه شدید به‌ اشتراک گذاری رمز عبور اصلی، ایده بدی است؛ راه حل چیست؟ جواب این سئوال بستگی به منابع،‌ نیازها و اندازه‌ سازمان شما دارد.

برای سازمان‌های کوچکتر، یک پیکره‌بندی شبهه‌کدی شاید کفایت کند. این راهکار باید شما را از انجام وظایف مدیران مطمئن سازد و اینکه به هیچ اجازه دیگری نیاز نداشته باشند. این مساله به این معنی است که اعطای «تمامی» دسترسی‌ها به مدیر شبکه، در بسیاری از موارد یک راه حل منطقی نیست. (خصوصاً چون می‌توان آن رمز عبور را تغییر دهند و برای خودشان رمز جدید ایجاد کنند)

راه حل دیگر، مدیریت کاربران مجاز از طریق برنامه‌هایی مانند Novell’s Privileged User Manager و محصولات شرکت‌هایی مانند Centrify یا Quocirca است. کدام یک بهتر است؟ پاسخ بستگی زیادی به محیط شخص دارد. تنها قاعده که در مورد همه سازمانها صدق می‌کند که از زمان به‌اشتراک گذاری رمز عبور اصلی مدت‌ها گذشته‌است.

منبع : linux.com