تنظیم سیاست قدرت رمز عبور در Plesk

تعاریف کلیدی

• Password Strength (قدرت رمز عبور): میزان مقاومت یک رمز عبور در برابر حدس زدن یا حملات brute-force. این معیار بر اساس طول رمز عبور، ترکیب حروف بزرگ و کوچک، استفاده از اعداد و نمادها و همچنین وجود کلمات دیکشنری سنجیده می‌شود.
• Password Strength Policy (سیاست قدرت رمز عبور): قانونی که سرور اعمال می‌کند تا همه رمزهای عبور جدید حداقل سطح امنیتی مشخصی داشته باشند.
• Brute-force attack (حمله حدس زدن رمز): حمله‌ای که در آن مهاجم با امتحان کردن تعداد زیادی ترکیب ممکن، رمز عبور را پیدا می‌کند.
• Very Weak / Weak / Medium / Strong / Very Strong (خیلی ضعیف / ضعیف / متوسط / قوی / خیلی قوی): پنج سطح قدرت رمز عبور که Plesk برای اعمال سیاست رمز عبور استفاده می‌کند.
• Automatically generated password (رمز عبور تولید شده خودکار): رمز عبوری که Plesk به صورت خودکار ایجاد می‌کند و همیشه “خیلی قوی” است.

تنظیم سیاست قدرت رمز عبور در Plesk

رمزهای عبور ضعیف به راحتی می‌توانند توسط حملات brute-force شکسته شوند. این باعث می‌شود مهاجمان به سرور دسترسی پیدا کرده و وب‌سایت‌ها را تغییر دهند، اسپم ارسال کنند، اطلاعات را سرقت کنند و …

برای جلوگیری از این مشکل، می‌توان یک سیاست قدرت رمز عبور سروری تعریف کرد که حداقل سطح امنیتی رمزها را برای همه رمزهای جدید اعمال کند.

عوامل تعیین قدرت رمز عبور

قدرت یک رمز عبور به موارد زیر بستگی دارد:

1. طول رمز عبور
2. ترکیب حروف بزرگ و کوچک
3. استفاده از انواع کاراکترها (اعداد، نمادها و غیره)
4. وجود کلمات دیکشنری

⚠️ رمزهای ضعیف ممکن است سرور را آسیب‌پذیر کنند:

• اگر رمز عبور یک mailbox لو برود، مهاجم می‌تواند از آن برای ارسال اسپم استفاده کند و IP سرور به DNS Blackhole list اضافه شود.
• اگر رمز عبور یک کاربر سیستمی لو برود، مهاجم می‌تواند کد مخرب در وب‌سایت مشتری اضافه کند.

نحوه عملکرد سیاست رمز عبور

• سیاست رمز عبور هنگام ایجاد یا تغییر رمز عبور توسط کاربر Plesk اعمال می‌شود.
• رمزهای عبور تولید شده خودکار توسط Plesk همیشه خیلی قوی هستند و سیاست روی آن‌ها اعمال نمی‌شود.
• پنج سطح قدرت رمز عبور وجود دارد: Very Weak, Weak, Medium, Strong, Very Strong
• به طور پیش‌فرض سطح Strong اعمال شده است، اما می‌توان آن را تغییر داد.

⚠️ تغییر سیاست روی رمزهای قبلی تاثیری ندارد و فقط روی رمزهای جدید اعمال می‌شود.

رمزهایی که سیاست روی آن‌ها اعمال می‌شود

• رمز ورود به Plesk
• رمز کاربران سیستم اشتراک‌ها (Subscription system users)
• رمز کاربران دیتابیس
• رمز Mailbox

رمزهایی که سیاست روی آن‌ها اعمال نمی‌شود

• رمزهای برنامه‌های میزبانی شده (WordPress, Joomla و غیره)
• رمزهای سرویس‌های مدیریت شده توسط Plesk (Git, Docker)
• رمزهای رمزنگاری Backup
• رمزهای ذخیره‌سازی Backup از راه دور

نحوه تغییر سیاست رمز عبور

1. ورود به Plesk
2. رفتن به مسیر: Tools & Settings > Security Policy (زیر بخش Security)
3. اسکرول به بخش Password strength
4. انتخاب سطح مورد نظر در Minimum password strength
5. کلیک روی OK

✅ از این پس، هر رمز عبوری که سیاست شامل آن باشد، باید حداقل سطح مشخص شده را داشته باشد.

📌 توضیحات تکمیلی

• Plesk از الگوریتم‌های استاندارد برای سنجش قدرت رمز عبور استفاده می‌کند، بنابراین رمزهای تولید شده توسط سایر نرم‌افزارهای معتبر مانند 1Password نیز به عنوان “قوی” شناسایی می‌شوند.
• انتخاب سیاست بسیار سخت باعث افزایش امنیت می‌شود، اما ممکن است کاربران را مجبور به استفاده از رمزهای طولانی و پیچیده کند.
• استفاده از سیاست رمز عبور قوی، جلوی حملات brute-force را می‌گیرد و ریسک‌های امنیتی ناشی از رمزهای ضعیف را به حداقل می‌رساند.

کیان پور