عاملهای انسانی در امنیت اطلاعات/انتخاب رمز عبور: امنیت و عاملهای انسانی
![]() |
![]() |
پیشنهاد شده است که این مقاله یا بخش با عاملهای انسانی در امنیت اطلاعات/انتخاب کلمه عبور: امنیت و عامل انسانی ادغام گردد.
(بحث). |
پیشنهاد شده است که این مقاله یا بخش با عاملهای انسانی در امنیت اطلاعات/انتخاب کلمات عبور: امنیت و عاملهای انسانی ادغام گردد.
(بحث). |
در این گزارش به مقوله انتخاب و استفاده از رمز عبورکه از اهمیت فوق العادهای در امنیت سیستمهای اطلاعاتی برخوردار است پرداخته شده است مبحثی که عامل انسانی در انتخاب و استفاده از آن نقش کلیدی دارد.
رمزهای عبور اولین خط دفاعی در مقابل نفوذ به سیستمهای کامپیوتری هستند متاسفانه اشتباهات انسانی (جایزالخطا بودن انسان) باعث شده است که تقریبا رعایت قوانین و توصیهها در امر استفاده و انتخاب رمز عبور به طور کامل رعایت نشود.
زمانیکه یک کاربر به تعداد زیادی حساب کاربری و یا سیستم دسترسی دارد، رمز عبورهای مختلف باید مورد استفاده قرارد گیرد و هیچ اتفاقی نباید باعث شود یک رمز عبور خاص برای کلیه حسابهای کاربری مورد استفاده قرار گیرد.
مواردی که توصیه میشود برای انتخاب یک رمز عبور مناسب در نظر گرفته شود در ذیل آورده شده است:
از حروف و اعداد تشکیل شده باشد
راحت به خاطر سپرده شود
سریع بتوان آن را تایپ کرد
رمز عبور شامل لغاتی که در دیکشنری یافت میشود نباید باشد. هکرها به دیکشنریهای آنلاین با بیش از ۱۰۰٫۰۰۰ لغات برای هر زبان دسترسی دارند
نباید نام دوستان، نام فیلمهای سینمایی، هنرپیشهها و هر نامی در کتابی باشد
نباید از هشت کاراکتر کمتر باشد
نباید یک شماره باشد
نباید حاوی فاصله باشد.
دیگر توصیههای معمول عبارتند از انتخاب رمز عبور با حروف بزرگ و حروف کوچک و ترکیبی از حروف واعداد باشد.
یکی از مشکلات کاربران به خاطر سپردن کلمه عبور میباشد. اکثرا کاربران Multiple Accounts میباشند و در صورتیکه بخواهند قوانین و توصیههای مدیران شبکه در انتخاب رمز عبور را رعایت کنند با حجم عظیمی از کلمههای عبور مواجه میشوند. علاوه بر اینکه بعضی از حسابها محدودیتهایی برای انتخاب کلمه عبور نیز هم برای کاربر اعمال میکنند مثلا حداقل تعداد کاراکتر، حداکثر تعداد کاراکتر، استفاده یا عدم استفاده از یک سری کاراکترهای خاص (#، $) و ... تمامی این موارد بخاطر سپردن کلمههای عبور را بسیار دشوار میکند. از طرفی دیگر نوشتن کلیه کلمههای عبور و نگه داشتن آن ریسک امنیتی بسیار بزرگی میباشد که هرگز توصیه نمیشود، تمامی این موارد باعث میشود که کاربران از رمزهای عبور ساده و کوتاه و تکراری استفاده نمایند.
آنچه که مورد نیاز است تجزیه و تحلیل روشی است که منجر به انتخاب رمز عبوری امن توسط عامل انسانی و محدودیتهای موجود در سیستمهای امنیتی حسابهای کاربری شود که کلیه استانداردهای انتخاب رمز عبور را رعایت کرده باشد و همچنین کاربر قادر به حفظ کردن کلیه آنها باشد.
طبق آزمایشی که Zviran و Haga انجام دادند کاربرانی که کلمه عبور معنا دار بر پایه حقایق، علایق و عقایدشان انتخاب میکنند ۲۹٪ این رمز عبورها توسط سایر کاربران حدس زده شدند
روشهای جایگزینی برای جلوگیری از حدس زدن در سیستمهای امنیتی استفاده شده است مثلا برای هر حدس اشتباه سیستم مکث چند ثانیهای بکند یا تعداد محدودی به کاربر اجازه داده شود که رمز عبور نادرست وارد نماید
با افزایش نیاز کاربران به رمزهای عبور نرمافزارهای مختلفی به کمک کاربران آمده است جهت حفظ و نگهداری از کمله عبور کاربران یکی از این نرمافزارها Wallet (کیف پول) میباشد.
Wallet یک مخزن از نام کاربری و رمز عبور میباشد که در اصل یک فایل رمز نگاری شده است که اطلاعاتی که کاربر نیاز دارد برای حسابهای مختلف در خود نگه میدارد با استفاده از قوی ترین الگوریتمهای رمزنگاری که تقریبا میتواند امنیت حسابهای کاربر را تضمین نماید اما مشکل کاربر را به طور کامل حل نمیکند در صورتیکه مهاجم دسترسی فیزیکی به Wallet داشته باشد و کاربر فراموش کرده باشد که از سیستم خارج شود کلیه اطلاعات وی کاملا صدمه پذیر میباشد.
یکی از مناسب ترین روشهای انتخاب کلمه عبور توسط کاربر که میتواند وی را از بسیاری از خطاهای انسانی محفوظ کند، انتخاب یک استراتژی برای درست کردن رمز عبور توسط خود کاربر میباشد. بدین صورت که مثلا دو حرف اول URL را معکوس کند یک عددی به آن اضافه کند و بقیه آدرس را در ادامه کلمه عبور خود اضافه کند این استراتژی بر اساس سلایق کاربر انتخاب میشود به همین دلیل به خاطر سپردن آن برای وی بسیار ساده میباشد و برای کلیه حسابهای کاربری خود در سایتهای متفاوت از این روش استفاده میکند مزیت این روش آن است که نیاز به حفظ کردن کلمات عبور مختلف نمیباشد و فقط کافیست که استراتژی تولید رمز را به خاطر بسپارد ثانیا برای هر نام کاربری یک رمز عبور منحصر بفرد دارد یعنی بهترین نحوه انتخاب کلمه عبور.