عامل‌های انسانی در امنیت اطلاعات/انتخاب کلمات عبور: امنیت و عامل‌های انسانی

ویکی‎کتاب، کتابخانهٔ آزاد
پرش به ناوبری پرش به جستجو
Gnome-go-last.svg Gnome-go-first.svg

چکیده[ویرایش]

امنیت کلمه عبور (Password)، از مهمترین اصول حفاظتی در سیستم‌های فناوری اطلاعاتی بشمار می‌آید.

در اکثر مواقع توصیه می‌گردد که کلمات عبور، کوتاه نباشند، کلماتی نباشند که به راحتی در فرهنگ لغات یافت می‌شوند و لازم است مرتباً پس از گذشت مدت زمانی، تغییر داده شوند.

هنگامیکه کاربر به بسیاری از سیستم‌ها دسترسی دارد و دارای چندین اشتراک است، باید از کلمات عبور متفاوت برای هر یک از آنها استفاده شود تا در صورت هک شدن یکی از رمزها، احتمال نفوذ و آسیب پذیری دیگر اشتراک‌ها ممکن نباشد.

متاسفانه، تقریباً این موضوع را غیر ممکن می‌سازد که از تمامی این اصول به طور همزمان پیروی کند.

یک کاربر، که دارای تعداد زیادی کلمه عبور متفاوت باشد و مدام این کلمات عبور را تغییر نیز بدهد، مجبور است برای فراموش نکردن، آنها را در جایی ثبت کند، مثلاً در یک دفترچه یادداشت.

برخی از سیستم‌ها در هنگام عضویت، از کاربر می‌خواهند که کلمه عبور آنها دارای ویژگی‌های معینی باشد. مثلاً تعداد حروف آن کمتر از ۵ عدد نباشد و یا کلمه عبور باید ترکیبی باشد از اعداد و حروف در کنار یکدیگر. حتی برخی از موارد وجود دارد که از کاربر خواسته می‌شود که حتماً از کارکترهای ویژه‌ای در کلمه عبور خود استفاده نماید.

فقدان وجود یک استاندارد مشخص برای تعیین کلمات عبور این امر را برای کاربر بسیار سخت می‌سازد که کدام کلمه عبور برای کدام سیستم و سایت درنظر گرفته شده بود.

برای آنکه نشان دهیم شرایط برای کاربر واقعاً چقدر سخت است باید بگوییم، در بسیاری از سیستم‌ها اگر کاربر چند بار کلمه عبور خود را به صورت اشتباه وارد نماید، اشتراک او به صورت موقت لغو شده تا فرآیند دریافت یک «کلمه عبور جدید» را طی نماید.

آنچه نیازش در این بین احساس می‌شود، آنالیز و بررسی کلمات عبور است که مستلزم شناخت «عامل‌های انسانی» و «امنیت» برای یک اشتراک است.

ما باید در نظر داشته باشیم، در یک سیستم جامع کدام بخش‌ها به امنیت نیاز دارند.

هدف این مقاله آن است که با شناخت «عامل‌های انسانی» ضمن ارائه حداکثر امنیت، کاربران فراموش کار نیز بتوانند منتفع شوند.

نیاز به داشتن یک کلمه عبور مناسب[ویرایش]

کلمات عبور را می‌توان نخستین دیوار دفاعی در برابر نفوذ به سیستم‌های کامپیوتری به حساب آورد. انتخاب کلمه عبور مناسب از طرف کاربران به منظور حفاظت از اطلاعات شخصی یا اطلاعات دیگران، یک ضرورت اخلاقی است. مسئولیت نظارت بر این امر، بر عهده مدیران سیستم است.

به منظور تحقق این هدف، بسیاری از مدیران سیستم به کاربران پیشنهاد می‌دهند که چگونه کلمات عبور خود را بسازند. یکی از قوانین پایه در این زمینه چنین است:

"یک کلمه عبور خوب؛ از حروف کوچک و بزرگ تشکیل شده‌است. همچنین علاوه بر حروف، دارای عدد و یا نقطه و کارکتر نیز است.

یک کلمه عبور خوب؛ به آسانی به خاطر سپرده می‌شود، بنابراین احتیاجی به نوشتن آن در جایی نیست.

یک کلمه عبور خوب؛ حداقل ۷ تا ۸ کارکتر طول دارد، به سرعت تایپ می‌شود. بنابرین دیگران با نگاه کردن (از پشت سر ما) نمی‌توانند متوجه آن شوند."

در سال ۱۹۹۱ نفوذگران هنوز به شیوه هک به روش (Brute-Force) دست نیافته بودند، تکنیکی که امروزه به طور گسترده مورد استفاده قرار می‌گیرد. همچنین در صورت کار با سیستم‌های Novell و VMS پیشنهاد استفاده از حروف کوچک و بزرگ تقریباً بدون فایده بود.

بیایید نگاهی داشته باشیم به پیشنهاداتی که امروزه (به عنوان مثال توسط دانشگاه ایالت Kent) به منظور ایجاد یک کلمه عبور مناسب ارائه شده‌است.

هنگامیکه یک کلمه عبور انتخاب می‌کنید، باید (لازم الاجرا است) که شرایط ذیل را داشته باشد:

  1. کلمه عبور، نباید در فرهنگ لغات پیدا شود. هکرها به منبع گسترده‌ای از فرهنگ لغت‌های آنلاین دسترسی دارند (که تعداد کلمات موجود در هر یک از آنها بیش از ۱۰0.0۰۰ کلمه‌است) آنهم به زبان‌های مختلف!
  2. کلمه عبور، نباید نام دوستان شما، افراد خانواده، هنرپیشه‌ها و یا حتی یک شخصیت تخیلی موجود در داستان‌ها و رمان‌ها باشد.
  3. کلمه عبور، نباید کمتر از ۸ کارکتر باشد.
  4. کلمه عبور، نباید تنها شامل عدد باشد.
  5. کلمه عبور، نباید دارای جای خالی (Space) باشد.

دیگر پیشنهادات مانند گذشته هستند یعنی کلمه عبور از حروف بزرگ و کوچک تشکیل شده باشد و شامل حروف و اعداد نیز به صورت ترکیبی باشد.

هرچند که واضح است شما نمی‌خواهید کلمه عبوری انتخاب کنید که به آسانی توسط یک نفوذگر حدس زده شود، اما بیشتر کاربران توانایی هکرها در این زمینه را دست کم می‌گیرند.

در سالهای ۱۹۸۰، استفاده از کلمات چند سیلابی موجود در فرهنگ‌های لغات (انگلیسی) به عنوان کلمه عبور، پیشنهادی رایج بود، اما دیگر کار محتاطانه‌ای نیست.

اما از سوی دیگر کلمات عبور باید به آسانی در حافظه انسان، به خاطر سپرده شوند. امر مناسبی نیست که برای ورود به سیستم مدام به برگه کاغذی که رمز طولانی خود را بر روی آن نوشته‌ایم مراجعه نماییم و حتی این امر ریسک پذیر است زیرا ممکن است این کاغذها گم شده و یا توسط افراد بدون صلاحیت خوانده شوند.

یک پیشنهاد رایج در این زمینه آن است که از حروف نخست یک جمله استفاده کنید، که آن جمله به سادگی به خاطر سپرده می‌شود. به طور مثال، عبارت «O, say, can you see by the dawn’s early light» می‌تواند یادآوری کننده کلمه عبور "Oscysbtdel" باشد.

مشکل داشتن اشتراک‌های متعدد[ویرایش]

اگر هر کاربر تنها دارای یک اشتراک باشد، پیشنهاد انتخاب اولین حرف از جملات ساده، می‌تواند بسیاری از مشکلات ما را برطرف کند. البته به شرط آنکه کلمات عبور بیشتر از ۸ حرف نباشند. زیرا اگر غیر از این شد کاربر مجبور است از جملات معروف یک کتاب، فیلم و یا ترانه استفاده کند که آنها نیز به زودی به مجموعه داشته‌های هکرها اضافه خواهند شد.

اما امروزه، به طور متوسط هر کاربر برای حداقل یک یا دو کامپیوتر شخصی و در بیش از ده‌ها سایت دارای اشتراک است.

سیستم‌ها، مایل هستند از ساختارهای متفاوت رمزگذاری استفاده نمایند و برخی از آنها نیز روش‌های دلخواه خود را دارند. در ادامه چند نمونه را بررسی می‌نماییم:

در سیستم‌های یونیکس (Unix)، محدودیت کلمه عبور از نظر تعداد کارکتر وجود دارد، اما تنها ۸ کارکتر اول کلیدی می‌باشند که همین عامل خود باعث می‌شود یک کلمه عبور امن، غیر مطمئن شود. بطور مثال، رمز "Carolina71Duke۵۹" برای سیستم به صورت "Carolina" خواهد بود.

موسسه TIAA-CREF ، شرکت برتر در زمینه ارائه خدمات جانبی برای بازنشسته‌های دانشگاه‌ها، از سیستمی استفاده می‌کند که کلمات عبور آن بین ۴ تا ۷ کارکتر است.

دانشگاه مدیریت فناوری اطلاعات کلورادو (Colorado)، استفاده از کلمات عبوری را که شامل کارکترهای «:»، «#»، «!»، «'»، «فضای خالی» و یا «سه کارکتر مشابه که تکرار شده باشد» را ممنوع ساخته‌است. به طور نمونه استفاده از "aaa" پشت سر هم در هر کجای کلمه عبور، مجاز نمی‌باشد.

حتی استفاده از حرف اول جملات نیز در برخی موارد امکان پذیر نیست، مثلاً هنگامیکه سایت مورد نظر از کاربر می‌خواهد کلمه عبور وی حتماً شامل یک کارکتر خاص باشد.

مشکلاتی را که تا اینجا برای انتخاب کلمه عبور، مطرح شد را در کنار این امر که قانون‌های متفاوتی نیز برای انتخاب نام کاربری (User Name) وجود دارد، قرار دهید. سایت‌هایی که دارای محدودیت حداقل یا حداکثر طول برای انتخاب نام کاربری هستند. اجازه و یا عدم اجازه استفاده از برخی کارکترها را می‌دهند.

تمام این قوانین، باعث می‌شود به طور مجازی حفظ کردن نام کاربری/کلمه عبور برای کاربران غیر ممکن باشد و تنها راه حل آنها نوشتن این اطلاعات بر روی کاغذ و یا حداکثر در یک فایل کامپیوتری باشد.

نتیجه یک تحقیق نشان می‌دهد، بیش از یک چهارم کاربران نه تنها پس از مدتی کلمات عبور خود را بخاطر نمی‌آورند بلکه نام‌های کاربری خود را نیز فراموش می‌کنند.

بنابراین، غیر ممکن خواهد بود که کاربران از یک نام کاربری و کلمه عبور مشابه برای دسترسی به سایت‌های مختلف استفاده نمایند.

نتیجه گیری[ویرایش]

در نتیجه، بازسازی و اصلاح ساختار امنیت کلمات عبور، مستلزم آن است که بتوان یک تعادل شایسته بین «قوانین کافی» و «رفتارهای انسانی کاربران» ایجاد کرد. تا بدین ترتیب با آن قوانین ضمن تامین حداکثر امنیت، کاربران نیز گریزان از شرایط نگردند.

تا به امروز، بیشتر تاکیدات بر آن بوده که قوانین زیاد و البته محکمی در زمینه انتخاب کلمات عبور، وجود داشته باشد و اهمیت کمتری به شناخت رفتارهای کاربران داده شده‌است.

با این وجود، امنیت واقعی تنها زمانی حاصل می‌شود که «کامپیوتر» و «عامل‌های انسانی» تنها به صورت دیجیتالی مورد بررسی قرار نگیرند. هر تغییر دیگری به منظور ارتقاء امنیت کلمات عبور در آینده، نباید اهمیت انسان و رفتارهایش را نادیده بگیرد، زیرا که با شکست روبرو خواهد بود.

منابع[ویرایش]

عنوان انگلیسی: Choosing Passwords: Security and Human Factors
عنوان فارسی: انتخاب کلمات عبور: امنیت و عامل‌های انسانی
پیوند به منبع اصلی: دریافت فایل مقاله