عامل‌های انسانی در امنیت اطلاعات/انتخاب گذرواژه: امنیت و عامل انسانی

ویکی‎کتاب، کتابخانهٔ آزاد
پرش به ناوبری پرش به جستجو
Gnome-go-last.svg Gnome-go-first.svg

Choosing Passwords: Security And Human Factors

انتخاب گذرواژه (Password): امنیت و عامل انسانی[ویرایش]

امنیت گذرواژه یکی از اساسی ترین موارد در امنیت تکنولوژی اطلاعات است. عامل انسانی در انتخاب و استفاده از گذرواژه نقشی بسیار حیاتی و اساسی به عهده دارد. عموما پیشنهاد می‌شود که گذرواژه کوتاه نباشد، از کلماتی نباشد که در دیکشنری پیدا می‌شوند، کلمات و اعداد قابل شناسائی و در ارتباط با مشخصات شخصی مانند شماره تلفن و شماره شناسنامه و موارد مشابه مورد استفاده قرار نگیرد. همچنین بهتر است که کاربری که از سیستمهای مختلف استفاده می‌کند از گذرواژه‌های مختلف استفاده کند. متاسفانه انسان به دلیل جایز الخطا بودن عموما به تمام این موارد توجه کافی نمی‌کند. مثلا یک کاربر با دارا بودن تعداد زیادی گذرواژه و اجبار به تغییر مداوم آنها، بالاخره مجبور می‌شود که گاهی آنها را در جائی یادداشت کند. همچنین برخی سیستمها کاربران را وادار می‌کنند که از حداقل تعداد کاراکتر مشخصی با طول نسبتا بلند استفاده کنند و یا از ترکیبی از حروف و کلمات بهره بگیرند که این مسئله نیز ایجاد و به خاطر سپردن گذرواژه را مشکل می‌کند. در حالت بدتر برخی از سیستمها پس از ۳ بار استفاده از استفاده کاربر از گذرواژه اشتباه از دسترسی افراد فرد برای مدت مدیدی به سیستم مورد نظر جلوگیری می‌کند. این نیز باعث می‌شود که افراد برای به خاطر سپردن گذرواژه‌ها از روش‌های نا امن استفاده کنند.

آنچه ما نیاز داریم این است که راهی برای انالیز گذرواژه به دست آوریم که دو فاکتور اساسی شامل عامل انسانی و امنیت اطلاعات را به صورت همزمان و در یک فرایند درنظر بگیرد و به تنگناها و اهمیت هر دو توجه کافی داشته باشد.

ضروریات یک گذرواژه خوب[ویرایش]

گذرواژه اولین شاخص در خط مقدم دفاعی از ورود متجاوز به یک سیستم کامپیوتری است. کاربران اجبار دارند که برای حفظ اطلاعات مهم و حساس از دستبرد دیگران از گذرواژه مناسب استفاده کنند و مدیریت سیستمی موظف به برررسی عملکرد آنان است. مدیریت سیستم (Sys. Administration) در بسیاری از موارد پیشنهاداتی برای ساختن یک گذرواژه خوب برای کاربران خود دارند. به عنوان نمونه می‌توان به این موارد اشاره نمود:

- استفاده از حروف بزرگ و کوچک در ساختار گذرواژه

- استفاده از علائم تاکیدی یا نقطه گذاری (Punctuation Characters) در کنار حروف و اعداد استفاده شود

- برای به خاطر سپاری راحت باشد تا نیازی به نوشتن آن وجود نداشته باشد.

- حداقل دارای طول ۷ یا ۸ کاراکتر باشد

- به راحتی و سرعت تایپ شود تا کسی نتواند با چشم انداختن بر صفحه نایپ آن را بخواند.

از چه مواردی برای گذرواژه نباید استفاده شود[ویرایش]

- کلمات و اصطلاحات مشخص و نشاندار و قابل ردیابی در دیکشنری باشند. هکرها و قفل شکن‌ها به دیکشنری‌های بسیار بزرگ و آنلاین دسترسی دارند و می‌توانند با روش‌های هوشمند چنین گذرواژه‌هائی را ردیابی کنند.

- نام یک دوست، فامیل، ستاره سینما یا حتی شخصی در یک کتاب باشد

- کمتر از ۸ کارکتر باشد.

- دارای Space باشد. (اگر سیستم اجازه بدهد)

در دهه ۱۹۸۰ استفاده از کلمات چند سیلابسی بر گرفته از دیگشنری به عنوان گذرواژه خیلی مرسوم بود. اما در حال حاضر این کار امکان‌پذیر نیست. دیکشنری‌های آنلاین برخوردار از ۶۰۰ هزار کلمه در دسترس هستند که به راحتی قابلیت تطبیق با گذرواژه‌ها را دارند.

مشکل استفاده از چند حساب کاربری متعدد[ویرایش]

اگر هر شخص فقط یک حساب کاربری داشته باشد ایجاد و بخاطر سپردن یک گذرواژه قوی کار سختی نیست. استفاده از حروف اول کلمات یک شعر یا حروف اول کلمات یک جمله یا ترکیب (Catch Phrase Acronym) می‌تواند در این حالت راه حل بسیار مناسبی باشد.

اما در ایام اخیر افراد عموما دارای حساب‌های کاربری متعدد برای استفاده از چند کامپیوتر یا صفحه وب یا گذرواژه برای حساب‌های بانکی و غیره هستند. سیستمهای امروزی روش‌های مختلف همچنین محدودیت‌های خاص خود را برای ایجاد گذرواژه‌های قوی دارند که کاربران باید آن را در نظر داشته باشند. از ان جمله:

- سیستم Unix شخص را مجاز می‌کند که گذرواژه‌ای با طول عبارت نامحدود استفاده کند. اما تنها اولین ۸ کاراکتر تاثر گذار هستند. این روش برای به خاطر سپردن کلمات خاص است. اما دارای اشکالات ایمنی هم هست.

- سیستم TIAA-CREF که یک سازمان پیشرو در زمینه ارائه خدمات بازنشستگی به اساتید دانشگاه است کاربران را مجاب کرده است که گذروازه‌های بین ۴ تا ۷ کاراکتر را انتخاب کنند.

- سیستم خدمات اطلاعاتی دانشگاه کلورادو محدودیتی برای استفاده از علائم خاص مثل "!" یا "؟" یا & و غیره اتخاذ کرده است. در این سیستم داشتن سه حرف متناوب و تکراری نیز مجاز نیست.

- در بسیار از سایت‌ها استفاده از کلملت و عناوین خاص برای گذرواژه قابل قبول نیست یا بدلیل محدودیت‌های فنی امکان استفاده از ترکیب حروف و اعداد یا حروف کوچک و بزرگ هم مقدور نیست.

ترکیب کردن، یکی از روش‌های خوب برای ایجاد گذرواژه است. ترکیب حروف و اعداد، یا حروف کوچک و بزرگ از روش‌های مناسب برای ایجاد کلمه عبور است. اما این مسئله با ایجاد زمینه به خاطر سپاری آسان گذرواژه‌های متعدد در تضاد است. دو محقق (Dhamija & Perrig) در پژوهشی در یافتند که بیش از ۲۵ درصد کاربران برای به یاد آوردن گذروازه‌های متعدد خود با اشکال مواجه هستند. در نتیجه افراد مجبور می‌شوند که از گذرواژه‌های یکسان برای محل‌های مختلف یا حساب‌های کاربری مختلف خود استفاده کنند. این کار باعث کاهش شدید امنیت اطلاعات و افزایش ریسک هک شدن یا اشکالات جنبی دیگری می‌شود. مثلا در یک حالت اضطراری که در راه دور از دفتر کارش حضور دارد و نیاز به گشورن درب دفتر او برای یک کار اورژانس بوجود امده است، اما شخص نمی‌تواند گذرواژه قفل الکترونیکی اتاقش را به همکارش بدهد. چون گذروازه آن با گذرواژه کارت اعتباری اش یکی است و چنانچه همکارش شماره کارت او را نیز بداند، قادر خواهد بود حساب بانکی اش را جابجا کند!

از سوی دیگر عده‌ای مبادرت به نوشتن گذرواژه‌های متعدد خود در مکان هائی برای به خاطر آوردن آن می‌کنند. جمله این مسائل اشکالات زیادی ایجاد می‌کند. یک مطالعه نشان می‌دهد که ۵۰ درصد کاربران مبادرت به نوشتن برخی از گذرواژه‌های خود می‌کنند.

محدودیت دوره تاریخ انقضای یک گذرواژه[ویرایش]

برخی از سایت‌ها برای زمان موثر بودن یک گذروازه محدودیت زمانی تعیین می‌کنند. این کار باعث می‌شود که کاربر بطور مکرر مبادرت به تغییر گذروازه خود کند. این کار در وهله اول باعث افزایش امنیت گذروازه می‌گردد. اما در نگاه بعدی خود باعث می‌شود که کاربران با تعداد بیشتری از گذرواژه روبرو بوده و مجبور به استفاده از راه‌های پر خطر برای به خاطر سپردن ان باشند. دو محقق به نامهای Adams و Sasse مشکلاتی را برای این محدودیت زمانی طرح می‌کنند.

برای مثال این کار باعث می‌شود که در بازه‌های زمانی مختلف که کاربر نیاز به تغییر متناوب گذرواژه خود دارد کاربر وارد می‌شود که از کلمات سخت بیشتری استفاده کند که به خاطر سپردن را سخت تر خواهد کرد. این کار باعث می‌شود که شخص مبادرت به نوشتن آن کند که اشکالات بعدی را به دنبال خواهد داشت. یا در تلاش برای به خاطر سپردن این کلمات بی شمار، کاربر وادار می‌شود از کلمات ساده تر یا تکراری استفاده کند که امکان حدس زدن ان برای هکر بسیار ساده خواهد شد.

پیشنهاد یک روش خوب برای گذرواژه[ویرایش]

یک روش خوب برای گذرواژه توسط Craig Busse ارائه شده است. بر اساس این روش، گذرواژه از ترکیب از دو حرف اول سایت مورد استفاده و دو حرف اول یک کلمه دلخواه که در همه موارد شخصی مشترک است و یک عدد مشخص و مرتبط با موقعیت مورد استفاده قرار گیرد. این روش ضمن قابل به خاطر سپاری بودن، از تنوع در کاربردهای مختلف هم برخوردار است.

منابع[ویرایش]

لینک سایت مقاله اصلی: http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1013839

لینک PDF: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.110.98&rep=rep1&type=pdf

مترجم: 89231518 - دوم آبانماه 1390