عامل‌های انسانی در امنیت اطلاعات/بررسی ضعیف ترین لینک در چرخه امنیتی: رهیافت محاوره انسان - کامپیوتر جهت امنیت قابل استفاده و مؤثر

ویکی‎کتاب، کتابخانهٔ آزاد
پرش به ناوبری پرش به جستجو


Gnome-go-last.svg Gnome-go-first.svg

تحقیقات انجام شده در بحث امنیت، اخیرا مشخص کرده است که در بسیاری از نقص های امنیتی این رفتار کاربر است که نقش اصلی را بازی می کند و در زنجیره امنیتی، کاربر به عنوان ضعیفترین لینک شناخته شده است. طراحان امنیتی باید علل نامطلوب رفتار کاربر را شناسایی کنند و این موارد را برای طراحی سیستم های امنیت موثر هدایت کنند. همچنین عدم تشخیص ویژگی های حافظه انسان، عدم مراقبت یا تداخلات فعالیت ها و فقدان پشتیبانی ، آموزش و تشویق باعث رفتارهای نامطلوب کاربران با رمزها می شود.

با رشد وسیع سیستم‌ها و تجارت الکترونیکی، تقاضا برای امنیت کامپیوتری (رایانه‌ای) موثر و کافی افزایش یافته است. مشکلات امنیتی گزارش شده طی چند سال گذشته نشان می‌دهد که سازمان‌ها آسیب‌پذیرتر از بقیه هستند.

نقش انسان در امنیت کامپیوتر به طورمداوم نادیده گرفته شده ، سازمان ها میلیون ها دلار جهت فایروال ، رمزنگاری و دستگاههای دسترسی ایمن صرف می کنند اما هیچکدام از این معیار ها ، ضعیفترین لینک در چرخه امنیتی (انسان) را هدایت نمی کنند.

مثال هایی از نقض کردن قوانین پسوردها توسط کاربران[ویرایش]

  • کمین کردن

کاربری که پسوردش منقضی شده و باید فورا آن را تغییر دهد یا حق دسترسی اش به سیستم مسدود می شود ، احساس دستپاچگی می کند و در آخر نام همسرش را انتخاب می کند . این موضوع توسط همکاری که می خواهد به فایل های او دسترسی پیدا کند ، به راحتی کشف خواهد شد .

  • اهداف متضاد

طراح هواپیما که نیاز به دسترسی به ۶ سیستم متفاوت را دارد و طبق سیاست شرکت باید برای هرکدام پسورد متفاوتی داشته باشد . در صورتی که یکی از پسوردهایش را فراموش کند ، نمی تواند کارش را در زمان مقرر به اتمام برساند و از سوی مدیرش سرزنش خواهد شد پس پسوردهای جدیدش را در یادداشتی زیر پد موسش نگهداری می کند .

  • کشف درخواست ها

هکرها با کارمندان تماس می گیرند و خود را پشتیبان IT معرفی می کنند و آنها را جهت به روزرسانی برنامه هایشان درخواست می کند. برای کاربران مشکل است که بفهمند در چه شرایطی آشکار کردن پسورد مطمئن و چه زمانی نامطمئن است.

دانش HCI (محاوره بین کامپیوتر و انسان) جهت هدایت موارد زیر به کار برده می شود[ویرایش]


• تکنولوژی
• کاربر
• هدف و وظیفه
• شرایط

تکنولوژی[ویرایش]

۵ راه جهت تصدیق هویت کاربران وجود دارد. اکثر مکانیزم‌های امنیتی از یک رویه ۲ مرحله‌ای که در آن شناسایی و تصدیق هویت به صورت ترکیبی وجود دارد، استفاده می‌کنند. مثلا در کارت‌های بانکی شناسایی (بر پایه توکن) ترکیب شده با PIN (تصدیق هویت بر پایه دانش) رایج ترین مکانیزم ترکیب شناسه کاربردی و پسورد است. برای ورود، کاربر این دو را وارد می کند و سیستم آن را با مقدار ذخیره شده بررسی می‌کند. پسوردها باید دشوار باشند مثلا ترکیبات ساختگی – تصادفی از حروف، اعداد و نویسه‌ها، کاربران باید پسورد متفاوتی برای هر سیستم داشته باشند. پسوردها باید در بازه های زمانی معین تغییر داده شوند.

طیف متغیر و زیادی از شناسه های کاربری و پسورد برای سیستم های متفاوت وجود دارد که در نتیجه یک درخواست حجیم و بزرگ روی حافظه کاربر است . کاربران نه تنها مجبورند پسوردها را به یاد بسپارند بلکه سیستم و شناسه کاربری آن را هم باید در نظر گیرند و محدودیت های هر سیستم ، زمان و چگونگی تغییر پسوردها را هم باید باید حفظ کنند که این حجم اطلاعاتی بالا مغایر با حافظه کاربران است.
یک راه حل تکنیکی جهت کاهش تعداد پسوردها سیستم login با امضای واحد (SSO) است.

کاربر[ویرایش]

خصوصیات حافظه کاربر و مهمتر از همه حافظه او، نقطه اصلی در طراحی پسورد است. ظرفیت حافظه در حال کار محدود است و همچنین حافظه طی زمان ها تنزل پیدا می کند. همچنین تشخیص و شناسایی موارد روزمره و آشنا ساده تر است یا مواردی که کاربرد بیشتری دارند آسان تر به یاد آورده می‌شوند.

سایر مسائلی که در سورفتارهای کاربران تاثیر دارد[ویرایش]

  • موضوعات شخصی : مردمی که رفتارهای پسوردی خوبی ارائه می دهند اغلب به عنوان شخصی که به هیچ کس اعتماد ندارد ، شرح داده می شوند.
  • موضوعات اجتماعی : به اشتراک گذاشتن پسورد به عنوان نشانه ای از اعتماد به همکاران تلقی می شود
  • هیچکس من را هدف نمی گیرد: کاربر فکر می‌کند داده‌های ذخیره شده روی سیستم‌اش آن قدر مهم نیست که هدف هکرها قرار گیرد و آن‌ها اشخاص معروف یا پولدار را مورد حمله قرار می‌دهند.
  • آنها نمی توانند خیلی به من ضرر بزنند
  • روال های کاری غیررسمی: مکانیزم‌های پسورد فعلی و قوانین اغلب با روال های رسمی و غیررسمی تصادم دارند . مثلا اگر بیمار شوید و نتوانید سر کار بروید ، برخی از اعضای گروهتان باید بتوانند با اکانت شما دسترسی داشته باشند و کار مشتریان شما را انجام دهند .

نتیجه‌گیری[ویرایش]

مکانیزم‌های مختلفی برای امنیت پسوردها باید در نظر گرفته شود که کاربران را ملزم به رفتارهای صحیح با پسوردهایشان کند. از جمله این مکانیزم‌ها استفاده از سیستم‌های بیومتریک است. این سیستم‌ها ممکن است برای برخی از کاربران مناسب باشد اما برای همه آنها نه. پیش‌بینی می‌شود که تصدیق هویت بر پایه دانش که در آینده استفاده خواهد شد، مناسب‌تر از روش‌های امروزی خواهد بود.

عنوان مقاله به انگلیسی[ویرایش]

Transforming the weakest link – a human/computer interaction approach to usable and effective security / M A Sasse , S Brostoff , D Weirich / BT Technol J Vol 19 No 3 July 2001

منابع[ویرایش]

دریافت مقاله اصلی