پرش به محتوا

عامل‌های انسانی در امنیت اطلاعات/چشم‌انداز بهبود گذرواژه‌های ضعیف

افزودن پیوند
ویکی‎کتاب، کتابخانهٔ آزاد

امروزه کاربران جهت ایجاد گذرواژه اصولاً با معضل مواجه هستند. هر روزه به اهمیت امنیت رمز عبور (گذرواژه) در زندگی مدرن افزوده می‌شود و تعداد گذرواژه‌هایی که یک فرد مجبور به ایجاد است به طور قابل ملاحظه‌ای افزایش یافته‌است. با افزایش وبگاه‌های تجاری در اینترنت، بعضی افراد مجبور به مدیریت کردن ۱۵ گذرواژه مختلف هستند. از طرفی کاربران با محدودیت‌های پردازشی و به خاطر سپردن این گذرواژه‌ها مواجه هستند، به همین خاطر عموماً گذرواژه‌هایی انتخاب می‌کنند که امنیت کافی ندارند. مشکل اینجاست که ایجاد گذرواژه مطمئن و امن و در عین حال به یادماندنی کاری دشوار است. بر اساس اعلام SANS (مخفف مدیریت سامانه، حسابرسی، شبکه و امنیت) امنیت گذروازه‌های ضعیف به عنوان یکی از ۱۰ مورد اول آسیب پذیر ترین مسائل کامپیوتر محسوب می‌شوند. با وجود اینکه جایگزین‌هایی مثل شناسایی‌های زیستی پیشنهاد شده‌است اما مشکلاتی مانند هزینه و پیاده‌سازی باعث می‌شود که گذرواژه‌ها در آینده نیز همچنان به عنوان اصلی ترین ابزار شناسایی محسوب شوند.

صنعت امنیت در مقابله با این وضعیت ابزاری را برای تشخیص کلمات ضعیف ایجاد کرده‌است؛ ولی کاربران همچنان در ایجاد و بخاطر سپردن کلمات عبور قوی و پیچیده تر مشکل دارند. هرچند به طور کلی کلمات عبور ضعیف به آن دسته‌ای از گذرواژه‌ها گفته می‌شود که به آسانی با روش‌های مخلتف قابل لو رفتن باشد. کلمات عبور قوی به آن دسته از کلمات می‌گویند که هک کردن آنها بیشتر از تغییر دوره‌ای آنها زمان می‌برد. یک گذرواژه قوی می‌تواند شامل حداقل ۸ کاراکتر، ترکیب حروف کوچک و بزرگ، و کاراکترهای ویژه مثل!) باشد. کارشناسان معتقد هستند که مجزا از میزان قوی بودن گذرواژه، وقتی یک هکر گذرواژه را می‌دزدد می‌تواند طی ۴۵ تا ۶۰روز آن را بشکند. بطور کلی طول کلمه عبور (گذرواژه) با پیچیده تر شدن افزایش می‌یابد. هر چند به نظر می‌رسد اغلب کلمات عبور ایجاد شده ضعیف باشند. اعداد و حروف نیز به راحتی کرک می‌شوند و اسامی نظیر اسامی دوستان، حیوانات خانگی نیز قابل حدس هستند. متدهای مختلفی برای کمک به کاربران در ایجاد و بخاطر سپردن کلمات عبور قوی پیشنهاد شده‌است. یکی از آنها استفاده از یک عبارت به عنوان گذرواژه است، عبارتی که هم بیاد آوردنش آسان باشد هم با بتوان آنرا به ترکیبی از حروف و اعداد و علامت‌ها ترجمه کرد بطور مثال عبارت «Easy for you to say» می‌تواند با استفاده از این روش به عبارت EZ4U2Say ترجمه شود!

در این تحقیق، از ۲۷۳ نفر خواسته شده که گذرواژه تعیین کنند، سپس از آنها پرسیده شد که چطور گذرواژه خود را انتخاب کرده‌اند گذرواژه‌های ایجاد شده بر اساس سطح پیچیدگی آنها ارزیابی شد و سپس با استانداردهای مربوط به ایجاد گذرواژه‌های مطمئن مقایسه گردید پس از آن با استفاده از یک نرم‌افزار هک Cracker استاندارد اقدامی جهت کرک کردن کلمات عبور ایجاد یا کرک شده صورت گرفت. نتیجهٔ این آزمایش نشان داد که عموماً کلمات عبور ضعیفی ایجادشده بود. در مقابل به بهترین شیوه نمایان بود که کلمات عبور ایجاد شده بسیار به فرد ایجاد کننده آن گذرواژه مربوط بود. محققان بر اساس توضیحات افراد در رابطه با نحوه انتخاب گذرواژه، ۴ روش اصلی ایجاد آنرا استخراج کردند. اولین دسته اقلیت ۳۰ نفره بود که افرادی بود که کلمات عبور تصادفی ایجاد کرده بوند. برای ۳ دسته اصلی بعدی، افراد کلمات عبوری را با تمرکز بر روی اعداد، کلمات و اسامی که به نحوی با خودشان مرتبط است، بوجود آوردند. این طبقه‌بندی‌ها اغلب شامل طبقه‌بندی‌های اضافی نیز می‌شوند. مثالهای شامل انواع تاریخ تولدها، شماره تلفن‌ها، القاب، نام حیوانات خانکی، افراد مهم و غیره.

در ۱۴ مورد انگیزه ایجاد کلمات عبور به سختی در طبقه‌بندی خاصی قرار می‌گیرد. اما از ۲۵۹ فرد باقی مانده، ۸۸ ٪ از کلمات عبور ایجاد شده به نحوی با زندگی شخصیشان مرتبط بودند. کلمات عبور در ارزیابی‌های عادی تصادفی به نظر می‌رسند ولی در واقع تصادفی نبودند در نتیجه از نظر مهندسی اجتماعی سبب ریسک بیشتری می‌شوند.

کرک کلمات عبور را می‌توان با یکی از این دو روش به دست آورد. روش بروت فورس(Brute Force) که به سادگی تمام ترکیبات ممکن را در مورد عناصر وابسته انجام می‌دهد. این روش محاسباتی بوده و برای دسترسی هکرهای معمولی است. روش دیگر محدود کردن کرک کردن به محتمل ترین گزینه‌ها است. یعنی اکثراً اعداد و کلمات یک دیکشنری و یا اسامی که به نحوی با کاربر ایجاد کننده گذرواژه مربوط باشد.

اندازه‌گیری یا سنجش گذرواژه که توسط محققان صورت می‌گیرد در متمایل ساختن کلمات عبور ضعیف و قوی مفید واقع می‌شود. کلمات عبوری که کرک می‌شوند اساساً در رده با پیچیدگی کمتری نسبت به سایرین قرار می‌گیرند. هنگامی که پیچیدگی گذرواژه بر اساس استاندارد پیشنهادی SANS بررسی شد، نتیجه، رتبه ۱۵ در پیچیدگی گذرواژه بود. هیچ‌کدام از کلمات عبور کرک شده حتی کلمات عبور مبتنی بر اعداد امتیاز بالایی برای پیچیدگی نگرفتند. با آنکه میزان آشنایی از مسائل امنیتی باعث ایجاد کلمات عبور قویتر و پیچیده تری می‌شد ولی ارتباط آنچنان قوی نیز وجود نداشت. بر اساس تحقیق فرانک و همکاران، نحوه رفتار کاربران با کامپیوتر بر اساس آگاهی آنها از این مسائل متفاوت است هرچند ارتباط معنی دار ولی ضعیف یافت شده در این تحقیق نا امید کننده بود. از انجایی که سازمانها فرصت آموزش کارمندان را دارا می‌باشند، بررسی در مورد میزان آموزش کارمندان در زمینه مسائل امنیتی کلمات عبور می‌تواند تحقیق جالبی باشد.

منبع

[ویرایش]

پیوند به مقاله: دریافت مقاله اصلی

برگرفته از «https://fa.wikibooks.org/w/index.php?title=عامل‌های_انسانی_در_امنیت_اطلاعات/چشم‌انداز_بهبود_گذرواژه‌های_ضعیف&oldid=127969»