عامل‌های انسانی در امنیت اطلاعات / تصدیق (اعتبار سنجی) گذرواژه از منظر عامل‌های انسانی: نتایج یک تحقیق در میان کاربران نهایی

ویکی‎کتاب، کتابخانهٔ آزاد
پرش به ناوبری پرش به جستجو
Gnome-go-last.svg Gnome-go-first.svg

امنیت اطلاعات و کامپیوتر(CIS) از نقطه نظر شخصی و تجاری از اهمیت بالایی برخوردار است با این حال ما اطلاعات کمی درباره این مسئله بویژه از دیدگاه های عامل انسانی در اختیار داریم. در این بررسی با استفاده از یک تحقیق بزرگ، پرسشنامه ای در اختیار کاربران نهایی قرار داده و رفتار کاربران نهایی در قبال گذرواژه ها را مورد آزمایش قرار می دهیم.


پیش زمینه ها[ویرایش]

ارزانترین و عمومی ترین روش تصدیق (اعتبار سنجی)، استفاده از نام کاربری و گذرواژه (کلمه عبور) می باشد. برآوردها نشان می دهند که ۸۶٪ شرکت های آمریکایی از تصدیق اعتبار گذرواژه استفاده می کنند. ظرفیت بشری برای پردازش اطلاعات محدود است همانگونه که نتیجه گیری می شود، کاربران در بخاطر آوردن کلمات رمزشان و مهمتر از این، برای بخاطر سپردن و ارتباط صحیح با رمزهای بیشمار دچار مشکل هستند. این امر سبب می شود تا کاربران یا از یک رمز ساده ای استفاده کنند که برای بخاطر آوردن آسان است، اما حدس زدن آن نیز کار دشواری نیست، یا آن را به دو قسمت تقسیم کنند و یا از رمزهای پیچیده ای استفاده کنند که حدس آنها یا خطر کشف آنها دشوار است، اما برای بخاطر آوردن آنها نیز مشکل می باشند.
کاربران می توانند از چندین روش برای غلبه بر محدودیت هایشان استفاده کنند: استفاده از گذرواژه یکسان برای هر سیستمی که به آن دسترسی دارند، نوشتن گذرواژه ها، ذخیره ی گذرواژه ها در فایل های الکترونیکی، و استفاده ی مجدد یا بازسازی گذرواژه های قدیمی ( برای مثال password۲۰۰۷ به password۲۰۰۸ تغییر می یابد).

در این تحقیق، ما وضعیت گذرواژه ی کاربران نهایی را مورد بررسی قرا می دهیم؛ خواه آنها بطور آسیب پذیری وابسته به CIS باشند و یا عقیده و گرایش کاربران نسبت به CIS وابسته به وضع گذرواژه و آسیب پذیری آن باشد.

تحقیق پرسشنامه ای[ویرایش]

ما یک پرسشنامه ی تحقیقی را بمنظور سنجش انحراف های کاربران از قوانین و همچنین عامل های سهیم در این انحراف ها، بسط و توسعه داده ایم. تحلیل داده های این گروه ۱۰ ناحیه ی عمده را نتیجه داده که مربوط به انحراف های CIS هستند:
۱) دست یابی به سیستم کامپیوتر و گذرواژه؛ ۲) تنظیمات امنیتی کامپیوتر؛ ۳) نگهداری سیستم و دانلود نرم افزار ؛ ۴) پست الکترونیکی؛ ۵) کمک در جهت مسائل کامپیوتری؛ ۶) دستیابی از راه دور و کار از منزل؛ ۷) اشتراک کامپیوتر و شبکه ی اجتماعی؛ ۸) آموزش CIS؛ ۹) خط مشی CIS؛ و ۱۰) ایده ها و نظرات درباره ی CIS. در این مقاله، ما بر روی نتایجی که متوجه سندیت کامپیوتر می باشند، تمرکز می کنیم.

نمونه گیری[ویرایش]

از کارمندان یک سازمان بزرگ خواسته شد تا یک تحقیق بر مبنای وب را پر کنند. سازمان با اطلاعات شخصی بسیار حساسی سروکار دارد و در گذشته مسائل مربوط به امنیت کامپیوتر را تجربه کرده است.
روی هم رفته ۸۳۶ کارمند پرسشنامه را پر کردند. هفتاد درصد پاسخگرها مؤنث هستند. میانگین سن، ۵۰ سال می باشد. بطور متوسط، پاسخگرها ۱۸.۲ سال تجربه ی کار با کامپیوتر دارند. سه درصد پاسخگرها خود را بعنوان کاربران تازه کار رده بندی کردند (اخیرا کار با کامپیوتر را شروع کرده اند)؛ ۶۹٪ بعنوان کاربر متوسط ( از واژه پرداز، صفحه گسترده، ایمیل، جستجو در وب و غیره استفاده می کنند)؛ و ۶٪ بعنوان کاربر متخصص(که می توانند سیستم عامل نصب کنند؛ برخی زبان های برنامه نویسی را می شناسندو ...).

نتایج[ویرایش]

نتایج پرسش درباره ی استفاده ی گذرواژه بطور خلاصه در جدول ۱ ارائه شده است.
جدول ۱: عادات استفاده از گذرواژه

  1. بطور میانگین، پاسخگرها برای اتصال به کامپیوترهای مختلف و/یا دستیابی به برنامه های مختلف کامپیوتری در محل کار، دارای ۴٫۱ گذرواژه می باشند. درصورتیکه گذرواژه های استفاده شده در خانه را نیز در نظر بگیریم، این عدد به ۹ افزایش می یابد؛
  2. هجده درصد پاسخگرها همیشه برای دسترسی به سیستم های مختلف کامپیوتری، برنامه های کاربردی و یا وب سایت ها از یک گذرواژه استفاده می کنند، ۵۰٪ گاهی اوقات از یک گذرواژه استفاده می کنند و گاهی گذرواژه دیگری بکار می برند، و ۳۱٪ همیشه از گذرواژه های مختلف استفاده می کنند؛
  3. شصت درصد پاسخگرهایی که از بیشتر از یک گذرواژه استفاده می کنند، تفاوتی بین سیستم هایی که نیاز به حفاظت خاص دارند(برای مثال شبکه ی اداری آنها)و سیستم هایی که می توانند گذرواژه ساده و قابل ِ یادآوری برای آن استفاده کنند، بوجود می آورند؛
  4. بطور متوسط، پاسخگرهایی که گذرواژه شان را ۷ بار در سال عوض می کنند، تقریبا همیشه توسط شعبه ی خود ترغیب می شوند(۹۶٪)؛
  5. پنجاه و شش درصد پاسخگرها از گذرواژه های طولانی استفاده می کنند(بیشتر از ۸ کاراکتر)؛
  6. هفتاد و نه درصد از ترکیبی از حروف کوچک و بزرگ استفاده می کنند؛
  7. سی و هشت درصد، زمانیکه گذرواژه شان را تغییر می دهند، از کاراکترهای خاص استفاده می کنند(برای مثال #، *، ^)؛
  8. ۶۸٪ پاسخگرها وقتی گذرواژه شان را تغییر می دهند، مجددا از گذرواژه قدیمی شان استفاده می کنند؛
  9. پنجاه و شش درصد پاسخگرها گذرواژه های خود را یادداشت می کنند؛
  10. هفت درصد پاسخگرها نام کاربری/گذرواژه خود را در فایل الکترونیکی نگهداری می کنند؛
  11. هشتاد درصد پاسخگرهایی که گذرواژه شان را در یک فایل الکترونیکی حفظ می کنند، این فایل ها را بوسیله ی کلمه ی عبور دیگری محافظت می کنند یا آنها را رمزنگاری می کنند؛
  12. یک درصد پاسخگرها از نرم افزاری برای حفظ سوابق گذرواژه شان استفاده می کنند؛
  13. پنج درصد پاسخگرها گذرواژه(ها)شان را با دیگر افراد به اشتراک می گذارند؛
  14. سی و هشت درصد پاسخگر ها از گذرواژه ای استفاده می کنند که محافظ صفحه نمایش را محافظت می کند.
  15. هفتاد و نه درصد پاسخگرها از قفل صفحه نمایش استفاده می کنند؛
  16. سی درصد پاسخگرها همیشه زمانیکه از کامپیوتر خود دور می شوند، از سیستم خارج می شوند(Log Off)؛
  17. هشتاد و پنج درصد پاسخگرها همیشه زمانیکه کارشان را در روز تمام می کنند، کامپیوترشان را خاموش می کنند؛

از جدول بالا می توان چنین نتیجه گرفت که تنها ۴٪ پاسخگرها از بهترین شیوه ها در رابطه با کار با گذرواژه استفاده نمی کنند و اینکه ۹۴٪ دیگر، یکی از شیوه ها یا تعداد بیشتری از آنها را بکار می برند.
نتایج تحلیل آماری نشان می دهد که نوع کاربر (تازه کار، متوسط، پیشرفته یا کاربر متخصص) قویترین عامل مربوط به شمار انحراف ها می باشد. جنسیت، سن، آموزش، موقعیت شغلی، واحد سازمانی که پاسخگر در آن مشغول بکار است و سال های کسب تجربه ی کامپیوتری، از اهمیت کمتری برخوردارند. برای مثال، نتایج تحلیل های ما نشان می دهد که سرپرستان شبکه و کاربران حرفه ای، اندکی بهتر از کاربران عادی در رابطه با تعداد انحراف ها از بهترین شیوه های گذرواژه، عمل می کنند، اما اختلاف ها از لحاظ آماری مهم نیستند.
نتایج تحلیل گروهی نشان می دهد که اقلیتی از پاسخگرها (۷٪) نسبت به تلاش ها برای حفظ کامپیوترهایشان از صدمه و آسیب بدگمان هستند (برای مثال، آنها با این عبارت مخالف هستند: "من می توانم کامپیوترم را از آسیب (هکرها، دو نسخه نویسی و غیره) حفظ کنم، در صورتیکه نسبت به امنیت آن (تغییر گذرواژه ها بر مبنای قاعده، استفاده از ضد هکرها، پنهان کردن و غیره) احتیاط کنم"). چهارده درصد نمی دانند چه فکری کنند (موافق باشند یا مخالف)، اما اکثریت (۷۷٪) معتقدند که این تلاشها تفاوت ایجاد می کند. بطور قابل توجهی، هیچ اختلافی در تعداد انحراف ها از بهترین شیوه ها برای استفاده از گذرواژه وجود ندارد. پاسخگرهای "بدگمان" بطور متوسط ۲٫۶ بار از بهترین شیوه ها منحرف می شوند، "گروهی که نمی دانند" بطور میانگین ۲٫۸ بار، و "معتقدین" بطور متوسط ۲٫۶ بار از بهترین شیوه ها منحرف می شوند.

درباره‌ی مترجم[ویرایش]

حمید قراگوزلو وب‌سایت رسمی حمید قراگوزلو طراح و معمار راه‌کارهای نوین نرم‌افزاری در شرکت مهندسی راهکار نوین


منابع[ویرایش]

پیوند به اصل مقاله: دریافت منبع