عامل‌های انسانی در امنیت اطلاعات/انتخاب گذرواژه: امنیت و عامل انسانی

Choosing Passwords: Security And Human Factors

انتخاب گذرواژه (Password): امنیت و عامل انسانی

چکیده

ویرایش

در این بخش به مقوله انتخاب و استفاده از رمز عبور (گذرواژه) که از اهمیت فوق العاده‌ای در امنیت سیستم‌های اطلاعاتی برخوردار است پرداخته شده است؛ مبحثی که عامل انسانی در انتخاب و استفاده از آن نقش کلیدی دارد.

امنیت گذرواژه یکی از اساسی ترین موارد در امنیت فناوری اطلاعات است. عامل انسانی در انتخاب و استفاده از گذرواژه نقشی بسیار حیاتی و اساسی به عهده دارد. عموما پیشنهاد می‌شود که گذرواژه کوتاه نباشد، از واژه‌هایی نباشد که در دیکشنری (فرهنگ واژگان) پیدا می‌شوند، کلمات و اعداد قابل شناسائی و در ارتباط با مشخصات شخصی مانند شماره تلفن و شماره شناسنامه و موارد مشابه مورد استفاده قرار نگیرد.

همچنین بهتر است که کاربری که از سیستم‌های مختلف استفاده می‌کند از گذرواژه‌های مختلف استفاده کند.

متاسفانه انسان به دلیل جایز الخطا بودن عموما به تمام این موارد توجه کافی نمی‌کند. مثلا یک کاربر که تعداد زیادی گذرواژه دارد و مجبور است به طور مداوم آنها را تغییر بدهد، بالاخره مجبور می‌شود که گاهی آنها را در جایی یادداشت کند.

برخی سیستم‌ها کاربران را وادار می‌کنند که از حداقل تعداد کاراکتر مشخصی با طول نسبتا بلند استفاده کنند و یا از ترکیبی از حروف و کلمات بهره بگیرند که این مسئله نیز ایجاد و به خاطر سپردن گذرواژه را مشکل می‌کند. در حالت بدتر برخی از سیستم‌ها پس از ۳ بار استفاده از استفاده کاربر از گذرواژه اشتباه از دسترسی افراد فرد برای مدت مدیدی به سیستم مورد نظر جلوگیری می‌کند. این نیز باعث می‌شود که افراد برای به خاطر سپردن گذرواژه‌ها از روش‌های نا امن استفاده کنند.

آنچه ما نیاز داریم این است که راهی برای آنالیز گذرواژه به دست آوریم که دو عامل اساسی شامل عامل انسانی و امنیت اطلاعات را به صورت همزمان و در یک فرایند در نظر بگیرد و به تنگناها و اهمیت هر دو عامل توجه کافی داشته باشد.

ضروریات یک گذرواژه خوب

ویرایش

رمزهای عبور اولین خط دفاعی در مقابل نفوذ به سیستم‌های کامپیوتری هستند، متاسفانه اشتباهات انسانی (جایزالخطا بودن انسان) باعث شده است که تقریبا رعایت قوانین و توصیه‌ها در امر استفاده و انتخاب رمز عبور به طور کامل رعایت نشود. کاربران اجبار دارند که برای حفظ اطلاعات مهم و حساس از دستبرد دیگران از گذرواژه مناسب استفاده کنند و مدیریت سیستمی موظف به برررسی عملکرد آنان است. مدیریت سیستم (Sys. Administration) در بسیاری از موارد پیشنهادهایی برای ساختن یک گذرواژه خوب به کاربران خود می‌دهد. به عنوان نمونه می‌توان به این موارد اشاره کرد:

- استفاده از حروف بزرگ و کوچک در ساختار گذرواژه

- ترکیبی از علائم نگارشی (Punctuation Characters) در کنار حروف و اعداد استفاده شود

- برای به خاطر سپاری راحت باشد تا نیازی به نوشتن آن وجود نداشته باشد.

- حداقل دارای طول ۷ یا ۸ کاراکتر باشد

- به راحتی و سریع بتوان آن‌را تایپ کرد تا هنگام تایپ، کسی نتواند با چشم انداختن بر صفحه آن را بخواند.

از چه مواردی برای گذرواژه نباید استفاده شود

ویرایش

در سال ۱۹۹۱ نفوذگران هنوز به شیوه هک به روش (Brute-Force) دست نیافته بودند، تکنیکی که امروزه به طور گسترده مورد استفاده قرار می‌گیرد. همچنین در صورت کار با سیستم‌های Novell و VMS پیشنهاد استفاده از حروف کوچک و بزرگ تقریباً بدون فایده بود. بیایید نگاهی داشته باشیم به پیشنهاداتی که امروزه (به عنوان مثال توسط دانشگاه ایالت Kent) به منظور ایجاد یک کلمه عبور مناسب ارائه شده است.

- کلمات و اصطلاحات مشخص و نشاندار و قابل ردیابی در دیکشنری باشند. هکرها و قفل شکن‌ها به دیکشنری‌های بسیار بزرگ و آنلاین دسترسی دارند و می‌توانند با روش‌های هوشمند چنین گذرواژه‌هائی را ردیابی کنند.

- نام یک دوست، فامیل، ستاره سینما یا حتی شخصی در یک کتاب باشد

- کمتر از ۸ کارکتر باشد.

- دارای Space باشد. (اگر سیستم اجازه بدهد)

در سالهای ۱۹۸۰، استفاده از کلمات چند سیلابی موجود در فرهنگ‌های لغات (انگلیسی) به عنوان کلمه عبور، پیشنهادی رایج بود، اما دیگر کار محتاطانه‌ای نیست. دیکشنری‌های آنلاین برخوردار از ۶۰۰ هزار کلمه در دسترس هستند که به راحتی قابلیت تطبیق با گذرواژه‌ها را دارند.

مشکل استفاده از چند حساب کاربری متعدد

ویرایش

اگر هر شخص فقط یک حساب کاربری داشته باشد ایجاد و به خاطر سپردن یک گذرواژه قوی کار سختی نیست. استفاده از حروف اول واژه‌های یک شعر یا حروف اول واژه‌های یک جمله یا ترکیب (Catch Phrase Acronym) می‌تواند در این حالت راه حل بسیار مناسبی باشد. به طور مثال، عبارت «O, say, can you see by the dawn’s early light» می‌تواند یادآوری کننده کلمه عبور "Oscysbtdel" باشد.

اما امروزه افراد عموما دارای حساب‌های کاربری متعدد برای استفاده از چند کامپیوتر یا وبگاه مختلف یا گذرواژه‌هایی برای حساب‌های بانکی و غیره خود هستند. اکثرا کاربران Multiple Accounts می‌باشند و در صورتیکه بخواهند قوانین و توصیه‌های مدیران شبکه در انتخاب رمز عبور را رعایت کنند با حجم عظیمی از کلمه‌های عبور مواجه می‌شوند. علاوه بر اینکه بعضی از حساب‌ها محدودیت‌هایی برای انتخاب کلمه عبور نیز هم برای کاربر اعمال می‌کنند مثلا حداقل تعداد کاراکتر، حداکثر تعداد کاراکتر، استفاده یا عدم استفاده از یک سری کاراکترهای خاص (#، $) و ... تمامی این موارد بخاطر سپردن کلمه‌های عبور را بسیار دشوار می‌کند. از طرفی دیگر نوشتن کلیه کلمه‌های عبور و نگه داشتن آن ریسک امنیتی بسیار بزرگی می‌باشد که هرگز توصیه نمی‌شود، تمامی این موارد باعث می‌شود که کاربران از رمزهای عبور ساده و کوتاه و تکراری استفاده نمایند.

آنچه که مورد نیاز است تجزیه و تحلیل روشی است که منجر به انتخاب رمز عبوری امن توسط عامل انسانی و محدودیت‌های موجود در سیستم‌های امنیتی حساب‌های کاربری شود که کلیه استانداردهای انتخاب رمز عبور را رعایت کرده باشد و همچنین کاربر قادر به حفظ کردن کلیه آنها باشد. طبق آزمایشی که Zviran و Haga انجام دادند کاربرانی که کلمه عبور معنا دار بر پایه حقایق، علایق و عقایدشان انتخاب می‌کنند ۲۹٪ این رمز عبورها توسط سایر کاربران حدس زده شدند.

سیستم‌ها، مایل هستند از ساختارهای متفاوت رمزگذاری استفاده نمایند و برخی از آنها نیز روش‌های دلخواه خود را دارند. در ادامه چند نمونه را بررسی می‌نماییم:

- در سیستم‌های یونیکس (Unix)، محدودیت کلمه عبور از نظر تعداد کارکتر وجود دارد، اما تنها ۸ کارکتر اول کلیدی می‌باشند که همین عامل خود باعث می‌شود یک کلمه عبور امن، غیر مطمئن شود. بطور مثال، رمز "Carolina71Duke۵۹" برای سیستم به صورت "Carolina" خواهد بود.

- سیستم TIAA-CREF که یک سازمان پیشرو در زمینه ارائه خدمات بازنشستگی به اساتید دانشگاه است کاربران را مجاب کرده است که گذروازه‌های بین ۴ تا ۷ کاراکتر را انتخاب کنند.

- سیستم خدمات اطلاعاتی دانشگاه کلورادو (Colorado) محدودیتی برای استفاده از علائم خاص مثل "!" یا "؟" یا & و غیره اتخاذ کرده است. در این سیستم داشتن سه حرف متناوب و تکراری نیز مجاز نیست. به طور نمونه استفاده از "aaa" پشت سر هم در هر کجای کلمه عبور، مجاز نمی‌باشد.

- در بسیاری از سایت‌ها استفاده از کلمات و عناوین خاص برای گذرواژه قابل قبول نیست یا بدلیل محدودیت‌های فنی امکان استفاده از ترکیب حروف و اعداد یا حروف کوچک و بزرگ هم مقدور نیست.

ترکیب کردن، یکی از روش‌های خوب برای ایجاد گذرواژه است. ترکیب حروف و اعداد، یا حروف کوچک و بزرگ از روش‌های مناسب برای ایجاد کلمه عبور است. اما این مسئله با ایجاد زمینه به خاطر سپاری آسان گذرواژه‌های متعدد در تضاد است. دو محقق (Dhamija & Perrig) در پژوهشی در یافتند که بیش از ۲۵ درصد کاربران برای به یاد آوردن گذروازه‌های متعدد خود با اشکال مواجه هستند. در نتیجه افراد مجبور می‌شوند که از گذرواژه‌های یکسان برای محل‌های مختلف یا حساب‌های کاربری مختلف خود استفاده کنند. این کار باعث کاهش شدید امنیت اطلاعات و افزایش ریسک هک شدن یا اشکالات جنبی دیگری می‌شود. مثلا در یک حالت اضطراری که در راه دور از دفتر کارش حضور دارد و نیاز به گشورن درب دفتر او برای یک کار اورژانس بوجود امده است، اما شخص نمی‌تواند گذرواژه قفل الکترونیکی اتاقش را به همکارش بدهد. چون گذروازه آن با گذرواژه کارت اعتباری اش یکی است و چنانچه همکارش شماره کارت او را نیز بداند، قادر خواهد بود حساب بانکی اش را جابجا کند!

از سوی دیگر عده‌ای مبادرت به نوشتن گذرواژه‌های متعدد خود در مکان هائی برای به خاطر آوردن آن می‌کنند. جمله این مسائل اشکالات زیادی ایجاد می‌کند. یک مطالعه نشان می‌دهد که ۵۰ درصد کاربران مبادرت به نوشتن برخی از گذرواژه‌های خود می‌کنند.

محدودیت دوره تاریخ انقضای یک گذرواژه

ویرایش

روش‌های جایگزینی برای جلوگیری از حدس زدن در سیستم‌های امنیتی استفاده شده است مثلا برای هر حدس اشتباه سیستم مکث چند ثانیه‌ای بکند یا تعداد محدودی به کاربر اجازه داده شود که رمز عبور نادرست وارد نماید

برخی از سایت‌ها برای زمان موثر بودن یک گذروازه محدودیت زمانی تعیین می‌کنند. این کار باعث می‌شود که کاربر بطور مکرر مبادرت به تغییر گذروازه خود کند. این کار در وهله اول باعث افزایش امنیت گذروازه می‌گردد. اما در نگاه بعدی خود باعث می‌شود که کاربران با تعداد بیشتری از گذرواژه روبرو بوده و مجبور به استفاده از راه‌های پر خطر برای به خاطر سپردن ان باشند. دو محقق به نامهای Adams و Sasse مشکلاتی را برای این محدودیت زمانی طرح می‌کنند.

برای مثال این کار باعث می‌شود که در بازه‌های زمانی مختلف که کاربر نیاز به تغییر متناوب گذرواژه خود دارد کاربر وارد می‌شود که از کلمات سخت بیشتری استفاده کند که به خاطر سپردن را سخت تر خواهد کرد. این کار باعث می‌شود که شخص مبادرت به نوشتن آن کند که اشکالات بعدی را به دنبال خواهد داشت. یا در تلاش برای به خاطر سپردن این کلمات بی شمار، کاربر وادار می‌شود از کلمات ساده تر یا تکراری استفاده کند که امکان حدس زدن ان برای هکر بسیار ساده خواهد شد.

پیشنهاد یک روش خوب برای گذرواژه

ویرایش

افزایش نیاز کاربران به رمزهای عبور نرم‌افزارهای مختلفی به کمک کاربران آمده است جهت حفظ و نگهداری از کمله عبور کاربران یکی از این نرم‌افزارها Wallet (کیف پول) می‌باشد. Wallet یک مخزن از نام کاربری و رمز عبور می‌باشد که در اصل یک فایل رمز نگاری شده است که اطلاعاتی که کاربر نیاز دارد برای حساب‌های مختلف در خود نگه می‌دارد با استفاده از قوی ترین الگوریتم‌های رمزنگاری که تقریبا می‌تواند امنیت حساب‌های کاربر را تضمین نماید اما مشکل کاربر را به طور کامل حل نمی‌کند در صورتیکه مهاجم دسترسی فیزیکی به Wallet داشته باشد و کاربر فراموش کرده باشد که از سیستم خارج شود کلیه اطلاعات وی کاملا صدمه پذیر می‌باشد.

یک روش خوب برای گذرواژه توسط Craig Busse ارائه شده است. بر اساس این روش، گذرواژه از ترکیب از دو حرف اول سایت مورد استفاده و دو حرف اول یک کلمه دلخواه که در همه موارد شخصی مشترک است و یک عدد مشخص و مرتبط با موقعیت مورد استفاده قرار گیرد. این روش ضمن قابل به خاطر سپاری بودن، از تنوع در کاربردهای مختلف هم برخوردار است.

یکی از مناسب ترین روشهای انتخاب کلمه عبور توسط کاربر که می‌تواند وی را از بسیاری از خطاهای انسانی محفوظ کند، انتخاب یک استراتژی برای درست کردن رمز عبور توسط خود کاربر می‌باشد. بدین صورت که مثلا دو حرف اول URL را معکوس کند یک عددی به آن اضافه کند و بقیه آدرس را در ادامه کلمه عبور خود اضافه کند این استراتژی بر اساس سلایق کاربر انتخاب می‌شود به همین دلیل به خاطر سپردن آن برای وی بسیار ساده می‌باشد و برای کلیه حساب‌های کاربری خود در سایت‌های متفاوت از این روش استفاده می‌کند مزیت این روش آن است که نیاز به حفظ کردن کلمات عبور مختلف نمی‌باشد و فقط کافیست که استراتژی تولید رمز را به خاطر بسپارد ثانیا برای هر نام کاربری یک رمز عبور منحصر بفرد دارد یعنی بهترین نحوه انتخاب کلمه عبور.

نتیجه گیری

ویرایش

در نتیجه، بازسازی و اصلاح ساختار امنیت کلمات عبور، مستلزم آن است که بتوان یک تعادل شایسته بین «قوانین کافی» و «رفتارهای انسانی کاربران» ایجاد کرد. تا بدین ترتیب با آن قوانین ضمن تامین حداکثر امنیت، کاربران نیز گریزان از شرایط نگردند.

تا به امروز، بیشتر تاکیدات بر آن بوده که قوانین زیاد و البته محکمی در زمینه انتخاب کلمات عبور، وجود داشته باشد و اهمیت کمتری به شناخت رفتارهای کاربران داده شده‌است.

با این وجود، امنیت واقعی تنها زمانی حاصل می‌شود که «کامپیوتر» و «عامل‌های انسانی» تنها به صورت دیجیتالی مورد بررسی قرار نگیرند. هر تغییر دیگری به منظور ارتقاء امنیت کلمات عبور در آینده، نباید اهمیت انسان و رفتارهایش را نادیده بگیرد، زیرا که با شکست روبرو خواهد بود.

منابع

ویرایش

لینک وبگاه مقاله اصلی: http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1013839

لینک اول: PDF: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.110.98&rep=rep1&type=pdf

لینک دوم: http://research.csc.ncsu.edu/efg/ethics/papers/passwords.pdf