عاملهای انسانی در امنیت اطلاعات/انتخاب گذرواژه: امنیت و عامل انسانی
Choosing Passwords: Security And Human Factors
انتخاب گذرواژه (Password): امنیت و عامل انسانی
چکیده
ویرایشدر این بخش به مقوله انتخاب و استفاده از رمز عبور (گذرواژه) که از اهمیت فوق العادهای در امنیت سیستمهای اطلاعاتی برخوردار است پرداخته شده است؛ مبحثی که عامل انسانی در انتخاب و استفاده از آن نقش کلیدی دارد.
امنیت گذرواژه یکی از اساسی ترین موارد در امنیت فناوری اطلاعات است. عامل انسانی در انتخاب و استفاده از گذرواژه نقشی بسیار حیاتی و اساسی به عهده دارد. عموما پیشنهاد میشود که گذرواژه کوتاه نباشد، از واژههایی نباشد که در دیکشنری (فرهنگ واژگان) پیدا میشوند، کلمات و اعداد قابل شناسائی و در ارتباط با مشخصات شخصی مانند شماره تلفن و شماره شناسنامه و موارد مشابه مورد استفاده قرار نگیرد.
همچنین بهتر است که کاربری که از سیستمهای مختلف استفاده میکند از گذرواژههای مختلف استفاده کند.
متاسفانه انسان به دلیل جایز الخطا بودن عموما به تمام این موارد توجه کافی نمیکند. مثلا یک کاربر که تعداد زیادی گذرواژه دارد و مجبور است به طور مداوم آنها را تغییر بدهد، بالاخره مجبور میشود که گاهی آنها را در جایی یادداشت کند.
برخی سیستمها کاربران را وادار میکنند که از حداقل تعداد کاراکتر مشخصی با طول نسبتا بلند استفاده کنند و یا از ترکیبی از حروف و کلمات بهره بگیرند که این مسئله نیز ایجاد و به خاطر سپردن گذرواژه را مشکل میکند. در حالت بدتر برخی از سیستمها پس از ۳ بار استفاده از استفاده کاربر از گذرواژه اشتباه از دسترسی افراد فرد برای مدت مدیدی به سیستم مورد نظر جلوگیری میکند. این نیز باعث میشود که افراد برای به خاطر سپردن گذرواژهها از روشهای نا امن استفاده کنند.
آنچه ما نیاز داریم این است که راهی برای آنالیز گذرواژه به دست آوریم که دو عامل اساسی شامل عامل انسانی و امنیت اطلاعات را به صورت همزمان و در یک فرایند در نظر بگیرد و به تنگناها و اهمیت هر دو عامل توجه کافی داشته باشد.
ضروریات یک گذرواژه خوب
ویرایشرمزهای عبور اولین خط دفاعی در مقابل نفوذ به سیستمهای کامپیوتری هستند، متاسفانه اشتباهات انسانی (جایزالخطا بودن انسان) باعث شده است که تقریبا رعایت قوانین و توصیهها در امر استفاده و انتخاب رمز عبور به طور کامل رعایت نشود. کاربران اجبار دارند که برای حفظ اطلاعات مهم و حساس از دستبرد دیگران از گذرواژه مناسب استفاده کنند و مدیریت سیستمی موظف به برررسی عملکرد آنان است. مدیریت سیستم (Sys. Administration) در بسیاری از موارد پیشنهادهایی برای ساختن یک گذرواژه خوب به کاربران خود میدهد. به عنوان نمونه میتوان به این موارد اشاره کرد:
- استفاده از حروف بزرگ و کوچک در ساختار گذرواژه
- ترکیبی از علائم نگارشی (Punctuation Characters) در کنار حروف و اعداد استفاده شود
- برای به خاطر سپاری راحت باشد تا نیازی به نوشتن آن وجود نداشته باشد.
- حداقل دارای طول ۷ یا ۸ کاراکتر باشد
- به راحتی و سریع بتوان آنرا تایپ کرد تا هنگام تایپ، کسی نتواند با چشم انداختن بر صفحه آن را بخواند.
از چه مواردی برای گذرواژه نباید استفاده شود
ویرایشدر سال ۱۹۹۱ نفوذگران هنوز به شیوه هک به روش (Brute-Force) دست نیافته بودند، تکنیکی که امروزه به طور گسترده مورد استفاده قرار میگیرد. همچنین در صورت کار با سیستمهای Novell و VMS پیشنهاد استفاده از حروف کوچک و بزرگ تقریباً بدون فایده بود. بیایید نگاهی داشته باشیم به پیشنهاداتی که امروزه (به عنوان مثال توسط دانشگاه ایالت Kent) به منظور ایجاد یک کلمه عبور مناسب ارائه شده است.
- کلمات و اصطلاحات مشخص و نشاندار و قابل ردیابی در دیکشنری باشند. هکرها و قفل شکنها به دیکشنریهای بسیار بزرگ و آنلاین دسترسی دارند و میتوانند با روشهای هوشمند چنین گذرواژههائی را ردیابی کنند.
- نام یک دوست، فامیل، ستاره سینما یا حتی شخصی در یک کتاب باشد
- کمتر از ۸ کارکتر باشد.
- دارای Space باشد. (اگر سیستم اجازه بدهد)
در سالهای ۱۹۸۰، استفاده از کلمات چند سیلابی موجود در فرهنگهای لغات (انگلیسی) به عنوان کلمه عبور، پیشنهادی رایج بود، اما دیگر کار محتاطانهای نیست. دیکشنریهای آنلاین برخوردار از ۶۰۰ هزار کلمه در دسترس هستند که به راحتی قابلیت تطبیق با گذرواژهها را دارند.
مشکل استفاده از چند حساب کاربری متعدد
ویرایشاگر هر شخص فقط یک حساب کاربری داشته باشد ایجاد و به خاطر سپردن یک گذرواژه قوی کار سختی نیست. استفاده از حروف اول واژههای یک شعر یا حروف اول واژههای یک جمله یا ترکیب (Catch Phrase Acronym) میتواند در این حالت راه حل بسیار مناسبی باشد. به طور مثال، عبارت «O, say, can you see by the dawn’s early light» میتواند یادآوری کننده کلمه عبور "Oscysbtdel" باشد.
اما امروزه افراد عموما دارای حسابهای کاربری متعدد برای استفاده از چند کامپیوتر یا وبگاه مختلف یا گذرواژههایی برای حسابهای بانکی و غیره خود هستند. اکثرا کاربران Multiple Accounts میباشند و در صورتیکه بخواهند قوانین و توصیههای مدیران شبکه در انتخاب رمز عبور را رعایت کنند با حجم عظیمی از کلمههای عبور مواجه میشوند. علاوه بر اینکه بعضی از حسابها محدودیتهایی برای انتخاب کلمه عبور نیز هم برای کاربر اعمال میکنند مثلا حداقل تعداد کاراکتر، حداکثر تعداد کاراکتر، استفاده یا عدم استفاده از یک سری کاراکترهای خاص (#، $) و ... تمامی این موارد بخاطر سپردن کلمههای عبور را بسیار دشوار میکند. از طرفی دیگر نوشتن کلیه کلمههای عبور و نگه داشتن آن ریسک امنیتی بسیار بزرگی میباشد که هرگز توصیه نمیشود، تمامی این موارد باعث میشود که کاربران از رمزهای عبور ساده و کوتاه و تکراری استفاده نمایند.
آنچه که مورد نیاز است تجزیه و تحلیل روشی است که منجر به انتخاب رمز عبوری امن توسط عامل انسانی و محدودیتهای موجود در سیستمهای امنیتی حسابهای کاربری شود که کلیه استانداردهای انتخاب رمز عبور را رعایت کرده باشد و همچنین کاربر قادر به حفظ کردن کلیه آنها باشد. طبق آزمایشی که Zviran و Haga انجام دادند کاربرانی که کلمه عبور معنا دار بر پایه حقایق، علایق و عقایدشان انتخاب میکنند ۲۹٪ این رمز عبورها توسط سایر کاربران حدس زده شدند.
سیستمها، مایل هستند از ساختارهای متفاوت رمزگذاری استفاده نمایند و برخی از آنها نیز روشهای دلخواه خود را دارند. در ادامه چند نمونه را بررسی مینماییم:
- در سیستمهای یونیکس (Unix)، محدودیت کلمه عبور از نظر تعداد کارکتر وجود دارد، اما تنها ۸ کارکتر اول کلیدی میباشند که همین عامل خود باعث میشود یک کلمه عبور امن، غیر مطمئن شود. بطور مثال، رمز "Carolina71Duke۵۹" برای سیستم به صورت "Carolina" خواهد بود.
- سیستم TIAA-CREF که یک سازمان پیشرو در زمینه ارائه خدمات بازنشستگی به اساتید دانشگاه است کاربران را مجاب کرده است که گذروازههای بین ۴ تا ۷ کاراکتر را انتخاب کنند.
- سیستم خدمات اطلاعاتی دانشگاه کلورادو (Colorado) محدودیتی برای استفاده از علائم خاص مثل "!" یا "؟" یا & و غیره اتخاذ کرده است. در این سیستم داشتن سه حرف متناوب و تکراری نیز مجاز نیست. به طور نمونه استفاده از "aaa" پشت سر هم در هر کجای کلمه عبور، مجاز نمیباشد.
- در بسیاری از سایتها استفاده از کلمات و عناوین خاص برای گذرواژه قابل قبول نیست یا بدلیل محدودیتهای فنی امکان استفاده از ترکیب حروف و اعداد یا حروف کوچک و بزرگ هم مقدور نیست.
ترکیب کردن، یکی از روشهای خوب برای ایجاد گذرواژه است. ترکیب حروف و اعداد، یا حروف کوچک و بزرگ از روشهای مناسب برای ایجاد کلمه عبور است. اما این مسئله با ایجاد زمینه به خاطر سپاری آسان گذرواژههای متعدد در تضاد است. دو محقق (Dhamija & Perrig) در پژوهشی در یافتند که بیش از ۲۵ درصد کاربران برای به یاد آوردن گذروازههای متعدد خود با اشکال مواجه هستند. در نتیجه افراد مجبور میشوند که از گذرواژههای یکسان برای محلهای مختلف یا حسابهای کاربری مختلف خود استفاده کنند. این کار باعث کاهش شدید امنیت اطلاعات و افزایش ریسک هک شدن یا اشکالات جنبی دیگری میشود. مثلا در یک حالت اضطراری که در راه دور از دفتر کارش حضور دارد و نیاز به گشورن درب دفتر او برای یک کار اورژانس بوجود امده است، اما شخص نمیتواند گذرواژه قفل الکترونیکی اتاقش را به همکارش بدهد. چون گذروازه آن با گذرواژه کارت اعتباری اش یکی است و چنانچه همکارش شماره کارت او را نیز بداند، قادر خواهد بود حساب بانکی اش را جابجا کند!
از سوی دیگر عدهای مبادرت به نوشتن گذرواژههای متعدد خود در مکان هائی برای به خاطر آوردن آن میکنند. جمله این مسائل اشکالات زیادی ایجاد میکند. یک مطالعه نشان میدهد که ۵۰ درصد کاربران مبادرت به نوشتن برخی از گذرواژههای خود میکنند.
محدودیت دوره تاریخ انقضای یک گذرواژه
ویرایشروشهای جایگزینی برای جلوگیری از حدس زدن در سیستمهای امنیتی استفاده شده است مثلا برای هر حدس اشتباه سیستم مکث چند ثانیهای بکند یا تعداد محدودی به کاربر اجازه داده شود که رمز عبور نادرست وارد نماید
برخی از سایتها برای زمان موثر بودن یک گذروازه محدودیت زمانی تعیین میکنند. این کار باعث میشود که کاربر بطور مکرر مبادرت به تغییر گذروازه خود کند. این کار در وهله اول باعث افزایش امنیت گذروازه میگردد. اما در نگاه بعدی خود باعث میشود که کاربران با تعداد بیشتری از گذرواژه روبرو بوده و مجبور به استفاده از راههای پر خطر برای به خاطر سپردن ان باشند. دو محقق به نامهای Adams و Sasse مشکلاتی را برای این محدودیت زمانی طرح میکنند.
برای مثال این کار باعث میشود که در بازههای زمانی مختلف که کاربر نیاز به تغییر متناوب گذرواژه خود دارد کاربر وارد میشود که از کلمات سخت بیشتری استفاده کند که به خاطر سپردن را سخت تر خواهد کرد. این کار باعث میشود که شخص مبادرت به نوشتن آن کند که اشکالات بعدی را به دنبال خواهد داشت. یا در تلاش برای به خاطر سپردن این کلمات بی شمار، کاربر وادار میشود از کلمات ساده تر یا تکراری استفاده کند که امکان حدس زدن ان برای هکر بسیار ساده خواهد شد.
پیشنهاد یک روش خوب برای گذرواژه
ویرایشافزایش نیاز کاربران به رمزهای عبور نرمافزارهای مختلفی به کمک کاربران آمده است جهت حفظ و نگهداری از کمله عبور کاربران یکی از این نرمافزارها Wallet (کیف پول) میباشد. Wallet یک مخزن از نام کاربری و رمز عبور میباشد که در اصل یک فایل رمز نگاری شده است که اطلاعاتی که کاربر نیاز دارد برای حسابهای مختلف در خود نگه میدارد با استفاده از قوی ترین الگوریتمهای رمزنگاری که تقریبا میتواند امنیت حسابهای کاربر را تضمین نماید اما مشکل کاربر را به طور کامل حل نمیکند در صورتیکه مهاجم دسترسی فیزیکی به Wallet داشته باشد و کاربر فراموش کرده باشد که از سیستم خارج شود کلیه اطلاعات وی کاملا صدمه پذیر میباشد.
یک روش خوب برای گذرواژه توسط Craig Busse ارائه شده است. بر اساس این روش، گذرواژه از ترکیب از دو حرف اول سایت مورد استفاده و دو حرف اول یک کلمه دلخواه که در همه موارد شخصی مشترک است و یک عدد مشخص و مرتبط با موقعیت مورد استفاده قرار گیرد. این روش ضمن قابل به خاطر سپاری بودن، از تنوع در کاربردهای مختلف هم برخوردار است.
یکی از مناسب ترین روشهای انتخاب کلمه عبور توسط کاربر که میتواند وی را از بسیاری از خطاهای انسانی محفوظ کند، انتخاب یک استراتژی برای درست کردن رمز عبور توسط خود کاربر میباشد. بدین صورت که مثلا دو حرف اول URL را معکوس کند یک عددی به آن اضافه کند و بقیه آدرس را در ادامه کلمه عبور خود اضافه کند این استراتژی بر اساس سلایق کاربر انتخاب میشود به همین دلیل به خاطر سپردن آن برای وی بسیار ساده میباشد و برای کلیه حسابهای کاربری خود در سایتهای متفاوت از این روش استفاده میکند مزیت این روش آن است که نیاز به حفظ کردن کلمات عبور مختلف نمیباشد و فقط کافیست که استراتژی تولید رمز را به خاطر بسپارد ثانیا برای هر نام کاربری یک رمز عبور منحصر بفرد دارد یعنی بهترین نحوه انتخاب کلمه عبور.
نتیجه گیری
ویرایشدر نتیجه، بازسازی و اصلاح ساختار امنیت کلمات عبور، مستلزم آن است که بتوان یک تعادل شایسته بین «قوانین کافی» و «رفتارهای انسانی کاربران» ایجاد کرد. تا بدین ترتیب با آن قوانین ضمن تامین حداکثر امنیت، کاربران نیز گریزان از شرایط نگردند.
تا به امروز، بیشتر تاکیدات بر آن بوده که قوانین زیاد و البته محکمی در زمینه انتخاب کلمات عبور، وجود داشته باشد و اهمیت کمتری به شناخت رفتارهای کاربران داده شدهاست.
با این وجود، امنیت واقعی تنها زمانی حاصل میشود که «کامپیوتر» و «عاملهای انسانی» تنها به صورت دیجیتالی مورد بررسی قرار نگیرند. هر تغییر دیگری به منظور ارتقاء امنیت کلمات عبور در آینده، نباید اهمیت انسان و رفتارهایش را نادیده بگیرد، زیرا که با شکست روبرو خواهد بود.
منابع
ویرایشلینک وبگاه مقاله اصلی: http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1013839
لینک اول: PDF: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.110.98&rep=rep1&type=pdf
لینک دوم: http://research.csc.ncsu.edu/efg/ethics/papers/passwords.pdf