عامل‌های انسانی در امنیت اطلاعات/بررسی ضعیف ترین لینک در چرخه امنیتی: رهیافت محاوره انسان - کامپیوتر جهت امنیت قابل استفاده و مؤثر

• کمین کردن

کاربری که پسوردش منقضی شده و باید فورا آن را تغییر دهد یا حق دسترسی اش به سیستم مسدود می شود ، احساس دستپاچگی می کند و در آخر نام همسرش را انتخاب می کند . این موضوع توسط همکاری که می خواهد به فایل های او دسترسی پیدا کند ، به راحتی کشف خواهد شد .

• اهداف متضاد

طراح هواپیما که نیاز به دسترسی به ۶ سیستم متفاوت را دارد و طبق سیاست شرکت باید برای هرکدام پسورد متفاوتی داشته باشد . در صورتی که یکی از پسوردهایش را فراموش کند ، نمی تواند کارش را در زمان مقرر به اتمام برساند و از سوی مدیرش سرزنش خواهد شد پس پسوردهای جدیدش را در یادداشتی زیر پد موسش نگهداری می کند .

• کشف درخواست ها

هکرها با کارمندان تماس می گیرند و خود را پشتیبان IT معرفی می کنند و آنها را جهت به روزرسانی برنامه هایشان درخواست می کند. برای کاربران مشکل است که بفهمند در چه شرایطی آشکار کردن پسورد مطمئن و چه زمانی نامطمئن است.

• تکنولوژی
• کاربر
• هدف و وظیفه
• شرایط

۵ راه جهت تصدیق هویت کاربران وجود دارد. اکثر مکانیزم‌های امنیتی از یک رویه ۲ مرحله‌ای که در آن شناسایی و تصدیق هویت به صورت ترکیبی وجود دارد، استفاده می‌کنند. مثلا در کارت‌های بانکی شناسایی (بر پایه توکن) ترکیب شده با PIN (تصدیق هویت بر پایه دانش) رایج ترین مکانیزم ترکیب شناسه کاربردی و پسورد است. برای ورود، کاربر این دو را وارد می کند و سیستم آن را با مقدار ذخیره شده بررسی می‌کند. پسوردها باید دشوار باشند مثلا ترکیبات ساختگی – تصادفی از حروف، اعداد و نویسه‌ها، کاربران باید پسورد متفاوتی برای هر سیستم داشته باشند. پسوردها باید در بازه های زمانی معین تغییر داده شوند.

طیف متغیر و زیادی از شناسه های کاربری و پسورد برای سیستم های متفاوت وجود دارد که در نتیجه یک درخواست حجیم و بزرگ روی حافظه کاربر است . کاربران نه تنها مجبورند پسوردها را به یاد بسپارند بلکه سیستم و شناسه کاربری آن را هم باید در نظر گیرند و محدودیت های هر سیستم ، زمان و چگونگی تغییر پسوردها را هم باید باید حفظ کنند که این حجم اطلاعاتی بالا مغایر با حافظه کاربران است.
یک راه حل تکنیکی جهت کاهش تعداد پسوردها سیستم login با امضای واحد (SSO) است.

خصوصیات حافظه کاربر و مهمتر از همه حافظه او، نقطه اصلی در طراحی پسورد است. ظرفیت حافظه در حال کار محدود است و همچنین حافظه طی زمان ها تنزل پیدا می کند. همچنین تشخیص و شناسایی موارد روزمره و آشنا ساده تر است یا مواردی که کاربرد بیشتری دارند آسان تر به یاد آورده می‌شوند.

• موضوعات شخصی : مردمی که رفتارهای پسوردی خوبی ارائه می دهند اغلب به عنوان شخصی که به هیچ کس اعتماد ندارد ، شرح داده می شوند.

• موضوعات اجتماعی : به اشتراک گذاشتن پسورد به عنوان نشانه ای از اعتماد به همکاران تلقی می شود

• هیچکس من را هدف نمی گیرد: کاربر فکر می‌کند داده‌های ذخیره شده روی سیستم‌اش آن قدر مهم نیست که هدف هکرها قرار گیرد و آن‌ها اشخاص معروف یا پولدار را مورد حمله قرار می‌دهند.

• آنها نمی توانند خیلی به من ضرر بزنند

• روال های کاری غیررسمی: مکانیزم‌های پسورد فعلی و قوانین اغلب با روال های رسمی و غیررسمی تصادم دارند . مثلا اگر بیمار شوید و نتوانید سر کار بروید ، برخی از اعضای گروهتان باید بتوانند با اکانت شما دسترسی داشته باشند و کار مشتریان شما را انجام دهند .

مکانیزم‌های مختلفی برای امنیت پسوردها باید در نظر گرفته شود که کاربران را ملزم به رفتارهای صحیح با پسوردهایشان کند. از جمله این مکانیزم‌ها استفاده از سیستم‌های بیومتریک است. این سیستم‌ها ممکن است برای برخی از کاربران مناسب باشد اما برای همه آنها نه. پیش‌بینی می‌شود که تصدیق هویت بر پایه دانش که در آینده استفاده خواهد شد، مناسب‌تر از روش‌های امروزی خواهد بود.

Transforming the weakest link – a human/computer interaction approach to usable and effective security / M A Sasse , S Brostoff , D Weirich / BT Technol J Vol 19 No 3 July 2001

دریافت مقاله اصلی