عامل‌های انسانی در امنیت اطلاعات/تصدیق (اعتبار سنجی) گذرواژه از منظر عامل های انسانی: نتایج یک تحقیق در میان کاربران نهایی

عنوان انگلیسی: Password Authentication from a Human Factors Perspective: Results of a Survey among End-Users

عنوان فارسی: تصدیق (اعتبار سنجی) گذرواژه از منظر عامل های انسانی: نتایج یک تحقیق در میان کاربران نهایی

امنیت اطلاعات و کامپیوتر(CIS) از نقطه نظر شخصی و تجاری از اهمیت بالایی برخوردار است با این حال ما اطلاعات کمی درباره این مسئله بویژه از دیدگاه های عامل انسانی در اختیار داریم. در این بررسی با استفاده از یک تحقیق بزرگ، پرسشنامه ای در اختیار کاربران نهایی قرار داده و رفتار کاربران نهایی در قبال گذرواژه ها را مورد آزمایش قرار می دهیم.


مقدمه

ویرایش

ارزانترین و عمومی ترین روش تصدیق (اعتبار سنجی)، استفاده از نام کاربری و گذرواژه (کلمه عبور) می‌باشد. برآوردها نشان می‌دهند که ۸۶٪ شرکت‌های آمریکایی از تصدیق اعتبار گذرواژه استفاده می‌کنند.

یکی از رایج ترین و ارزان ترین ابزارهای احراز هویت در بین بیش از ۸۶٪ شرکت‌های بزگ آمریکا استفاده از نام کاربری و کلمه عبور می‌باشد، تمامی اطلاعات چه حساس و چه غیر حساس از طریق احراز هویت به صورت نام کاربری و کلمه عبور الفبایی احراز هویت می‌شوند به طور کلی ۴ یا ۵ کلمه عبور هستند که کاربران معمولی برای احراز هویت از آن استفاده کنند، به علت اینکه ظرفیت پردازش مغز انسان محدود است و این امر باعث شده که انسان معمولی نتواندرمزهای پیچیده را به یاد بیاورد و در طرف دیگر هم این مشکل که کلمه عبور ساده قابل حدس زدن و کرک شدن باشد نیز وجود دارد .

ظرفیت بشری برای پردازش اطلاعات محدود است همانگونه که نتیجه‌گیری می‌شود، کاربران در بخاطر آوردن کلمات رمزشان و مهمتر از این، برای بخاطر سپردن و ارتباط صحیح با رمزهای بیشمار دچار مشکل هستند. این امر سبب می‌شود تا کاربران یا از یک رمز ساده‌ای استفاده کنند که برای بخاطر آوردن آسان است، اما حدس زدن آن نیز کار دشواری نیست، یا آن را به دو قسمت تقسیم کنند و یا از رمزهای پیچیده‌ای استفاده کنند که حدس آنها یا خطر کشف آنها دشوار است، اما برای بخاطر آوردن آنها نیز مشکل می‌باشند.

کاربران می‌توانند از چندین روش برای غلبه بر محدودیت هایشان استفاده کنند: استفاده از گذرواژه یکسان برای هر سیستمی که به آن دسترسی دارند، نوشتن گذرواژه‌ها، ذخیرهٔ گذرواژه‌ها در فایل‌های الکترونیکی، و استفادهٔ مجدد یا بازسازی گذرواژه‌های قدیمی (برای مثال password2007 به password2008 تغییر می‌یابد).

در این تحقیق، ما وضعیت گذرواژهٔ کاربران نهایی را مورد بررسی قرا می‌دهیم؛ خواه آنها بطور آسیب پذیری وابسته به CIS باشند و یا عقیده و گرایش کاربران نسبت به CIS وابسته به وضع گذرواژه و آسیب پذیری آن باشد.

پیش زمینه‌ها

ویرایش

مشکل انتخاب کلمات عبور ساده و ضعیف، یک مشکل جدید نیست در سال 1979 گزارشی مبنی بر اینکه کاربران یونیکس از کلمات عبور ساده و ضعیف برای احراز هویت استفاده میکنند، اعلام شد. ( آنالیز انجام شده از بین 3289 کلمه عبور صورت گرفته بود)
در سال 2006 بر روی کلمات عبور کاربران شبکه اجتماعی my space تحقیقاتی صورت پذیرفت که نتایج آن به شرح زیر می باشد.

  1. 68% تمامی کلمات عبور شامل 8 و یا کمتر از 8 حرف است.
  2. بیشترین تکرار کلمات عبور شامل "abc123" و "123" و "password1" و "myspace1" است


همچنین کاربرانی وجود دارند که به طور معمول از چندین سیستم استفاده میکنند که نیاز به احراز هویت دارد به طور مثال سیستم رایانه شخصی، رایانه محل کار و حتی کارت های اعتباری که دارند، که متاسفانه برای تمامی این دستگاه ها از یک کلمه عبور استفاده می کنند،و یا​ آن را یادداشت و یا در یک فیل الکترونیک ذخیره می کنند

روش تحقیق

ویرایش

در این مقاله از طریق ۳ روش تحقیقاتی زیر بر روی رفتار انتخاب کلمه عبور کاربران نهایی انجام شد.

  1. گروه‌های تمرکز
  2. پرسشنامه
  3. نمونه


ما یک پرسشنامهٔ تحقیقی را بمنظور سنجش انحراف‌های کاربران از قوانین و همچنین عامل‌های سهیم در این انحراف‌ها، بسط و توسعه داده‌ایم. تحلیل داده‌های این گروه ۱۰ ناحیهٔ عمده را نتیجه داده که مربوط به انحراف‌های CIS هستند:
۱) دست یابی به سیستم کامپیوتر و گذرواژه؛ ۲) تنظیمات امنیتی کامپیوتر؛ ۳) نگهداری سیستم و دانلود نرم‌افزار؛ ۴) پست الکترونیکی؛ ۵) کمک در جهت مسائل کامپیوتری؛ ۶) دستیابی از راه دور و کار از منزل؛ ۷) اشتراک کامپیوتر و شبکهٔ اجتماعی؛ ۸) آموزش CIS؛ ۹) خط مشی CIS؛ و ۱۰) ایده‌ها و نظرات دربارهٔ CIS.

در این مقاله، ما بر روی نتایجی که متوجه سندیت کامپیوتر می‌باشند، تمرکز می‌کنیم.

نمونه‌گیری

ویرایش

از کارمندان یک سازمان بزرگ خواسته شد تا یک تحقیق بر مبنای وب را پر کنند. سازمان با اطلاعات شخصی بسیار حساسی سروکار دارد و در گذشته مسائل مربوط به امنیت کامپیوتر را تجربه کرده است.
روی هم رفته ۸۳۶ کارمند پرسشنامه را پر کردند. هفتاد درصد پاسخگرها مؤنث هستند. میانگین سن، ۵۰ سال می‌باشد. بطور متوسط، پاسخگرها ۱۸٫۲ سال تجربهٔ کار با رایانه (کامپیوتر) دارند. سه درصد پاسخگرها خود را بعنوان کاربران تازه‌کار رده‌بندی کردند (اخیرا کار با کامپیوتر را شروع کرده‌اند)؛ ۶۹٪ بعنوان کاربر متوسط (از واژه‌پرداز، صفحه گسترده، ایمیل، جستجو در وب و غیره استفاده می‌کنند)؛ و ۶٪ بعنوان کاربر متخصص (که می‌توانند سیستم عامل نصب کنند؛ برخی زبان‌های برنامه‌نویسی را می‌شناسند و ...).

نتایج

ویرایش

نتایج پرسش درباره ی استفاده ی گذرواژه بطور خلاصه در جدول 1 ارائه شده است.
جدول 1: عادات استفاده از گذرواژه
1. بطور میانگین، پاسخگرها برای اتصال به کامپیوترهای مختلف و/یا دستیابی به برنامه های مختلف کامپیوتری در محل کار، دارای 4.1 گذرواژه می باشند. درصورتیکه گذرواژه های استفاده شده در خانه را نیز در نظر بگیریم، این عدد به 9 افزایش می یابد؛
2. هجده درصد پاسخگرها همیشه برای دسترسی به سیستم های مختلف کامپیوتری، برنامه های کاربردی و یا وب سایت ها از یک گذرواژه استفاده می کنند، 50% گاهی اوقات از یک گذرواژه استفاده می کنند و گاهی گذرواژه دیگری بکار می برند، و 31% همیشه از گذرواژه های مختلف استفاده می کنند؛
3. شصت درصد پاسخگرهایی که از بیشتر از یک گذرواژه استفاده می کنند، تفاوتی بین سیستم هایی که نیاز به حفاظت خاص دارند(برای مثال شبکه ی اداری آنها)و سیستم هایی که می توانند گذرواژه ساده و قابل ِ یادآوری برای آن استفاده کنند، بوجود می آورند؛
4. بطور متوسط، پاسخگرهایی که گذرواژه شان را 7 بار در سال عوض می کنند، تقریبا همیشه توسط شعبه ی خود ترغیب می شوند(96%)؛
5-1 پنجاه و شش درصد پاسخگرها از گذرواژه های طولانی استفاده می کنند(بیشتر از 8 کاراکتر)؛
5-2 هفتاد و نه درصد از ترکیبی از حروف کوچک و بزرگ استفاده می کنند؛
5-3 سی و هشت درصد، زمانیکه گذرواژه شان را تغییر می دهند، از کاراکترهای خاص استفاده می کنند(برای مثال #، *، ^)؛
6. 68% پاسخگرها وقتی گذرواژه شان را تغییر می دهند، مجددا از گذرواژه قدیمی شان استفاده می کنند؛
7. پنجاه و شش درصد پاسخگرها گذرواژه های خود را یادداشت می کنند؛
8. هفت درصد پاسخگرها نام کاربری/گذرواژه خود را در فایل الکترونیکی نگهداری می کنند؛
9. هشتاد درصد پاسخگرهایی که گذرواژه شان را در یک فایل الکترونیکی حفظ می کنند، این فایل ها را بوسیله ی کلمه ی عبور دیگری محافظت می کنند یا آنها را رمزنگاری می کنند؛
10. یک درصد پاسخگرها از نرم افزاری برای حفظ سوابق گذرواژه شان استفاده می کنند؛
11. پنج درصد پاسخگرها گذرواژه(ها)شان را با دیگر افراد به اشتراک می گذارند؛
12. سی و هشت درصد پاسخگر ها از گذرواژه ای استفاده می کنند که محافظ صفحه نمایش را محافظت می کند.
13. هفتاد و نه درصد پاسخگرها از قفل صفحه نمایش استفاده می کنند؛
14. سی درصد پاسخگرها همیشه زمانیکه از کامپیوتر خود دور می شوند، از سیستم خارج می شوند(Log Off)؛
15. هشتاد و پنج درصد پاسخگرها همیشه زمانیکه کارشان را در روز تمام می کنند، کامپیوترشان را خاموش می کنند؛

از جدول بالا می توان چنین نتیجه گرفت که تنها 4% پاسخگرها از بهترین شیوه ها در رابطه با کار با گذرواژه استفاده نمی کنند و اینکه 94% دیگر، یکی از شیوه ها یا تعداد بیشتری از آنها را بکار می برند.
نتایج تحلیل آماری نشان می دهد که نوع کاربر (تازه کار، متوسط، پیشرفته یا کاربر متخصص) قویترین عامل مربوط به شمار انحراف ها می باشد. جنسیت، سن، آموزش، موقعیت شغلی، واحد سازمانی که پاسخگر در آن مشغول بکار است و سال های کسب تجربه ی کامپیوتری، از اهمیت کمتری برخوردارند. برای مثال، نتایج تحلیل های ما نشان می دهد که سرپرستان شبکه و کاربران حرفه ای، اندکی بهتر از کاربران عادی در رابطه با تعداد انحراف ها از بهترین شیوه های گذرواژه، عمل می کنند، اما اختلاف ها از لحاظ آماری مهم نیستند.
نتایج تحلیل گروهی نشان می دهد که اقلیتی از پاسخگرها (7%) نسبت به تلاش ها برای حفظ کامپیوترهایشان از صدمه و آسیب بدگمان هستند (برای مثال، آنها با این عبارت مخالف هستند: "من می توانم کامپیوترم را از آسیب (هکرها، دو نسخه نویسی و غیره) حفظ کنم، در صورتیکه نسبت به امنیت آن (تغییر گذرواژه ها بر مبنای قاعده، استفاده از ضد هکرها، پنهان کردن و غیره) احتیاط کنم"). چهارده درصد نمی دانند چه فکری کنند (موافق باشند یا مخالف)، اما اکثریت (77%) معتقدند که این تلاشها تفاوت ایجاد می کند. بطور قابل توجهی، هیچ اختلافی در تعداد انحراف ها از بهترین شیوه ها برای استفاده از گذرواژه وجود ندارد. پاسخگرهای "بدگمان" بطور متوسط 2.6 بار از بهترین شیوه ها منحرف می شوند، "گروهی که نمی دانند" بطور میانگین 2.8 بار، و "معتقدین" بطور متوسط 2.6 بار از بهترین شیوه ها منحرف می شوند.

عنوان انگلیسی مقاله: «Password Authentication from a Human Factors Perspective: Results of a Survey among End-Users»

عنوان فارسی مقاله: تصدیق کلمه عبور از نگاه عامل‌های انسانی

منبع: [۱]