عاملهای انسانی در امنیت اطلاعات/تصدیق (اعتبار سنجی) گذرواژه از منظر عامل های انسانی: نتایج یک تحقیق در میان کاربران نهایی
عنوان انگلیسی: Password Authentication from a Human Factors Perspective: Results of a Survey among End-Users
عنوان فارسی: تصدیق (اعتبار سنجی) گذرواژه از منظر عامل های انسانی: نتایج یک تحقیق در میان کاربران نهایی
امنیت اطلاعات و کامپیوتر(CIS) از نقطه نظر شخصی و تجاری از اهمیت بالایی برخوردار است با این حال ما اطلاعات کمی درباره این مسئله بویژه از دیدگاه های عامل انسانی در اختیار داریم. در این بررسی با استفاده از یک تحقیق بزرگ، پرسشنامه ای در اختیار کاربران نهایی قرار داده و رفتار کاربران نهایی در قبال گذرواژه ها را مورد آزمایش قرار می دهیم.
مقدمه
ویرایشارزانترین و عمومی ترین روش تصدیق (اعتبار سنجی)، استفاده از نام کاربری و گذرواژه (کلمه عبور) میباشد. برآوردها نشان میدهند که ۸۶٪ شرکتهای آمریکایی از تصدیق اعتبار گذرواژه استفاده میکنند.
یکی از رایج ترین و ارزان ترین ابزارهای احراز هویت در بین بیش از ۸۶٪ شرکتهای بزگ آمریکا استفاده از نام کاربری و کلمه عبور میباشد، تمامی اطلاعات چه حساس و چه غیر حساس از طریق احراز هویت به صورت نام کاربری و کلمه عبور الفبایی احراز هویت میشوند به طور کلی ۴ یا ۵ کلمه عبور هستند که کاربران معمولی برای احراز هویت از آن استفاده کنند، به علت اینکه ظرفیت پردازش مغز انسان محدود است و این امر باعث شده که انسان معمولی نتواندرمزهای پیچیده را به یاد بیاورد و در طرف دیگر هم این مشکل که کلمه عبور ساده قابل حدس زدن و کرک شدن باشد نیز وجود دارد .
ظرفیت بشری برای پردازش اطلاعات محدود است همانگونه که نتیجهگیری میشود، کاربران در بخاطر آوردن کلمات رمزشان و مهمتر از این، برای بخاطر سپردن و ارتباط صحیح با رمزهای بیشمار دچار مشکل هستند. این امر سبب میشود تا کاربران یا از یک رمز سادهای استفاده کنند که برای بخاطر آوردن آسان است، اما حدس زدن آن نیز کار دشواری نیست، یا آن را به دو قسمت تقسیم کنند و یا از رمزهای پیچیدهای استفاده کنند که حدس آنها یا خطر کشف آنها دشوار است، اما برای بخاطر آوردن آنها نیز مشکل میباشند.
کاربران میتوانند از چندین روش برای غلبه بر محدودیت هایشان استفاده کنند: استفاده از گذرواژه یکسان برای هر سیستمی که به آن دسترسی دارند، نوشتن گذرواژهها، ذخیرهٔ گذرواژهها در فایلهای الکترونیکی، و استفادهٔ مجدد یا بازسازی گذرواژههای قدیمی (برای مثال password2007 به password2008 تغییر مییابد).
در این تحقیق، ما وضعیت گذرواژهٔ کاربران نهایی را مورد بررسی قرا میدهیم؛ خواه آنها بطور آسیب پذیری وابسته به CIS باشند و یا عقیده و گرایش کاربران نسبت به CIS وابسته به وضع گذرواژه و آسیب پذیری آن باشد.
پیش زمینهها
ویرایشمشکل انتخاب کلمات عبور ساده و ضعیف، یک مشکل جدید نیست در سال 1979 گزارشی مبنی بر اینکه کاربران یونیکس از کلمات عبور ساده و ضعیف برای احراز هویت استفاده میکنند، اعلام شد. ( آنالیز انجام شده از بین 3289 کلمه عبور صورت گرفته بود)
در سال 2006 بر روی کلمات عبور کاربران شبکه اجتماعی my space تحقیقاتی صورت پذیرفت که نتایج آن به شرح زیر می باشد.
- 68% تمامی کلمات عبور شامل 8 و یا کمتر از 8 حرف است.
- بیشترین تکرار کلمات عبور شامل "abc123" و "123" و "password1" و "myspace1" است
همچنین کاربرانی وجود دارند که به طور معمول از چندین سیستم استفاده میکنند که نیاز به احراز هویت دارد به طور مثال سیستم رایانه شخصی، رایانه محل کار و حتی کارت های اعتباری که دارند، که متاسفانه برای تمامی این دستگاه ها از یک کلمه عبور استفاده می کنند،و یا آن را یادداشت و یا در یک
فیل الکترونیک ذخیره می کنند
روش تحقیق
ویرایشدر این مقاله از طریق ۳ روش تحقیقاتی زیر بر روی رفتار انتخاب کلمه عبور کاربران نهایی انجام شد.
- گروههای تمرکز
- پرسشنامه
- نمونه
ما یک پرسشنامهٔ تحقیقی را بمنظور سنجش انحرافهای کاربران از قوانین و همچنین عاملهای سهیم در این انحرافها، بسط و توسعه دادهایم. تحلیل دادههای این گروه ۱۰ ناحیهٔ عمده را نتیجه داده که مربوط به انحرافهای CIS هستند:
۱) دست یابی به سیستم کامپیوتر و گذرواژه؛ ۲) تنظیمات امنیتی کامپیوتر؛ ۳) نگهداری سیستم و دانلود نرمافزار؛ ۴) پست الکترونیکی؛ ۵) کمک در جهت مسائل کامپیوتری؛ ۶) دستیابی از راه دور و کار از منزل؛ ۷) اشتراک کامپیوتر و شبکهٔ اجتماعی؛ ۸) آموزش CIS؛ ۹) خط مشی CIS؛ و ۱۰) ایدهها و نظرات دربارهٔ CIS.
در این مقاله، ما بر روی نتایجی که متوجه سندیت کامپیوتر میباشند، تمرکز میکنیم.
نمونهگیری
ویرایشاز کارمندان یک سازمان بزرگ خواسته شد تا یک تحقیق بر مبنای وب را پر کنند. سازمان با اطلاعات شخصی بسیار حساسی سروکار دارد و در گذشته مسائل مربوط به امنیت کامپیوتر را تجربه کرده است.
روی هم رفته ۸۳۶ کارمند پرسشنامه را پر کردند. هفتاد درصد پاسخگرها مؤنث هستند. میانگین سن، ۵۰ سال میباشد. بطور متوسط، پاسخگرها ۱۸٫۲ سال تجربهٔ کار با رایانه (کامپیوتر) دارند. سه درصد پاسخگرها خود را بعنوان کاربران تازهکار ردهبندی کردند (اخیرا کار با کامپیوتر را شروع کردهاند)؛ ۶۹٪ بعنوان کاربر متوسط (از واژهپرداز، صفحه گسترده، ایمیل، جستجو در وب و غیره استفاده میکنند)؛ و ۶٪ بعنوان کاربر متخصص (که میتوانند سیستم عامل نصب کنند؛ برخی زبانهای برنامهنویسی را میشناسند و ...).
نتایج
ویرایشنتایج پرسش درباره ی استفاده ی گذرواژه بطور خلاصه در جدول 1 ارائه شده است.
جدول 1: عادات استفاده از گذرواژه
1. بطور میانگین، پاسخگرها برای اتصال به کامپیوترهای مختلف و/یا دستیابی به برنامه های مختلف کامپیوتری در محل کار، دارای 4.1 گذرواژه می باشند. درصورتیکه گذرواژه های استفاده شده در خانه را نیز در نظر بگیریم، این عدد به 9 افزایش می یابد؛
2. هجده درصد پاسخگرها همیشه برای دسترسی به سیستم های مختلف کامپیوتری، برنامه های کاربردی و یا وب سایت ها از یک گذرواژه استفاده می کنند، 50% گاهی اوقات از یک گذرواژه استفاده می کنند و گاهی گذرواژه دیگری بکار می برند، و 31% همیشه از گذرواژه های مختلف استفاده می کنند؛
3. شصت درصد پاسخگرهایی که از بیشتر از یک گذرواژه استفاده می کنند، تفاوتی بین سیستم هایی که نیاز به حفاظت خاص دارند(برای مثال شبکه ی اداری آنها)و سیستم هایی که می توانند گذرواژه ساده و قابل ِ یادآوری برای آن استفاده کنند، بوجود می آورند؛
4. بطور متوسط، پاسخگرهایی که گذرواژه شان را 7 بار در سال عوض می کنند، تقریبا همیشه توسط شعبه ی خود ترغیب می شوند(96%)؛
5-1 پنجاه و شش درصد پاسخگرها از گذرواژه های طولانی استفاده می کنند(بیشتر از 8 کاراکتر)؛
5-2 هفتاد و نه درصد از ترکیبی از حروف کوچک و بزرگ استفاده می کنند؛
5-3 سی و هشت درصد، زمانیکه گذرواژه شان را تغییر می دهند، از کاراکترهای خاص استفاده می کنند(برای مثال #، *، ^)؛
6. 68% پاسخگرها وقتی گذرواژه شان را تغییر می دهند، مجددا از گذرواژه قدیمی شان استفاده می کنند؛
7. پنجاه و شش درصد پاسخگرها گذرواژه های خود را یادداشت می کنند؛
8. هفت درصد پاسخگرها نام کاربری/گذرواژه خود را در فایل الکترونیکی نگهداری می کنند؛
9. هشتاد درصد پاسخگرهایی که گذرواژه شان را در یک فایل الکترونیکی حفظ می کنند، این فایل ها را بوسیله ی کلمه ی عبور دیگری محافظت می کنند یا آنها را رمزنگاری می کنند؛
10. یک درصد پاسخگرها از نرم افزاری برای حفظ سوابق گذرواژه شان استفاده می کنند؛
11. پنج درصد پاسخگرها گذرواژه(ها)شان را با دیگر افراد به اشتراک می گذارند؛
12. سی و هشت درصد پاسخگر ها از گذرواژه ای استفاده می کنند که محافظ صفحه نمایش را محافظت می کند.
13. هفتاد و نه درصد پاسخگرها از قفل صفحه نمایش استفاده می کنند؛
14. سی درصد پاسخگرها همیشه زمانیکه از کامپیوتر خود دور می شوند، از سیستم خارج می شوند(Log Off)؛
15. هشتاد و پنج درصد پاسخگرها همیشه زمانیکه کارشان را در روز تمام می کنند، کامپیوترشان را خاموش می کنند؛
از جدول بالا می توان چنین نتیجه گرفت که تنها 4% پاسخگرها از بهترین شیوه ها در رابطه با کار با گذرواژه استفاده نمی کنند و اینکه 94% دیگر، یکی از شیوه ها یا تعداد بیشتری از آنها را بکار می برند.
نتایج تحلیل آماری نشان می دهد که نوع کاربر (تازه کار، متوسط، پیشرفته یا کاربر متخصص) قویترین عامل مربوط به شمار انحراف ها می باشد. جنسیت، سن، آموزش، موقعیت شغلی، واحد سازمانی که پاسخگر در آن مشغول بکار است و سال های کسب تجربه ی کامپیوتری، از اهمیت کمتری برخوردارند. برای مثال، نتایج تحلیل های ما نشان می دهد که سرپرستان شبکه و کاربران حرفه ای، اندکی بهتر از کاربران عادی در رابطه با تعداد انحراف ها از بهترین شیوه های گذرواژه، عمل می کنند، اما اختلاف ها از لحاظ آماری مهم نیستند.
نتایج تحلیل گروهی نشان می دهد که اقلیتی از پاسخگرها (7%) نسبت به تلاش ها برای حفظ کامپیوترهایشان از صدمه و آسیب بدگمان هستند (برای مثال، آنها با این عبارت مخالف هستند: "من می توانم کامپیوترم را از آسیب (هکرها، دو نسخه نویسی و غیره) حفظ کنم، در صورتیکه نسبت به امنیت آن (تغییر گذرواژه ها بر مبنای قاعده، استفاده از ضد هکرها، پنهان کردن و غیره) احتیاط کنم").
چهارده درصد نمی دانند چه فکری کنند (موافق باشند یا مخالف)، اما اکثریت (77%) معتقدند که این تلاشها تفاوت ایجاد می کند. بطور قابل توجهی، هیچ اختلافی در تعداد انحراف ها از بهترین شیوه ها برای استفاده از گذرواژه وجود ندارد. پاسخگرهای "بدگمان" بطور متوسط 2.6 بار از بهترین شیوه ها منحرف می شوند، "گروهی که نمی دانند" بطور میانگین 2.8 بار، و "معتقدین" بطور متوسط 2.6 بار از بهترین شیوه ها منحرف می شوند.
منبع
ویرایشعنوان انگلیسی مقاله: «Password Authentication from a Human Factors Perspective: Results of a Survey among End-Users»
عنوان فارسی مقاله: تصدیق کلمه عبور از نگاه عاملهای انسانی
منبع: [۱]