عاملهای انسانی در امنیت اطلاعات/رمز عبورهای گرافیکی: فراگیری از نسل اول
|
|
امروزه رمزعبورهای گرافیکی به عنوان جایگزینی برای کلمههای عبور معمولی مطرح شدهاند. در اینجا قابلیت استفاده از رمزعبورهای گرافیکی و همچنین امنیت آنها مورد بررسی قرار گرفته است.
در بعضی مواقع به یاد آوردن کلمههای عبور توسط کاربران مشکل است و همچنین از نظر امنیتی قابل پیش بینی میباشند. در مواردی نیز کاربران از کلمههای عبور مشابه برای سایتهای مختلف استفاده میکنند که از نظر امنیتی ممکن است با مشکل روبرو شوند.
در اینجا سه روش مورد بررسی قرار گرفته است :
۱. رمزعبور که بصورت کامل توسط کاربر فراخوانی شود.
۲. رمزعبور که از بین چند مورد تشخیص داده شود.
۳. رمزعبور که به صورت اشاره به نقطه مشخصی از یک تصویر به سیستم داده شود.
انسانها معمولا تصاویر را بهتر از یک عبارت به صورت حروف نوشته شده و یا بیان شده به یاد میآورند و این از نظر روانشناسی تایید شده است. از طرفی امنیت نیز بسیار مهم میباشد. رمزعبورهای گرافیکی کمتر از رمزعبورهای متنی قابل پیش بینی توسط افراد دیگر میباشند. البته موارد استفاده از انواع مختلف رمزعبور بسته به محیطی که کاربر کار میکند متفاوت میباشد.
در نوع اول فراخوانی رمزعبور توسط کاربر مشکل میباشد زیرا هیچگونه راهنماییای به کاربر جهت بهیادآوری رمزعبور صورت نمیگیرد. به همین خاطر در مواردی نیز کاربران از رمزعبورهای تکراری استفاده میکنند و یا از نام سایت مورد نظر در رمزعبور خود استفاده میکنند که قابل پیشبینی توسط افراد دیگر میباشد. در این مورد روشهای مختلفی وجود دارد مثلا با استفاده از زمینه مشکی میتوان شکل کشیده شده را پیچیدهتر کرد تا افرادی که در محیط هستند نتوانند به راحتی به رمزعبور دست یابند. همچنین میتوان از شکل و یا تصویر به عنوان زمینه استفاده کرد.
سیستم جهت تشخیص رمزعبور از روشهایی مانند جهت رسم شکل و یا نوع رنگ قلم استفاده شده و یا تعداد خطوط رسم شده میتواند استفاده کند. در این مورد کاربران نیز باید آموزش ببینند. همچنین میتوان از یک صفحه کوچک شامل ارقام و حروف استفاده کرد که کاربر با کلیک روی آنها رمزعبور خود را وارد کند که از نظر امنیتی مناسبتر است و جهت استفاده در محیطهای شلوغ کارآمدتر است.
در سیستمهای مبتنی بر تشخیص کاربر درهنگام ساخت رمزعبور تعدادی تصویر را به خاطر سپرده و در هنگام وارد کردن باید همان تصاویر را دوباره انتخاب نماید. در مواردی ممکن است از تصاویر موجود در پروفایل کاربر استفاده شود. در این روش افرادی که در مجاور کاربر حضور دارند میتوانند تصاویر را به خاطر بسپارند و ازنظر امنیتی مناسبتر از حروف نمیباشند. اما ازنظر سرقتهای فیشینگ بهتر از استفاده از حروف میباشند. چون پس از اینکه کاربر تصاویر را انتخاب کرد آنگاه حروف رمزعبور مورد نظر خود را وارد میکند. علاوه بر این افرادی که در اطراف کاربر حاضر هستند با یکبار نگاه کردن نمیتوانند همه عکسها را ببینند و لازم است چندین بار هنگام ورود کاربر در کنار او باشند تا بتوانند کلیه تصاویر را شناسایی نمایند.
درمواردی که سیستم از تصاویر کاربر استفاده میکند لازم است که این تصاویر را در محلی دیگر در سیستم ذخیره نماید که این امر در زمینه امنیت اطلاعات کاربران ممکن است مشکلساز شود و همچنین اگر کسی به این قسمت از اطلاعات سیستم وارد شود میتواند به کلیه تصاویر افراد دست یابد.
با بررسیهای بیشتر مشخص شده که در هنگامی که انتخاب تصاویر از طریق صفحه کلید کامپیوتر صورت میگیرد امنیت بیشتر از زمانی است که انتخاب توسط موس انجام میپذیرد.
درنمونهای مشابه ازکاربر خواسته میشود تا هنگام ساخت رمزعبور تصاویری را به ترتیب انتخاب کند و هرگاه که کاربر خواست وارد شود دوباره باید تصاویر را به همان ترتیب انتخاب نماید. همچنین این عکسها میتوانند متحرک باشند و کاربر باید تصاویر مورد نظر خود را انتخاب نماید.
در نمونه فراخوانی اشارت کاربر باید به یک نقطه مشخص از یک تصویر اشاره کند و روی آن کلیک نماید. در این روش کاربر بهتر به خاطر می آورد و کمتر امکان فراموشی یا اشتباه وجود دارد. در این مورد تشخیص رمزعبور توسط افراد دیگر به سختی امکان پذیر است. جهت بالا بردن امنیت در مواردی تصویر را به صورت کم رنگ نشان میدهند و کاربر میتواند با حرکت دادن موس روی تصویر مکانهایی را که خوب مشخص نیست بصورت واضحتر ببیند و به اینصورت امکان دیدن تصویر به صورت واضح توسط افراد مجاور به حداقل میرسد.
در این موردنیز انتخاب مکانهای موردنظر توسط صفحه کلید کامپیوتر به جای استفاده از موس باعث افزایش امنیت خواهد شد. در این مورد اینکه اگر کسی به اطلاعات سیستم دسترسی یابد آیا میتواند به رمز عبور کاربران دست یابد یا نه قابل بررسی بیشتر میباشد. این روش همراه با استفاده از رمز عبور با استفاده از حروف میتواند مناسب باشد.
کاربرانی که از سیستم استفاده میکنند بسیار مهم میباشند. میزان اطلاعات آنها و میزان آموزشی که برای آنها درنظر گرفته شده است. آیا این افراد بصورت همیشگی از آن استفاده میکنند و همواره این رمزعبور تکرار میشود و یا اینکه به ندرت از این رمزعبور استفاده میکنند. آیا این کاربران میتوانند در برابر افراد مجاور خود از رمزعبور خود محافظت کنند و یا نه. درواقع کاربران نقش تعیین کننده ای در تامین امنیت اطلاعات خود دارند.
ورود آسان و زمان لازم برای ساخت رمزعبور از موارد مهم میباشد. تشخیص رمزعبور وارد شده توسط کاربر و زمان لازم جهت ورود نیز ازمواردی است که در این روش باید به آن توجه داشت.
هیچ روشی نیست که برای کلیه کاربردها مناسب باشد. در واقع در بعضی موارد نیاز به امنیت بالا داریم و در این موارد باید حداکثر امکانات استفاده شود تا امنیت رمزعبور حاصل شود و زمانگیر بودن این ورود زیاد مهم نمیباشد مانند بانکها اما در مواردی که امنیت زیاد مهم نیست و کاربران اطلاعات معمولی را ذخیره میکنند و همواره میخواهند از رمزعبور خود استفاده کنند و زمان برای آنها مهم است میتوان از روشهای ساده تر استفاده نمود. البته در مواردی که کاربران در محیطهای شلوغ کار میکنند نیاز به آن است که در حفظ رمز عبور آنها تلاش بیشتری نمود و همچنین آموزشهای بیشتری به آنان داد.
از جمله موارد مورد تهدید رمز عبورها حدس افراد میتواند باشد یعنی باید رمزعبور به گونهای انتخاب شود که افراد دیگر نتوانند آن را حدس بزنند. دربعضی موارد افراد در اینترنت جستجو میکنند و اطلاعات کاربر را یافته و با استفاده از این اطلاعات حدسهایی را در مورد رمزعبور کاربران میزنند.
استفاده از این روشها باید همراه با آموزش کاربران باشد. طبق بررسیهای انجام شده آموزش کاربران نقش مهمی در استفاده مناسب از رمز عبور داشته وامنیت اطلاعات آنها را به طور چشمگیری افزایش میدهد.
در استفاده از رمز عبورهای گرافیکی در زمانی که امنیت بالا برده شده است قابلیت استفاده پایین آمده است و استفاده از آن به خاطر مشکلاتی که ایجاد میکند کمتر شده است. ازجمله این مشکلات بالا رفتن زمان ورود و همچنین زمان ساخت رمز عبور و یا تغییرآن و همچنین پیچیدهتر شدن وارد کردن رمز عبور و به یاد آوردن آن از جمله مشکلات میباشد. ازطرف دیگر با کاهش امنیت و ساده تر شدن رمز عبورها و روش وارد شدن قابلیت استفاده بیشتر میشود و استفاده از آن راحت تر میشود.
با استفاده از آموزش مناسب به کاربران شاید بتوان امنیت بالا همراه با استفاده مناسب از این روش را داشت. البته برای بهبود روشهای رمز عبور گذاری گرافیکی هنوز کارهای زیادی باید انجام گیرد.