عامل‌های انسانی در امنیت اطلاعات/رهیافت محاوره انسان - کامپیوتر به عنوان روشی قابل استفاده و موثر در افزایش امنیت


تحقیقات انجام شده در بحث امنیت ، اخیرا تشخیص داده که رفتار کاربر نقش اصلی را در بسیاری از نقص های امنیتی بازی می کند و در زنجیره امنیتی ، کاربر به عنوان ضعیفترین لینک شناخته شده است . طراحان امنیتی باید علل نامطلوب رفتار کاربر را شناسایی کنند و این موارد را برای طراحی سیستم های امنیت موثر هدایت کنند . همچنین عدم تشخیص ویژگی های حافظه انسان ، عدم مراقبت یا تداخلات فعالیت ها و فقدان پشتیبانی ، آموزش و تشویق باعث رفتارهای نامطلوب کاربران با رمزها می شود. با رشد وسیع سیستم ها و تجارت الکترونیک ، تقاضا برای امنیت کامپیوتری موثر و کافی افزایش یافته است . مشکلات امنیتی گزارش شده طی چند سال گذشته نشان می دهد که سازمان ها آسیب پذیرتر از بقیه هستند . نقش انسان در امنیت کامپیوتر به طورمداوم نادیده گرفته شده ، سازمان ها میلیون ها دلار جهت فایروال ، رمزنگاری و دستگاههای دسترسی ایمن صرف می کنند اما هیچکدام از این معیار ها ، ضعیفترین لینک در چرخه امنیتی (انسان) را هدایت نمی کنند.


مثال هایی از نقض کردن قوانین پسوردها توسط کاربران:

  • کمین کردن

کاربری که پسوردش منقضی شده و باید فورا آن را تغییر دهد یا حق دسترسی اش به سیستم مسدود می شود ، احساس دستپاچگی می کند و در آخر نام همسرش را انتخاب می کند . این موضوع توسط همکاری که می خواهد به فایل های او دسترسی پیدا کند ، به راحتی کشف خواهد شد .

  • اهداف متضاد

طراح هواپیما که نیاز به دسترسی به ۶ سیستم متفاوت را دارد و طبق سیاست شرکت باید برای هرکدام پسورد متفاوتی داشته باشد . در صورتی که یکی از پسوردهایش را فراموش کند ، نمی تواند کارش را در زمان مقرر به اتمام برساند و از سوی مدیرش سرزنش خواهد شد پس پسوردهای جدیدش را در یادداشتی زیر پد موسش نگهداری می کند .

  • کشف درخواست ها

هکرها با کارمندان تماس می گیرند و خود را پشتیبان IT معرفی می کنند و آنها را جهت به روزرسانی برنامه هایشان درخواست می کند. برای کاربران مشکل است که بفهمند در چه شرایطی آشکار کردن پسورد مطمئن و چه زمانی نامطمئن است.


دانش HCI (محاوره بین کامپیوتر و انسان ) جهت هدایت موارد زیر به کار برده می شود :
• تکنولوژی
• کاربر
• هدف و وظیفه
• شرایط


تکنولوژی :
۵راه جهت تصدیق هویت کاربران وجود دارد . اکثر مکانیزم های امنیتی از یک رویه ۲ مرحله ای که در آن شناسایی و تصدیق هویت به صورت ترکیبی وجود دارد ، استفاده می کنند . مثلا در کارت های بانکی شناسایی (بر پایه توکن ) ترکیب شده با PIN (تصدیق هویت بر پایه دانش) رایج ترین مکانیزم ترکیب شناسه کاربردی و پسورد است . برای ورود ، کاربر این دو را وارد می کند و سیستم آن را با مقدار ذخیره شده بررسی می کند . پسوردها باید دشوار باشند مثلا ترکیبات ساختگی – تصادفی از حروف ، اعداد و کراکترها ، کاربران باید پسورد متفاوتی برای هر سیستم داشته باشند . پسوردها باید در بازه های زمانی معین تغییر داده شوند. طیف متغیر و زیادی از شناسه های کاربری و پسورد برای سیستم های متفاوت وجود دارد که در نتیجه یک درخواست حجیم و بزرگ روی حافظه کاربر است . کاربران نه تنها مجبورند پسوردها را به یاد بسپارند بلکه سیستم و شناسه کاربری آن را هم باید در نظر گیرند و محدودیت های هر سیستم ، زمان و چگونگی تغییر پسوردها را هم باید باید حفظ کنند که این حجم اطلاعاتی بالا مغایر با حافظه کاربران است.
یک راه حل تکنیکی جهت کاهش تعداد پسوردها سیستم login با امضای واحد (SSO) است.


کاربر :
خصوصیات حافظه کاربر و مهمتر از همه حافظه او ، نقطه اصلی در طراحی پسورد است . ظرفیت حافظه در حال کار محدود است و همچنین حافظه طی زمان ها تنزل پیدا می کند . همچنین تشخیص و شناسایی موارد روزمره و آشنا ساده تر است یا مواردی که کاربرد بیشتری دارند آسان تر به یاد آورده می شوند.


سایر مسائلی که در سورفتارهای کاربران تاثیر دارد :
- موضوعات شخصی : مردمی که رفتارهای پسوردی خوبی ارائه می دهند اغلب به عنوان شخصی که به هیچ کس اعتماد ندارد ، شرح داده می شوند.
- موضوعات اجتماعی : به اشتراک گذاشتن پسورد به عنوان نشانه ای از اعتماد به همکاران تلقی می شود
- هیچکس من را هدف نمی گیرد : کاربر فکر می کند داده های ذخیره شده روی سیستم اش آن قدر مهم نیست که هدف هکرها قرار گیرد و آنها اشخاص معروف یا پولدار را مورد حمله قرار می دهند.
- آنها نمی توانند خیلی آسیب بزنند
- روال های کاری غیررسمی : مکانیزم های پسورد فعلی و قوانین اغلب با روال های رسمی و غیررسمی تصادم دارند . مثلا اگر بیمار شوید و نتوانید سر کار بروید ، برخی از اعضای گروهتان باید بتوانند با اکانت شما دسترسی داشته باشند و کار مشتریان شما را انجام دهند .


نتیجه گیری
مکانیزم های مختلفی برای امنیت پسوردها باید در نظر گرفته شود که کاربران را ملزم به رفتارهای صحیح با پسوردهایشان کند . از جمله این مکانیزم ها استفاده از سیستم های بیومتریک است . این سیستم ها ممکن است برای برخی از کاربران مناسب باشد اما برای همه آنها نه . پیش بینی می شود که تصدیق هویت بر پایه دانش که در آینده استفاده خواهد شد ، مناسب تر از روش های امروزی خواهد بود .


Transforming the weakest link – a human/computer interaction approach to usable and effective security / M A Sasse , S Brostoff , D Weirich / BT Technol J Vol 19 No 3 July 2001


منابع

ویرایش

دریافت مقاله اصلی