عامل‌های انسانی در امنیت اطلاعات/عامل‌های انسانی سیستم‌های امنیتی

عامل انساني اغلب به عنوان ضعيف ترين قسمت يك سيستم امنيتي شناخته مي شود و كاربران اغلب به عنوان ضعيف ترين پيوند درون یک زنجيره امنيتي شناخته مي شود. در اين مقاله تعدادي مطلب در زمينه عوامل انساني سيستم هاي امنيتي را بازبيني و به آن اشاره مي كنم، بيشتر از ایرادگیری از كاربران، ما بايد وظايف و تقاضاهای آن‌ها را از سيستم‌هاي امنيتي بدانيم (Adams & Sasse ). با استفاده از روش "دليل ريشه اي" به نظر مي رسد كه رفتار هاي كاربر مي تواند فهميده شود و باعث به دست آمدن راه حل هايي براي مشكلات امنيتي شود كه توسط رفتار انسان به وجود آمده است. تمركز اين مقاله روي سيستم هاي مبتنی بر دسترسي به گذرواژه است، اما همچنين من زیرساختار كليد عمومي (PKI) و نقش كاربران رایانه در مشكلات امنيتي را نیز بررسی مي كنم.

تمامی روش های دسترسی های امنیتی بر اساس سه قطعه بنیادین اطلاعات بنا شده است: چه کسی هستی؟ چه چیزی داری؟ چه چیزی می دانی؟ (Brostoff و Sasse ، 2000) اگر کاربربتواند برخی یا همه این ارائه حیطه ها را اثبات کند، در سیستم پذیرفته می شود. اکثر روش های ورود به سایت نیاز دارند که کاربران به ارائه اطلاعات در دو تا از این مناطق احراز هویت، و گزینه های مختلف برای اطلاعات مورد نیاز اقدام نمایند. برای اثبات آنها ، کاربران می توانند نام خود، آدرس ایمیل، و یا یک ID کاربری (نام کاربری) فراهم کنند. از آنجایی که این اطلاعات اطمینان از هویت را فراهم نمی کند، برخی از اپراتورهای سیستم، شروع به استفاده از بیومتریک (مانند اثر انگشت، تشخیص صدا ، اسکن عنبیه ، یا اسکن شبکیه) به عنوان روش شناسایی کاربر کرده‌اند. برای اثبات آنچه را که آنها دارند، کاربران می توانند کارت خدمات (به عنوان مثال ، کارت های ATM) ، کلید فیزیکی ، گواهینامه های دیجیتال ، کارت های هوشمند ، و یا تولید یک بار کارت ورود به سیستم مانند کارت SecurID ( http://www.rsasecurity.com/products/securid/ .) برای اثبات آنچه که می دانند ، کاربران می توانند یک کلمه عبور یا گذر عبارت و یا شماره شناسایی شخصی (PIN) را ارائه می کنند. این اطلاعات اساسا یک راز است که بین کاربر و سیستم به اشتراک گذاشته می‌شود. روش علمی که به تازگی کاوش شده است استفاده از حافظه تشخیصی است. به عنوان مثال، سیستم Passfaces از مردم می‌خواهد چهره انتخاب شده را از ماتریسی از تصاویر تصادفی تشخیص بدهند (در ادامه ببینید).

رایج ترین روش ورود به سیستم برای کاربر جهت تهیه شناسه کاربری و رمز عبور مخفی به اشتراک گذاشته است که انتخاب کرده اند، است. کاربران به عنوان لینک ضعیف ترین در سیستم های امنیتی شده اند ، به دلیل رفتار خود آنها زمانی که از شناسه کاربری / رمز عبور سیستم استفاده می کنند. . مطالعات بسیاری نشان داده اند ، به عنوان مثال ، آن کاربران تمایل به انتخاب کلمات عبور کوتاه و یا قابل حدسی دارند. (آدامز Sasse ، 1999) این باعث می شود سیستم های امنیتی کاملا آسیب پذیر برای جلوگیری از حملات ، که در آن کلمه عبور عمومی ویا کلمات موجود در فرهنگ لغت امتحان شده اند تا زمانی که رمز عبور شکسته شده است. در سال 1998 ، به عنوان مثال ، CERT گزارش پیدا کردن کش از 186126 مدخل حساب با کلمه عبور رمزگذاری شده از انواع سیستم های دزدیده شده ، و قادر به حدس زدن 47642 نفر (26 ٪) از کلمه عبور با کلمه عبور کراکینگ ابزار مزاحم شده بود .( http://www.cert.org/incident_notes/IN-98.03.html)

روش‌هاي یکسان برای سیستم های امنیتی مورد نیاز است به جای اینکه علت اصلی امنیت مشکلات، کاربران اغلب وارث نقص های سیستم، طراحی ضعیف، نصب نادرست، عامل هاي معیوب، و مدیریت بد هستند. (Brostoff و Sasse ، 2001). يك تجزیه و تحلیل دقیق از ویژگی های سیستم های امنیتی از ديدگاه عوامل انسانی می تواند برای بهبود اثربخشی سیستم مفید باشد.

یکی از تقاضای قابل توجه قرار داده شده بر روی کاربران سیستم های امنیتی نیاز به بیاد داشتن کلمات عبور متعدد است. اغلب کاربران با به خاطر سپردن ده ها کلمه عبور یا پین مواجه هستند ، اما حافظه انسان کوتاه است و به راحتی اشتباه مي شود . مطالعه اخیر کارگران مخابرات بریتانیا نشان داد که به طور متوسط از 16 کلمه عبور برای کارگران برای انجام شغل خود (Sasse ، Brostoff ، و Weirich ، 2001) لازم بوده است. حافظه انسان همچنین برای محتويات معنی دار ارائه شده، بهینه سازی شده است ، در حالی که شناسه کاربر و کلمه عبور اغلب نامربوط و بی معنی هستند.. بدیهی است ، این استرس شناختی زياد موظف است منجر به مشکلات بشود .

دیگر مشکل مرتبط با عوامل انساني محتواي کلمات عبور است. کاربران قرار است کلمه عبور را که نمی توان حدس زد ایجاد كنند. با این حال ، سیستم های حافظه ما هستند به ویژه در به خاطر سپردن محتوای بی معنی ضعیف است. علاوه بر این ، کاربران گاهی اوقات مجبور به تغییر کلمه عبور خود را اغلب و به سرعت هستند، معمولا گفته می شود که رمز عبور شان منقضي شده است و آنها باید آن را "اکنون" تغییر دهند . این فشار براي انتخاب رمزهای عبور به سرعت به اين معنی است که کاربران ممکن است در ذخیره کلمه عبور جدید در خاطر خود شکست بخورند.

همچنین ممکن است مشکلات مربوط به برداشت های اجتماعی و نگرش سازمان نسبت به امنیت وجود داشته باشد. برای مثال ، برخی از مطالعات نشان داده اند که افراد آگاه امنیتی ممکن است به عنوان پارانویا یا غيرقابل اعتماد مشاهده بشوند. بدیهی است این امر ممکن است تمایل کاربران را به مطابقت با نیازمندی های امنیتی جدی کاهش بدهد.

همچنین هر کاربر خاصی ممکن است احساس كنند که به حملات امنیتی آسیب پذیر نيست. کاربران ممکن است احساس کنند که آن‌ها ناچیز هستند و مهاجم آنها را هدف قرار نمي دهد. آن‌ها همچنین ممکن است که احساس كنند هیچ کس چیزی در مورد آنها نمی داند و رمزهای عبور آنها می تواند چیزی آشنا، مانند نام فرزند خود باشد.

راه حل برای مسائل امنیتی ناشی از رفتار کاربران وجود دارد، اما آنها معمولا استفاده نمی شود. (آدامز و Sasse ، سال 1999 ، برای بررسی عالی) برای جلوگیری از مشکلات حافظه ناشی از شناسه هاي منحصر به فرد متعدد، سازمان ها می توانند براي هر کاربر ورود به سیستم شناسه واحدي برای استفاده در تمامی سیستم های صادر كنند. برای کاهش این مشکل به خاطر سپردن کلمات عبور متعدد، سازمان می تواند کلمه عبور همزمان در سراسر سیستم را پشتیبانی می کند. ممکن است برخی از بی میلی ها به انجام این کار به این معنی که اگر یک سیستم به خطر بیافتد تمام سیستم ها به خطر می افتد. با اين حال، مدیران ممکن است مجبور به انتخاب بین یک رمز عبور قوی استفاده شده در سیستم های مختلف، و یا بسیاری از کلمه های عبور ضعیف و یا کلمه عبور که در جایی نوشته شده باشند . داشتن یک رمز عبور مشترک در واقع ممکن است به یک سیستم امن تر منجر شود.

یک راه حل مربوط ،يك بار –ورود به سیستم است که در آن کاربران یک بار درخواست ورود ميكند و پس از تصدیق آن به آنها اجازه دسترسی به سیستم های مختلف داده مي شود.

اپراتورهای سیستم همچنین باید در مورد اجبار تغییر رمز عبور مراقب باشند. تعداد تغییرات باید به حداقل نگه داشته شود و کاربران باید در مورد تغییرات آینده به طوری که رمز عبور خود را طوري انتخاب كنند كه به خوبی فکر شده است. این به شما این امکان را می دهد که کاربران برای انتخاب کلمه عبور قدرتمند و به آنها زمان لازم براي تمرین و رمزگذاری کلمات عبور را مي دهد به طوری که بعدا به یاد بياورند.

کاربران سیستمهاي گذرواژه‌دار برای بسیاری از رفتارهای بد بدنام است، مثل انتخاب کلمات عبور به راحتی قابل حدس زدن، فراموش کردن کلمه عبور خود ، نوشتن يا گفتن آنها به دوستان و غریبه ها. اغلب دلایل معتبر برای این رفتارها وجود دارد، با این حال يك بررسی دقیق از خواسته های بر روی کاربران قرار گرفته شده و محدودیت های عملکرد انسان می تواند برخی از اعمال ناخواسته را توضیح دهد. خصوصیات سیستم و ماهیت محیط کار برای تعیین اينكه چگونه امنیت سیستم ها استفاده می شود و مورد آزار قرار گرفته است نیز مهم هستند. با استفاده از روش «علت ریشه»، توسعه دهندگان سیستم و اپراتورها حرکتی فراتر از سرزنش کاربران خواهند داشت به سمت توسعه سیستم های امنیتی که کاربران در واقع بتوانند استفاده کنند داشته باشند.

دریافت منبع