عاملهای انسانی در امنیت اطلاعات/چشمانداز بهبود گذرواژههای ضعیف
امروزه کاربران جهت ایجاد گذرواژه اصولاً با معضل مواجه هستند. هر روزه به اهمیت امنیت رمز عبور (گذرواژه) در زندگی مدرن افزوده میشود و تعداد گذرواژههایی که یک فرد مجبور به ایجاد است به طور قابل ملاحظهای افزایش یافتهاست. با افزایش وبگاههای تجاری در اینترنت، بعضی افراد مجبور به مدیریت کردن ۱۵ گذرواژه مختلف هستند. از طرفی کاربران با محدودیتهای پردازشی و به خاطر سپردن این گذرواژهها مواجه هستند، به همین خاطر عموماً گذرواژههایی انتخاب میکنند که امنیت کافی ندارند. مشکل اینجاست که ایجاد گذرواژه مطمئن و امن و در عین حال به یادماندنی کاری دشوار است. بر اساس اعلام SANS (مخفف مدیریت سامانه، حسابرسی، شبکه و امنیت) امنیت گذروازههای ضعیف به عنوان یکی از ۱۰ مورد اول آسیب پذیر ترین مسائل کامپیوتر محسوب میشوند. با وجود اینکه جایگزینهایی مثل شناساییهای زیستی پیشنهاد شدهاست اما مشکلاتی مانند هزینه و پیادهسازی باعث میشود که گذرواژهها در آینده نیز همچنان به عنوان اصلی ترین ابزار شناسایی محسوب شوند.
صنعت امنیت در مقابله با این وضعیت ابزاری را برای تشخیص کلمات ضعیف ایجاد کردهاست؛ ولی کاربران همچنان در ایجاد و بخاطر سپردن کلمات عبور قوی و پیچیده تر مشکل دارند. هرچند به طور کلی کلمات عبور ضعیف به آن دستهای از گذرواژهها گفته میشود که به آسانی با روشهای مخلتف قابل لو رفتن باشد. کلمات عبور قوی به آن دسته از کلمات میگویند که هک کردن آنها بیشتر از تغییر دورهای آنها زمان میبرد. یک گذرواژه قوی میتواند شامل حداقل ۸ کاراکتر، ترکیب حروف کوچک و بزرگ، و کاراکترهای ویژه مثل!) باشد. کارشناسان معتقد هستند که مجزا از میزان قوی بودن گذرواژه، وقتی یک هکر گذرواژه را میدزدد میتواند طی ۴۵ تا ۶۰روز آن را بشکند. بطور کلی طول کلمه عبور (گذرواژه) با پیچیده تر شدن افزایش مییابد. هر چند به نظر میرسد اغلب کلمات عبور ایجاد شده ضعیف باشند. اعداد و حروف نیز به راحتی کرک میشوند و اسامی نظیر اسامی دوستان، حیوانات خانگی نیز قابل حدس هستند. متدهای مختلفی برای کمک به کاربران در ایجاد و بخاطر سپردن کلمات عبور قوی پیشنهاد شدهاست. یکی از آنها استفاده از یک عبارت به عنوان گذرواژه است، عبارتی که هم بیاد آوردنش آسان باشد هم با بتوان آنرا به ترکیبی از حروف و اعداد و علامتها ترجمه کرد بطور مثال عبارت «Easy for you to say» میتواند با استفاده از این روش به عبارت EZ4U2Say ترجمه شود!
در این تحقیق، از ۲۷۳ نفر خواسته شده که گذرواژه تعیین کنند، سپس از آنها پرسیده شد که چطور گذرواژه خود را انتخاب کردهاند گذرواژههای ایجاد شده بر اساس سطح پیچیدگی آنها ارزیابی شد و سپس با استانداردهای مربوط به ایجاد گذرواژههای مطمئن مقایسه گردید پس از آن با استفاده از یک نرمافزار هک Cracker استاندارد اقدامی جهت کرک کردن کلمات عبور ایجاد یا کرک شده صورت گرفت. نتیجهٔ این آزمایش نشان داد که عموماً کلمات عبور ضعیفی ایجادشده بود. در مقابل به بهترین شیوه نمایان بود که کلمات عبور ایجاد شده بسیار به فرد ایجاد کننده آن گذرواژه مربوط بود. محققان بر اساس توضیحات افراد در رابطه با نحوه انتخاب گذرواژه، ۴ روش اصلی ایجاد آنرا استخراج کردند. اولین دسته اقلیت ۳۰ نفره بود که افرادی بود که کلمات عبور تصادفی ایجاد کرده بوند. برای ۳ دسته اصلی بعدی، افراد کلمات عبوری را با تمرکز بر روی اعداد، کلمات و اسامی که به نحوی با خودشان مرتبط است، بوجود آوردند. این طبقهبندیها اغلب شامل طبقهبندیهای اضافی نیز میشوند. مثالهای شامل انواع تاریخ تولدها، شماره تلفنها، القاب، نام حیوانات خانکی، افراد مهم و غیره.
در ۱۴ مورد انگیزه ایجاد کلمات عبور به سختی در طبقهبندی خاصی قرار میگیرد. اما از ۲۵۹ فرد باقی مانده، ۸۸ ٪ از کلمات عبور ایجاد شده به نحوی با زندگی شخصیشان مرتبط بودند. کلمات عبور در ارزیابیهای عادی تصادفی به نظر میرسند ولی در واقع تصادفی نبودند در نتیجه از نظر مهندسی اجتماعی سبب ریسک بیشتری میشوند.
کرک کلمات عبور را میتوان با یکی از این دو روش به دست آورد. روش بروت فورس(Brute Force) که به سادگی تمام ترکیبات ممکن را در مورد عناصر وابسته انجام میدهد. این روش محاسباتی بوده و برای دسترسی هکرهای معمولی است. روش دیگر محدود کردن کرک کردن به محتمل ترین گزینهها است. یعنی اکثراً اعداد و کلمات یک دیکشنری و یا اسامی که به نحوی با کاربر ایجاد کننده گذرواژه مربوط باشد.
اندازهگیری یا سنجش گذرواژه که توسط محققان صورت میگیرد در متمایل ساختن کلمات عبور ضعیف و قوی مفید واقع میشود. کلمات عبوری که کرک میشوند اساساً در رده با پیچیدگی کمتری نسبت به سایرین قرار میگیرند. هنگامی که پیچیدگی گذرواژه بر اساس استاندارد پیشنهادی SANS بررسی شد، نتیجه، رتبه ۱۵ در پیچیدگی گذرواژه بود. هیچکدام از کلمات عبور کرک شده حتی کلمات عبور مبتنی بر اعداد امتیاز بالایی برای پیچیدگی نگرفتند. با آنکه میزان آشنایی از مسائل امنیتی باعث ایجاد کلمات عبور قویتر و پیچیده تری میشد ولی ارتباط آنچنان قوی نیز وجود نداشت. بر اساس تحقیق فرانک و همکاران، نحوه رفتار کاربران با کامپیوتر بر اساس آگاهی آنها از این مسائل متفاوت است هرچند ارتباط معنی دار ولی ضعیف یافت شده در این تحقیق نا امید کننده بود. از انجایی که سازمانها فرصت آموزش کارمندان را دارا میباشند، بررسی در مورد میزان آموزش کارمندان در زمینه مسائل امنیتی کلمات عبور میتواند تحقیق جالبی باشد.
منبع
ویرایشپیوند به مقاله: دریافت مقاله اصلی