عاملهای انسانی در امنیت اطلاعات/چشم انداز توسعه در مورد کلمات عبور ضعیف و رمز امنیتی
امروزه کاربران جهت ایجاد کلمه عبور اصولا با معضل مواجه هستند زیرا امنیت کلمه عبور به یک بخش حیاتی در زندگی مدرن تبدیل شدهاست و تعداد کلمه عبورهایی که یک فرد مجبور به ایجاد است بطور قابل ملاحظهای افزایش یافتهاست. با افزایش وب سایتهای تجاری در اینترنت، بعضی افراد مجبور به مدیریت کردن ۱۵ کلمه عبور مختلف هستند.
از طرفی کاربران با محدودیتهای پردازشی و بخاطر سپردن این کلمات عبور مواجه هستند، به همین خاطر عموما کلمات عبوری که امنیت کافی را ندارد. مشکل اینجاست که ایجاد کلمات عبور مطمئن و امن و در عین حال به یادماندنی کاری دشوار است. بر اساس اعلام SANSامنیت کلمات عبور ضعیف به عنوان یکی از ۱۰ مورد اول آسیب پذیر ترین مسائل کامپیوتر محسوب میشوند. با وجود اینکه جایگزینهایی مثل شناساییهای زیستی پیشنهاد شدهاست اما مشکلاتی مانند هزینه و پیاده سازی باعث میشود که کلمات عبور در آینده نیز همچنان به عنوان اصلی ترین ابزار شناسایی محسوب شوند.
صنعت امنیت در مقابله با این وضعیت ابزاری را برای تشخیص کلمات ضعیف ایجاد کردهاست. ولی کاربران همچنان در ایجاد و بخاطر سپردن کلمات عبور قوی و پیچیده تر مشکل دارند. هرچند به طور کلی کلمات عبور ضعیف به آن دستهای از کلمه عبور گفته میشود که به آسانی با روشهای مخلتف قابل لو رفتن باشد. کلمات عبور قوی به آن دسته از کلمات میگویند که هک کردن آنها بیشتر از تغییر دورهای آنها زمان میبرد. یک کلمه عبور قوی میتواند شامل حداقل ۸ کاراکتر، ترکیب حروف کوچک و بزرگ، و کاراکترهای ویژه مثل!) باشد. کارشناسان معتقد هستند که مجزا از میزان قوی بودن کلمه عبور، وقتی یک هکر کلمه عبور را میدزدد میتواند طی ۴۵ تا ۶۰روز آن را بشکند. بطور کلی طول کلمه عبور با پیچیده تر شدن افزایش مییابد. هر چند به نظر میرسد اغلب کلمات عبور ایجاد شده ضعیف باشند. اعداد و حروف نیز به راحتی کرک میشوند و اسامی نظیر اسامی دوستان، حیوانات خانگی نیز قابل حدس هستند. متدهای مختلفی برای کمک به کاربران در ایجاد و بخاطر سپردن کلمات عبور قوی پیشنهاد شدهاست. یکی از آنها استفاده از یک عبارت به عنوان کلمه عبور است، عبارتی که هم بیاد آوردنش آسان باشد هم با بتوان آنرا به ترکیبی از حروف و اعداد و علامتها ترجمه کرد بطور مثال عبارت «Easy for you to say» میتواند با استفاده از این روش به عبارت EZ4U2Say ترجمه شود!
در این تحقیق، از ۲۷۳ نفر خواسته شده که کلمه عبور تعیین کنند، سپس از آنها پرسیده شد که چطور کلمه عبور خود را انتخاب کردهاند کلمه عبورهای ایجاد شده بر اساس سطح پیچیدگی آنها ارزیابی شد و سپس با استانداردهای مربوط به ایجاد کلمه عبورهای مطمئن مقایسه گردید پس از آن با استفاده از یک نرم افزار هک Cracker استاندارد اقدامی جهت کرک کردن کلمات عبور ایجاد یا کرک شده صورت گرفت. نتیجهٔ این آزمایش نشان داد که عموما کلمات عبور ضعیفی ایجادشده بود. در مقابل به بهترین شیوه نمایان بود که کلمات عبور ایجاد شده بسیار به فرد ایجاد کننده آن کلمه عبور مربوط بود. محققان بر اساس توضیحات افراد در رابطه با نحوه انتخاب کلمه عبور، ۴ روش اصلی ایجاد آنرا استخراج کردند. اولین دسته اقلیت ۳۰ نفره بود که افرادی بود که کلمات عبور تصادفی ایجاد کرده بوند. برای ۳ دسته اصلی بعدی، افراد کلمات عبوری را با تمرکز بر روی اعداد، کلمات و اسامی که به نحوی با خودشان مرتبط است، بوجود آوردند. این طبقه بندیها اغلب شامل طبقه بندیهای اضافی نیز میشوند. مثالهای شامل انواع تاریخ تولدها، شماره تلفنها، القاب، نام حیوانات خانکی، افراد مهم و غیره.
در ۱۴ مورد انگیزه ایجاد کلمات عبور به سختی در طبقه بندی خاصی قرار میگیرد. اما از ۲۵۹ فرد باقی مانده، ۸۸ ٪ از کلمات عبور ایجاد شده به نحوی با زندگی شخصیشان مرتبط بودند. کلمات عبور در ارزیابیهای عادی تصادفی به نظر میرسند ولی در واقع تصادفی نبودند در نتیجه از نظر مهندسی اجتماعی سبب ریسک بیشتری میشوند.
کرک کلمات عبور را میتوان با یکی از این دو روش به دست آورد. روش بروت فورس(Brute Force) که به سادگی تمام ترکیبات ممکن را در مورد عناصر وابسته انجام میدهد. این روش محاسباتی بوده و برای دسترسی هکرهای معمولی است. روش دیگر محدود کردن کرک کردن به محتمل ترین گزینهها است. یعنی اکثرا اعداد و کلمات یک دیکشنری و یا اسامی که به نحوی با کاربر ایجاد کننده کلمه عبور مربوط باشد.
اندازه گیری یا سنجش کلمه عبور که توسط محققان صورت میگیرد در متمایل ساختن کلمات عبور ضعیف و قوی مفید واقع میشود. کلمات عبوری که کرک میشوند اساسا در رده با پیچیدگی کمتری نسبت به سایرین قرار میگیرند. هنگامی که پیچیدگی کلمه عبور بر اساس استاندارد پیشنهادی SANS بررسی شد، نتیجه، رتبه ۱۵ در پیچیدگی کلمه عبور بود. هیچ کدام از کلمات عبور کرک شده حتی کلمات عبور مبتنی بر اعداد امتیاز بالایی برای پیچیدگی نگرفتند. با آنکه میزان آشنایی از مسائل امنیتی باعث ایجاد کلمات عبور قویتر و پیچیده تری میشد ولی ارتباط آنچنان قوی نیز وجود نداشت. بر اساس تحقیق فرانک و همکاران، نحوه رفتار کاربران با کامپیوتر بر اساس آگاهی آنها از این مسائل متفاوت است هرچند ارتباط معنی دار ولی ضعیف یافت شده در این تحقیق نا امید کننده بود. از انجایی که سازمانها فرصت آموزش کارمندان را دارا میباشند، بررسی در مورد میزان آموزش کارمندان در زمینه مسائل امنیتی کلمات عبور میتواند تحقیق جالبی باشد.
منبع ویرایش
پیوند به مقاله: دریافت مقاله اصلی