عامل‌های انسانی در امنیت اطلاعات/چشم انداز توسعه در مورد کلمات عبور ضعیف و رمز امنیتی

امروزه کاربران جهت ایجاد کلمه عبور اصولا با معضل مواجه هستند زیرا امنیت کلمه عبور به یک بخش حیاتی در زندگی مدرن تبدیل شده‌است و تعداد کلمه عبور‌هایی که یک فرد مجبور به ایجاد است بطور قابل ملاحظه‌ای افزایش یافته‌است. با افزایش وب سایت‌های تجاری در اینترنت، بعضی افراد مجبور به مدیریت کردن ۱۵ کلمه عبور مختلف هستند.

از طرفی کاربران با محدودیت‌های پردازشی و بخاطر سپردن این کلمات عبور مواجه هستند، به همین خاطر عموما کلمات عبوری که امنیت کافی را ندارد. مشکل اینجاست که ایجاد کلمات عبور مطمئن و امن و در عین حال به یادماندنی کاری دشوار است. بر اساس اعلام SANSامنیت کلمات عبور ضعیف به عنوان یکی از ۱۰ مورد اول آسیب پذیر ترین مسائل کامپیوتر محسوب می‌شوند. با وجود اینکه جایگزین‌هایی مثل شناسایی‌های زیستی پیشنهاد شده‌است اما مشکلاتی مانند هزینه و پیاده سازی باعث می‌شود که کلمات عبور در آینده نیز همچنان به عنوان اصلی ترین ابزار شناسایی محسوب شوند.

صنعت امنیت در مقابله با این وضعیت ابزاری را برای تشخیص کلمات ضعیف ایجاد کرده‌است. ولی کاربران همچنان در ایجاد و بخاطر سپردن کلمات عبور قوی و پیچیده تر مشکل دارند. هرچند به طور کلی کلمات عبور ضعیف به آن دسته‌ای از کلمه عبور گفته می‌شود که به آسانی با روش‌های مخلتف قابل لو رفتن باشد. کلمات عبور قوی به آن دسته از کلمات می‌گویند که هک کردن آنها بیشتر از تغییر دوره‌ای آنها زمان می‌برد. یک کلمه عبور قوی می‌تواند شامل حداقل ۸ کاراکتر، ترکیب حروف کوچک و بزرگ، و کاراکتر‌های ویژه مثل!) باشد. کارشناسان معتقد هستند که مجزا از میزان قوی بودن کلمه عبور، وقتی یک هکر کلمه عبور را می‌دزدد می‌تواند طی ۴۵ تا ۶۰روز آن را بشکند. بطور کلی طول کلمه عبور با پیچیده تر شدن افزایش می‌یابد. هر چند به نظر می‌رسد اغلب کلمات عبور ایجاد شده ضعیف باشند. اعداد و حروف نیز به راحتی کرک می‌شوند و اسامی نظیر اسامی دوستان، حیوانات خانگی نیز قابل حدس هستند. متد‌های مختلفی برای کمک به کاربران در ایجاد و بخاطر سپردن کلمات عبور قوی پیشنهاد شده‌است. یکی از آنها استفاده از یک عبارت به عنوان کلمه عبور است، عبارتی که هم بیاد آوردنش آسان باشد هم با بتوان آنرا به ترکیبی از حروف و اعداد و علامت‌ها ترجمه کرد بطور مثال عبارت «Easy for you to say» می‌تواند با استفاده از این روش به عبارت EZ4U2Say ترجمه شود!

در این تحقیق، از ۲۷۳ نفر خواسته شده که کلمه عبور تعیین کنند، سپس از آنها پرسیده شد که چطور کلمه عبور خود را انتخاب کرده‌اند کلمه عبور‌های ایجاد شده بر اساس سطح پیچیدگی آنها ارزیابی شد و سپس با استاندارد‌های مربوط به ایجاد کلمه عبور‌های مطمئن مقایسه گردید پس از آن با استفاده از یک نرم افزار هک Cracker استاندارد اقدامی جهت کرک کردن کلمات عبور ایجاد یا کرک شده صورت گرفت. نتیجهٔ این آزمایش نشان داد که عموما کلمات عبور ضعیفی ایجادشده بود. در مقابل به بهترین شیوه نمایان بود که کلمات عبور ایجاد شده بسیار به فرد ایجاد کننده آن کلمه عبور مربوط بود. محققان بر اساس توضیحات افراد در رابطه با نحوه انتخاب کلمه عبور، ۴ روش اصلی ایجاد آنرا استخراج کردند. اولین دسته اقلیت ۳۰ نفره بود که افرادی بود که کلمات عبور تصادفی ایجاد کرده بوند. برای ۳ دسته اصلی بعدی، افراد کلمات عبوری را با تمرکز بر روی اعداد، کلمات و اسامی که به نحوی با خودشان مرتبط است، بوجود آوردند. این طبقه بندی‌ها اغلب شامل طبقه بندی‌های اضافی نیز می‌شوند. مثالهای شامل انواع تاریخ تولد‌ها، شماره تلفن‌ها، القاب، نام حیوانات خانکی، افراد مهم و غیره.

در ۱۴ مورد انگیزه ایجاد کلمات عبور به سختی در طبقه بندی خاصی قرار می‌گیرد. اما از ۲۵۹ فرد باقی مانده، ۸۸ ٪ از کلمات عبور ایجاد شده به نحوی با زندگی شخصیشان مرتبط بودند. کلمات عبور در ارزیابی‌های عادی تصادفی به نظر می‌رسند ولی در واقع تصادفی نبودند در نتیجه از نظر مهندسی اجتماعی سبب ریسک بیشتری می‌شوند.

کرک کلمات عبور را می‌توان با یکی از این دو روش به دست آورد. روش بروت فورس(Brute Force) که به سادگی تمام ترکیبات ممکن را در مورد عناصر وابسته انجام می‌دهد. این روش محاسباتی بوده و برای دسترسی هکر‌های معمولی است. روش دیگر محدود کردن کرک کردن به محتمل ترین گزینه‌ها است. یعنی اکثرا اعداد و کلمات یک دیکشنری و یا اسامی که به نحوی با کاربر ایجاد کننده کلمه عبور مربوط باشد.

اندازه گیری یا سنجش کلمه عبور که توسط محققان صورت می‌گیرد در متمایل ساختن کلمات عبور ضعیف و قوی مفید واقع می‌شود. کلمات عبوری که کرک می‌شوند اساسا در رده با پیچیدگی کمتری نسبت به سایرین قرار می‌گیرند. هنگامی که پیچیدگی کلمه عبور بر اساس استاندارد پیشنهادی SANS بررسی شد، نتیجه، رتبه ۱۵ در پیچیدگی کلمه عبور بود. هیچ کدام از کلمات عبور کرک شده حتی کلمات عبور مبتنی بر اعداد امتیاز بالایی برای پیچیدگی نگرفتند. با آنکه میزان آشنایی از مسائل امنیتی باعث ایجاد کلمات عبور قویتر و پیچیده تری می‌شد ولی ارتباط آنچنان قوی نیز وجود نداشت. بر اساس تحقیق فرانک و همکاران، نحوه رفتار کاربران با کامپیوتر بر اساس آگاهی آنها از این مسائل متفاوت است هرچند ارتباط معنی دار ولی ضعیف یافت شده در این تحقیق نا امید کننده بود. از انجایی که سازمانها فرصت آموزش کارمندان را دارا می‌باشند، بررسی در مورد میزان آموزش کارمندان در زمینه مسائل امنیتی کلمات عبور می‌تواند تحقیق جالبی باشد.