آموزش دی وی دی |مجله آموزشی مقالات آموزشی, ترفندهای آموزشی

انتخاب گذرواژه ایمن


انتخاب گذرواژه ایمن

 

مترجم: بابک باقرزادگان

 
باور عمومی این است که گذرواژه های قوی و شناخت مصرف کنندگان از نشانی های مخرب اینترنتی بهترین سد دفاعی در نگهداری از نرم افزار و معلومات است. “کورمک هرلی” (۱) از دانش پژوهان کمپانی مایکروسافت یک تحلیل هزینه و فایده پیرامون این عقیده رایج انجام داده و این شایبه را مطرح کرده است که هزینه های مدیریت گذرواژه ها از سود آن بیشتر است.
نتیجه تحقیق هرلی در باب مزایای بهره برداری از گذرواژه قوی نشان می دهد که با وجود این این اقدام مصرف کنندگان را از متحمل شدن هزینه حملات سایبری به روش مستقیم در امان نگاه می دارد، با اینحال هزینه محشر بیشتری را به روش غیر مستقیم و در شکل زمانی که برای آموزش صرف می شود به آنان تحمیل می کند.
“نیل روبنکینگ” (۲) که تحقیق هرلی را روی وبلاگ خود پخش کرد، استدلال وی را چنین تفسیر می کند: “کاربرانی که به توصیه های امنیتی اهمیت نمی دهند بی ملاحظه یا ندانم کار نیستند، حتی یقیناً به روش ناخودآگاه متناسب با سطح اهمیت معلومات و نرم افزاری که با آن کار می کنند رفتار می کنند. توصیه های امنیتی پیچیده هستند و یقیناً به کار بستن آنها خیلی ساده نیست.”
هرلی اعتقاد دارد که عامل مغفول مانده در ملاحظات و تحلیل های امنیتی لحظه است. شاید زمانی که از مصرف کنندگان برای آموزش اصول امنیتی و توجیه آنان گرفته می شود با لحظه و هزینه ای که از طریق پیشگیری از حملات و آسیب های امنیتی صرفه جویی می شود برابر یا حتی از آن بیشتر باشد. در این صورت، آیا این همه صرف لحظه و هزینه توجیه پذیر است؟ ایشان چنین توضیح می دهد: “ما به تحلیل دقیق تر و بهتری از زیانی که متوجه مصرف کنندگان است نیاز داریم. این حقیقت که وقتی مصرف کنندگان مورد حمله سایبری مواجه می شوند، در درجه اول وقت را از دست می دهند، نه پول تا اینجای کار به درستی مورد استقبال قرار نگرفته است. چیزی هم که توصیه های متعدد امنیتی از استفاده کننده می گیرد، همان لحظه است.”
هرلی در ضمن توضیحاتش به این نکته اشاره می کند که هزینه آموزش متوجه کل یک جمعیت آماری مطرح شده است، با اینحال منافع پیشگیری از حملات سایبری یا خنثی سازی آنها تنها در باب بخش کوچکی از مصرف کنندگان مصداق پیدا می کند که به آنها حمله می شود. هزینه آموزش ها باید با نرخ کاربرانی که قربانی حملات امنیتی می شوند، متناسب باشد. روبنکین با تأکید بر بخش دیگری از تحقیق هرلی که در آن معلوم شد که آموزش مصرف کنندگان برای شناسایی شیوه های غیر مجاز دسترسی به گذرواژه و کلمه عبور (three) به هیچ وجه مفید نیست و ارزش صرف وقت را ندارد. هرلی با انجام محاسباتی نشان می دهد که اگر این کار روزی یک دقیقه وقت هر نیروی کار را بگیرد، در یک سال برای اقتصاد آمریکا ۱۵/۹ میلیارد دلار هزینه در برخواهد داشت. به عبارت دیگر، آموزش به خاطر چیزی که وقوع آن چندان هم قطعی نیست، یا تنها برای بخش کوچکی از آموزش گیرندگان قطعی است، در هر ساعت ۲/۶ میلیارد دلار هزینه به اقتصاد این کشور تحمیل می کند.
روبنکینگ می گوید، هنوز گذرواژه های پیچیده و غیر قابل حدس زدن سهم عمده ای در تضمین امنیت معلومات مصرف کنندگان دارند. ایشان پیشنهاد می کند که عملیات انتخاب گذرواژه برای مصرف کنندگان عادی، به کمک یک نرم افزار مدیریت گذرواژه، تا جاییکه شرایط اجازه میدهد مکانیزه شود.
به نظر هرلی: “توصیه ها و آموزش های امنیتی هزینه ای را به کل سازمان تحمیل می کند، در صورتی که بازگشت این هزینه به وسیله بخش کوچکی از مصرف کنندگان که مورد حملات سایبری قرار می گیرند – و با این وجود به کمک آموزش های که دیده اند آن را خنثی می کنند – صورت می پذیرد. وقتی نسبت این دو گروه کوچک باشد، کاستن از محتوای آموزشی به نحوی که ساعات صرف شده برای این کار به میزان قابل توجیه برسد، بسیار دشوار خواهد شد. مثلاً، نمی توان از مصرف کنندگان خواست در zero/01 درصد از وقت هر روزه خود صرفه جویی کرده آن را به گذراندن دوره های آموزشی در این زمینه اختصاص دهند.”

ضعیف ترین گذرواژه های رایج
 

به توجه به اخبار فراوانی که در باب هک شدن معلومات رایانه ای، مصرف کنندگان پخش می شود هنوز هم بسیاری از آنان از عبارت های محشر ساده و واضح تحت نام گذرواژه استفاده می کنند. کمپانی اسپلش دیتا (four) فهرستی از ضعیف ترین گذرواژگانی که در سال ۲۰۱۱ بیشترین استفاده را داشته اند پخش کرده است.
بررسی های اسپلش دیتا در میان مصرف کنندگان رایانه و شبکه نشان داد که گذرواژه ضعیف “password” بیشترین کاربری را دارد. در ردیف های four و ۲۳ این فهرست عبارت های “qwerty” و “qazwsx” قرار دارد که از درج چند کلید پشت سر هم و یا دو ستون اول از سمت چپ صفحه کلید به دست می آید.
جالب اینکه این فهرست با فهرست گذرواژه های پرطرفدار سال ۲۰۰۹ که به وسیله کمپانی ایمپروا (۵) عرضه شد مطابق نسبی دارد. این مسئله نشان می دهد که فرهنگ مصرف کنندگان در بهره برداری از گذرواژگان خوب تغییر چندانی نکرده است. پیشتر فهرست ضعیف ترین گذرواژه های پخش شده به وسیله اسپلش دیتا به قرار زیر است:
۱. password
۲. ۱۲۳۴۵۶
three. 12345678
four. qwerty
۵. abc 123
۶. monkey
۷. ۱۲۳۴۵۶۷
eight. letmein
۹. trustno 1
۱۰. dragon
۱۱. baseball
۱۲. ۱۱۱۱۱۱
۱۳. iloveyou
۱۴. grasp
۱۵. sunshine
۱۶. ashley
۱۷. bailey
۱۸. password
۱۹. shadow
۲۰. ۱۲۳۱۲۳
۲۱. ۶۵۴۳۲۱
۲۲. superman
۲۳. qazwsx
۲۴. michael
۲۵. soccer
بر اساس گزارش سال ۲۰۱۰ rockyou.com در آن سال ۳۲ میلیون کلمه کاربری و گذرواژه هک شد. یکی از ایرادهای اصلی گذرواژگان ضعیف، همراه با قابلیت حدس زده شدن به وسیله نفوذگران، کوتاه بودن طول عبارات آنهاست. فهرست بیست گذرواژه ضعیف طول تاریخ با استناد به گفته گزارش ایمپروا در پی می آید:
۱. ۱۲۳۴۵۶
۲. ۱۲۳۴۵
three. 123456789
four. Password
۵. iloveyou
۶. princess
۷. rockyou
eight. 123456
۹. ۱۲۳۴۵۶۷۸
۱۰. abc 123
۱۱. Nicole
۱۲. Daniel
۱۳. babygirl
۱۴. monkey
۱۵. Jessica
۱۶. Pretty
۱۷. michael
۱۸. Ashley
۱۹. ۶۵۴۳۲۱
۲۰. Qwerty
به موارد فوق استفاده بسیاری از مصرف کنندگان از اسم کوچکشان را نیز اضافه کنید. در مواردی مانند مورد شماره ۷ فهرست، گذرواژه اسم سایت یا کمپانی است.
شیوه های ساده و مفیدی برای ساختن گذرواژگان قوی با بهره برداری از حروف ویژه همراه با حروف کوچک و بزرگ می باشد که در کارگاه های آموزشی و دوره های توجیهی به مصرف کنندگان آموزش داده می شود. با این وجود آموزش مصرف کنندگان بدین منظور مورد قبول همه صاحبنظران فناوری معلومات نیست.
از تحقیقات صورت گرفته می توان نتیجه گرفت که ظرف دو دهه اخیر افزایش کمی در انتخاب گذرواژه صورت گرفته است و این مسئله بازهم تحت نام پاشنه آشیل امنیت معلومات باقی مانده است.

پی نوشت ها :
 

۱. Cormac Herley.
۲. Niel Rubenking.
three. phishing لینک های فیشینگ.
four. splashdata.
۵. Imperva.
 

منبع: smartplanet.com
منبع: نشریه دانشمند، شماره ۵۸۱..