خستگی از گذرواژه
خستگی از گذرواژه یا خستگی ناشی از کلمهٔ عبور احساسی است که به بسیاری از افرادی دست میدهد که باید تعداد زیادی از گذرواژه را حفظ کنند که بخشی از روال زندگی روزمره شان را تشکیل میدهند. مثلاً برای وارد شدن به یک رایانه در محل کار، باز کردن یک قفل دوچرخه، انجام عملیات بانکی توسط یک دستگاه خودپرداز (ATM). این حالت همچنین به نام آشوب کلمهٔ عبور یا بهطور معمول تر، آشوب هویت نیز شناخته میشود.[۱]
علتها[ویرایش]
استفادهٔ روزافزون از فناوری اطلاعات و اینترنت در اشتغال، زمینههای مالی، تفریحات و سایر جنبههای زندگی افراد، و به دنبال آن معرفی تکنولوژی تراکنش امن، باعث شده افراد به جمعآوری و نگهداری تعداد زیادی حساب کاربری و کلمهٔ عبور رو بیاورند.
به استناد یک بررسی در سال ۲۰۰۲ که توسط واحد نظارت بر فضای مجازی مشاور امنیت برخط بریتانیا انجام شده، یک کاربر حرفهای کامپیوتر، به صورت عادی ۲۱ حساب کاربری دارد که نیاز به کلمهٔ عبور دارند.[۲]
برخی از عوامل ایجاد خستگی ناشی از رمز عبور عبارتند از:
- انتظار غیرمنتظره از کاربر برای ایجاد یک کلمهٔ عبور جدید.
- انتظار غیرمنتظره از کاربر برای ایجاد کلمهٔ عبور جدیدی که مطابق الگوی خاصی از حروف کوچک و بزرگ، ارقام و علائم خاص باشد.
- انتظار از کاربر در تایپ کردن کلمهٔ عبور ورودی برای بار دوم.
- تقاضاهای مکرر و غیرمنتظره از کاربر در طول روز برای وارد کردن مجدد کلمهٔ عبور
- تایپ کردن بدون توجه در مواقع وارد کردن کلمهٔ عبور یا تنظیم یک کلمهٔ عبور جدید و در نتیجه دریافت خطاهای متعدد
مسائل و مشکلات مربوط[ویرایش]
خستگی ناشی از کلمهٔ عبور، فارغ از ایجاد اضطراب، ممکن است مردم را تشویق به اتخاذ عادتهایی کند که امنیت اطلاعات حفاظت شده شان را کاهش دهد. به عنوان مثال، یک کاربر رایانه ممکن است برای چندین حساب کاربری خود، از یک کلمهٔ عبور استفاده کند، عمداً یک کلمهٔ عبور ساده (امکان به خاطر سپردن راحت) را برای حساب (های) کاربریاش انتخاب کند که بسیار آسیبپذیر و به راحتی قابل شکستن هستند یا به نسخههای نوشته شدهای از کلمات عبور حسابهای کاربری اش اتکا کند.
بسیاری از وبگاهها برای جلوگیری از انتخاب کلمات عبور ساده توسط کاربران، محدودیتهایی روی طول کلمهٔ عبور یا ترکیب عناصر سازندهٔ آن اعمال میکنند که باعث خستگی ناشی از کلمهٔ عبور میشود. در بسیاری از موارد، محدودیتهای اعمال شده روی طول و ساختار کلمهٔ عبور در نهایت باعث کاهش امنیت حساب کاربری میشوند (یا با جلوگیری از ایجاد کلمات عبوری مناسب یا با پیچیده کردن بیش از حد کلمات عبور تا جایی که کاربر را مجبور به ذخیرهٔ آن در جایی نا امن بکند). بعضی از وبگاهها همچنین استفاده از کاراکترهای غیر حرفی یا غیر عددی و برخی دیگر، استفاده از کاراکترهای غیر اسکی را در ساختار کلمهٔ عبور غیرمجاز میدانند.
خستگی ناشی از کلمهٔ عبور عموماً کاربران را تحت تأثیر قرار میدهد با این وجود، میتواند دردسرهایی برای ادارات فنی که حسابهای کاربری شان را در عین تغییر دادن پیاپی کلمات عبور به منظور امنیت مدیریت میکنند نیز ایجاد کند. این خستگی در هر دو مورد به تدریج باعث از دست رفتن روحیهٔ کاربران میشود. در بسیاری موارد، کاربران در نهایت کلمات عبور خود را در فایلهای متنی کم امنیت ذخیره میکنند تا در ادامه مجبور به حفظ کردن آنها نباشند یا به روشهای با امنیت پایین دیگری برای ذخیرهٔ کلمات عبور روی میآورند.
راههای حل[ویرایش]
برخی از شرکتها در این زمینه به خوبی سامان دهی شدهاند. این شرکتها راههای احراز هویت دیگری را نیز در کنار استفاده از کلمهٔ عبور، پیادهسازی کردهاند[۳] یا از فناوریهایی برای ورود خودکار اطلاعات کاربران استفاده میکنند. اما ممکن است تمرکز بقیه شرکتها روی سهولت استفاده نباشد یا اینکه حتی شرایط را با ایجاد مکرر برنامههای جدیدی که با سیستم احراز هویت آن کار میکنند، بدتر کنند.
- نرمافزار شناسایی یگانه (SSO) میتواند در کاهش این مشکل کمک شایانی کند. این این روش تنها از کاربر انتظار دارد که یک کلمهٔ عبور را برای دسترسی به نرمافزاری که دسترسی آنها را به چندین حساب کاربری دیگر مهیا میکند به خاطر بسپارند. این نرمافزارها ممکن است به عامل نرمافزاری دیگری در رایانهٔ فرد نیاز داشته باشند یا نداشته باشند. یکی از معایب اصلی این راه حل این است که از دست دادن کلمهٔ عبور اصلی به معنای از دست دادن دسترسی به تمامی حسابهای کاربری خواهد بود که از طریق سیستم SSO فعالیت میکنند. همچنین به سرقت رفتن این کلمهٔ اصلی، امکانات سوء استفادهٔ زیادی را در اختیار سارق یا مهاجم قرار میدهد.
- نرمافزار متمرکز مدیریت کلمهٔ عبور - بسیاری از سیستمهای عامل، مکانیزمی را برای ذخیره و دریافت کلمات عبور، با استفاده از کلمهٔ عبور ورود کاربر به سیستم فراهم میکنند. در این روش از کلمهٔ عبور ورود کاربر برای قفل گشایی یک پایگاه دادهٔ کلمات عبور کد شدهاستفاده میشود. مایکروسافت ویندوز از یک نرمافزار مدیریت اعتبارات برای ذخیرهٔ اسامی و کلمات عبوری استفاده شده برای ورود به وبگاهها یا سایر رایانهها در شبکه استفاده میکند. سیستم عامل مک یک قابلیت دسته کلید دارد که این خدمت را ارائه میکند و قابلیتهای مشابهی در سیستم عاملهای رومیزی متن باز گنوم و KDE نیز موجود است. به علاوه توسعه دهندگان مرورگرهای وب نیز قابلیت مشابهی را به تمامی مرورگرهای اصلی شان افزودهاند. در این روش اگر رایانهٔ کاربر خراب شده، از کار بیفتد یا به سرقت برود، وی دسترسی به سایتهایی را که پیش از این تنها از طریق نرمافزار متمرکز کلمهٔ عبور به آنها دسترسی داشت را از دست میدهد.
- نرمافزارهای مدیریت کلمهٔ عبور مانند keepass و Password Safe میتوانند در کاهش مشکل خستگی ناشی از کلمهٔ عبور کمک شایانی بکنند. این نرمافزارها، کلمات عبور را در پایگاهها ی دادهای که توسط یک کلمهٔ عبور رمزگذاری شدهاند، ذخیره میکنند. این روش نیز از مشکلاتی مانند مشکلات نرمافزار شناسایی یگانه رنج میبرد. از دست دادن کلمهٔ عبور پایگاه داده به منزلهٔ از دست دادن تمامی کلمات عبور ذخیره شده در آن خواهد بود و اگر این کلمهٔ عبور به دست فرد نادرستی بیفتد، به تمامی کلمات عبور ذخیره شده در پایگاه داده دسترسی خواهد داشت.
- بازیابی کلمهٔ عبور - بسیاری از خدمات برخطی که توسط کلمهٔ عبور محافظت میشوند، یک قابلیت بازیابی کلمهٔ عبور را عرضه میکنند که به کاربر امکان بازیابی کلمهٔ عبور فراموش شده را از طریق آدرس ایمیلش (یا اطلاعات دیگر وابسته به آن حساب کاربری) میدهد. با این وجود این سیستم هم به هدفی برای حملات مهندسی اجتماعی تبدیل شدهاست. مجرمینی که اطلاعات کافی دربارهٔ فرد هدفشان داشته باشند، میتوانند با ارایهٔ این اطلاعات و جا زدن خودشان به جای او، به کلمهٔ عبور وی دسترسی پیدا کنند و حساب کاربری وی را مورد سرقت قرار دهند.
جستارهای وابسته[ویرایش]
منابع[ویرایش]
- ↑ "Password chaos" at TheFreeDictionary
- ↑ Hayday, Graham.
- ↑ Such as digital certificates, OTP tokens, fingerprint authentication or password hints.
پیوند به بیرون[ویرایش]
- ناشی یوکی. Access Denied واشینگتن پست، ۲۳ سپتامبر ۲۰۰۶.
- کاتن جاش. بد فرم: ۶۱٪ استفاده از رمز عبور یکسان برای همه چیز, ۱۷ ژانویه ۲۰۰۸.