انتخاب گذرواژه ايمن
مترجم: بابک باقرزادگان
باور عمومي اين است که گذرواژه هاي قوي و شناخت کاربران از نشاني هاي مخرب اينترنتي بهترين سد دفاعي در محافظت از نرم افزار و اطلاعات است. "کورمک هرلي" (1) از محققان شرکت مايکروسافت يک تحليل هزينه و فايده درباره اين عقيده رايج انجام داده و اين شايبه را مطرح کرده است که هزينه هاي مديريت گذرواژه ها از سود آن بيشتر است.
نتيجه تحقيق هرلي در مورد مزاياي استفاده از گذرواژه قوي نشان مي دهد که هر چند اين اقدام کاربران را از متحمل شدن هزينه حملات سايبري به صورت مستقيم در امان نگاه مي دارد، اما هزينه فوق العاده بيشتري را به صورت غير مستقيم و در قالب زماني که براي آموزش صرف مي شود به آنان تحميل مي کند.
"نيل روبنکينگ" (2) که تحقيق هرلي را روي وبلاگ خود منتشر کرد، استدلال وي را چنين تفسير مي کند: "کاربراني که به توصيه هاي امنيتي اهميت نمي دهند بي ملاحظه يا ندانم کار نيستند، بلکه احتمالاً به صورت ناخودآگاه متناسب با سطح اهميت اطلاعات و نرم افزاري که با آن کار مي کنند رفتار مي کنند. توصيه هاي امنيتي پيچيده هستند و احتمالاً به کار بستن آنها خيلي دشوار است."
هرلي معتقد است که عامل مغفول مانده در ملاحظات و تحليل هاي امنيتي زمان است. شايد زماني که از کاربران براي آموزش اصول امنيتي و توجيه آنان گرفته مي شود با زمان و هزينه اي که از طريق پيشگيري از حملات و آسيب هاي امنيتي صرفه جويي مي شود برابر يا حتي از آن بيشتر باشد. در اين صورت، آيا اين همه صرف زمان و هزينه توجيه پذير است؟ او چنين توضيح مي دهد: "ما به تحليل دقيق تر و بهتري از زياني که متوجه کاربران است نياز داريم. اين حقيقت که وقتي کاربران مورد حمله سايبري مواجه مي شوند، در درجه اول وقت را از دست مي دهند، نه پول تاکنون به درستي مورد توجه قرار نگرفته است. چيزي هم که توصيه هاي متعدد امنيتي از کاربر مي گيرد، همان زمان است."
هرلي در ضمن توضيحاتش به اين نکته اشاره مي کند که هزينه آموزش متوجه کل يک جمعيت آماري مورد بحث است، اما منافع پيشگيري از حملات سايبري يا خنثي سازي آنها فقط در مورد بخش کوچکي از کاربران مصداق پيدا مي کند که به آنها حمله مي شود. هزينه آموزش ها بايد با نرخ کاربراني که قرباني حملات امنيتي مي شوند، متناسب باشد. روبنکين با تأکيد بر بخش ديگري از تحقيق هرلي که در آن مشخص شد که آموزش کاربران براي شناسايي روش هاي غير مجاز دسترسي به گذرواژه و کلمه عبور (3) به هيچ وجه مفيد نيست و ارزش صرف وقت را ندارد. هرلي با انجام محاسباتي نشان مي دهد که اگر اين کار روزي يک دقيقه وقت هر نيروي کار را بگيرد، در يک سال براي اقتصاد آمريکا 15/9 ميليارد دلار هزينه در برخواهد داشت. به عبارت ديگر، آموزش به خاطر چيزي که وقوع آن چندان هم قطعي نيست، يا فقط براي بخش کوچکي از آموزش گيرندگان قطعي است، در هر ساعت 2/6 ميليارد دلار هزينه به اقتصاد اين کشور تحميل مي کند.
روبنکينگ مي گويد، هنوز گذرواژه هاي پيچيده و غير قابل حدس زدن سهم عمده اي در تضمين امنيت اطلاعات کاربران دارند. او پيشنهاد مي کند که عمليات انتخاب گذرواژه براي کاربران عادي، به کمک يک نرم افزار مديريت گذرواژه، تا حد امکان مکانيزه شود.
به نظر هرلي: "توصيه ها و آموزش هاي امنيتي هزينه اي را به کل سازمان تحميل مي کند، در صورتي که بازگشت اين هزينه توسط بخش کوچکي از کاربران که مورد حملات سايبري قرار مي گيرند - و البته به کمک آموزش هاي که ديده اند آن را خنثي مي کنند - صورت مي پذيرد. وقتي نسبت اين دو گروه کوچک باشد، کاستن از محتواي آموزشي به نحوي که ساعات صرف شده براي اين کار به ميزان قابل توجيه برسد، بسيار دشوار خواهد شد. مثلاً، نمي توان از کاربران خواست در 0/01 درصد از وقت روزانه خود صرفه جويي کرده آن را به گذراندن دوره هاي آموزشي در اين زمينه اختصاص دهند."
جالب اينکه اين فهرست با فهرست گذرواژه هاي محبوب سال 2009 که توسط شرکت ايمپروا (5) ارائه شد مطابق نسبي دارد. اين موضوع نشان مي دهد که فرهنگ کاربران در استفاده از گذرواژگان مناسب تغيير چنداني نکرده است. در ادامه فهرست ضعيف ترين گذرواژه هاي منتشر شده توسط اسپلش ديتا به قرار زير است:
1. password
2. 123456
3. 12345678
4. qwerty
5. abc 123
6. monkey
7. 1234567
8. letmein
9. trustno 1
10. dragon
11. baseball
12. 111111
13. iloveyou
14. master
15. sunshine
16. ashley
17. bailey
18. password
19. shadow
20. 123123
21. 654321
22. superman
23. qazwsx
24. michael
25. football
طبق گزارش سال 2010 rockyou.com در آن سال 32 ميليون کلمه کاربري و گذرواژه هک شد. يکي از ايرادهاي اصلي گذرواژگان ضعيف، در کنار قابليت حدس زده شدن توسط نفوذگران، کوتاه بودن طول عبارات آنهاست. فهرست بيست گذرواژه ضعيف طول تاريخ به نقل از گزارش ايمپروا در پي مي آيد:
1. 123456
2. 12345
3. 123456789
4. Password
5. iloveyou
6. princess
7. rockyou
8. 123456
9. 12345678
10. abc 123
11. Nicole
12. Daniel
13. babygirl
14. monkey
15. Jessica
16. Lovely
17. michael
18. Ashley
19. 654321
20. Qwerty
به موارد فوق استفاده بسياري از کاربران از اسم کوچکشان را نيز اضافه کنيد. در مواردي مانند مورد شماره 7 فهرست، گذرواژه اسم سايت يا شرکت است.
روش هاي ساده و مفيدي براي ساختن گذرواژگان قوي با استفاده از حروف ويژه در کنار حروف کوچک و بزرگ وجود دارد که در کارگاه هاي آموزشي و دوره هاي توجيهي به کاربران آموزش داده مي شود. هرچند آموزش کاربران بدين منظور مورد قبول همه کارشناسان فناوري اطلاعات نيست.
از تحقيقات صورت گرفته مي توان نتيجه گرفت که ظرف دو دهه اخير بهبود کمي در انتخاب گذرواژه صورت گرفته است و اين موضوع همچنان به عنوان پاشنه آشيل امنيت اطلاعات باقي مانده است.
منبع: نشريه دانشمند، شماره 581..
نتيجه تحقيق هرلي در مورد مزاياي استفاده از گذرواژه قوي نشان مي دهد که هر چند اين اقدام کاربران را از متحمل شدن هزينه حملات سايبري به صورت مستقيم در امان نگاه مي دارد، اما هزينه فوق العاده بيشتري را به صورت غير مستقيم و در قالب زماني که براي آموزش صرف مي شود به آنان تحميل مي کند.
"نيل روبنکينگ" (2) که تحقيق هرلي را روي وبلاگ خود منتشر کرد، استدلال وي را چنين تفسير مي کند: "کاربراني که به توصيه هاي امنيتي اهميت نمي دهند بي ملاحظه يا ندانم کار نيستند، بلکه احتمالاً به صورت ناخودآگاه متناسب با سطح اهميت اطلاعات و نرم افزاري که با آن کار مي کنند رفتار مي کنند. توصيه هاي امنيتي پيچيده هستند و احتمالاً به کار بستن آنها خيلي دشوار است."
هرلي معتقد است که عامل مغفول مانده در ملاحظات و تحليل هاي امنيتي زمان است. شايد زماني که از کاربران براي آموزش اصول امنيتي و توجيه آنان گرفته مي شود با زمان و هزينه اي که از طريق پيشگيري از حملات و آسيب هاي امنيتي صرفه جويي مي شود برابر يا حتي از آن بيشتر باشد. در اين صورت، آيا اين همه صرف زمان و هزينه توجيه پذير است؟ او چنين توضيح مي دهد: "ما به تحليل دقيق تر و بهتري از زياني که متوجه کاربران است نياز داريم. اين حقيقت که وقتي کاربران مورد حمله سايبري مواجه مي شوند، در درجه اول وقت را از دست مي دهند، نه پول تاکنون به درستي مورد توجه قرار نگرفته است. چيزي هم که توصيه هاي متعدد امنيتي از کاربر مي گيرد، همان زمان است."
هرلي در ضمن توضيحاتش به اين نکته اشاره مي کند که هزينه آموزش متوجه کل يک جمعيت آماري مورد بحث است، اما منافع پيشگيري از حملات سايبري يا خنثي سازي آنها فقط در مورد بخش کوچکي از کاربران مصداق پيدا مي کند که به آنها حمله مي شود. هزينه آموزش ها بايد با نرخ کاربراني که قرباني حملات امنيتي مي شوند، متناسب باشد. روبنکين با تأکيد بر بخش ديگري از تحقيق هرلي که در آن مشخص شد که آموزش کاربران براي شناسايي روش هاي غير مجاز دسترسي به گذرواژه و کلمه عبور (3) به هيچ وجه مفيد نيست و ارزش صرف وقت را ندارد. هرلي با انجام محاسباتي نشان مي دهد که اگر اين کار روزي يک دقيقه وقت هر نيروي کار را بگيرد، در يک سال براي اقتصاد آمريکا 15/9 ميليارد دلار هزينه در برخواهد داشت. به عبارت ديگر، آموزش به خاطر چيزي که وقوع آن چندان هم قطعي نيست، يا فقط براي بخش کوچکي از آموزش گيرندگان قطعي است، در هر ساعت 2/6 ميليارد دلار هزينه به اقتصاد اين کشور تحميل مي کند.
روبنکينگ مي گويد، هنوز گذرواژه هاي پيچيده و غير قابل حدس زدن سهم عمده اي در تضمين امنيت اطلاعات کاربران دارند. او پيشنهاد مي کند که عمليات انتخاب گذرواژه براي کاربران عادي، به کمک يک نرم افزار مديريت گذرواژه، تا حد امکان مکانيزه شود.
به نظر هرلي: "توصيه ها و آموزش هاي امنيتي هزينه اي را به کل سازمان تحميل مي کند، در صورتي که بازگشت اين هزينه توسط بخش کوچکي از کاربران که مورد حملات سايبري قرار مي گيرند - و البته به کمک آموزش هاي که ديده اند آن را خنثي مي کنند - صورت مي پذيرد. وقتي نسبت اين دو گروه کوچک باشد، کاستن از محتواي آموزشي به نحوي که ساعات صرف شده براي اين کار به ميزان قابل توجيه برسد، بسيار دشوار خواهد شد. مثلاً، نمي توان از کاربران خواست در 0/01 درصد از وقت روزانه خود صرفه جويي کرده آن را به گذراندن دوره هاي آموزشي در اين زمينه اختصاص دهند."
ضعيف ترين گذرواژه هاي رايج
با وجود اخبار فراواني که در مورد هک شدن اطلاعات رايانه اي، کاربران منتشر مي شود هنوز هم بسياري از آنان از عبارت هاي فوق العاده ساده و مشخص به عنوان گذرواژه استفاده مي کنند. شرکت اسپلش ديتا (4) فهرستي از ضعيف ترين گذرواژگاني که در سال 2011 بيشترين استفاده را داشته اند منتشر کرده است.
بررسي هاي اسپلش ديتا در ميان کاربران رايانه و شبکه نشان داد که گذرواژه ضعيف "password" بيشترين کاربرد را دارد. در رديف هاي 4 و 23 اين فهرست عبارت هاي "qwerty" و "qazwsx" قرار دارد که از درج چند کليد پشت سر هم و يا دو ستون اول از سمت چپ صفحه کليد به دست مي آيد. جالب اينکه اين فهرست با فهرست گذرواژه هاي محبوب سال 2009 که توسط شرکت ايمپروا (5) ارائه شد مطابق نسبي دارد. اين موضوع نشان مي دهد که فرهنگ کاربران در استفاده از گذرواژگان مناسب تغيير چنداني نکرده است. در ادامه فهرست ضعيف ترين گذرواژه هاي منتشر شده توسط اسپلش ديتا به قرار زير است:
1. password
2. 123456
3. 12345678
4. qwerty
5. abc 123
6. monkey
7. 1234567
8. letmein
9. trustno 1
10. dragon
11. baseball
12. 111111
13. iloveyou
14. master
15. sunshine
16. ashley
17. bailey
18. password
19. shadow
20. 123123
21. 654321
22. superman
23. qazwsx
24. michael
25. football
طبق گزارش سال 2010 rockyou.com در آن سال 32 ميليون کلمه کاربري و گذرواژه هک شد. يکي از ايرادهاي اصلي گذرواژگان ضعيف، در کنار قابليت حدس زده شدن توسط نفوذگران، کوتاه بودن طول عبارات آنهاست. فهرست بيست گذرواژه ضعيف طول تاريخ به نقل از گزارش ايمپروا در پي مي آيد:
1. 123456
2. 12345
3. 123456789
4. Password
5. iloveyou
6. princess
7. rockyou
8. 123456
9. 12345678
10. abc 123
11. Nicole
12. Daniel
13. babygirl
14. monkey
15. Jessica
16. Lovely
17. michael
18. Ashley
19. 654321
20. Qwerty
به موارد فوق استفاده بسياري از کاربران از اسم کوچکشان را نيز اضافه کنيد. در مواردي مانند مورد شماره 7 فهرست، گذرواژه اسم سايت يا شرکت است.
روش هاي ساده و مفيدي براي ساختن گذرواژگان قوي با استفاده از حروف ويژه در کنار حروف کوچک و بزرگ وجود دارد که در کارگاه هاي آموزشي و دوره هاي توجيهي به کاربران آموزش داده مي شود. هرچند آموزش کاربران بدين منظور مورد قبول همه کارشناسان فناوري اطلاعات نيست.
از تحقيقات صورت گرفته مي توان نتيجه گرفت که ظرف دو دهه اخير بهبود کمي در انتخاب گذرواژه صورت گرفته است و اين موضوع همچنان به عنوان پاشنه آشيل امنيت اطلاعات باقي مانده است.
پي نوشت ها :
1. Cormac Herley.
2. Niel Rubenking.
3. phishing لينک هاي فيشينگ.
4. splashdata.
5. Imperva.
منبع: نشريه دانشمند، شماره 581..
