طبق یک مطالعه گسترده که بر روی بیش از 100 میلیون کاربر و #گذرواژه های آنها انجام شد، اغلب کاربران بدترین کلمه های عبور را انتخاب می کنند و این قضیه در حال بدتر شدن است.
بیشتر کارشناسان امنیتی بر این باورند که کلمه عبور یک مکانیزم امنیتی ضعیف است. با این حال ما حتی در انتخاب کلمه عبور به شدت ضعیف عمل می کنیم. این موضوع نتیجه ی مطالعه های است که طی 8 سال و بر روی 28.8 میلیون کاربر و 61.5 میلیون کلمه ی عبور از 107 نوع سرویس به دست آمده است.
مطالعاتی که بر روی کلمه ی عبور، توسط محققین ویرجینا تک انجام شد، نشان داد که بیش از نیمی از کاربران از کلمه های عبور استفاده شده، مجدداً استفاده می کنند و یا در کلمه های عبور حساب های کاربری خود تغییرات جزئی ایجاد می کنند. استفاده مجدد از گذرواژه توسط متخصصان امنیتی شدیداً نفی شده و این مساله، یک عامل مهم در هک آسان کاربر در برنامه های احراز هویت است.
نکته مهمتر و به مراتب بدتر این است که این گذر واژه های دوباره استفاده شده بسیار ضعیف بودند به گونه ای که بیش 16 میلیون زوج گذرواژه (30 درصد از رمزهای عبور تغییر یافته شده و تمام گذرواژه هایی که مجدد استفاده شده بودند) را فقط با 10 بار حدس می توان شناسایی کرد و از همه این موارد مهمتر حساب های کاربری با داده های حساس، از سوابق مالی گرفته تا ایمیل نسبت به سایت هایی که حساسیت کمتری دارند، با احتمال بیشتری کلمات عبور تکراری و دوباره استفاده شده را به کار می برند.
محققان در Dashlane، داده های ناشناس از مجموعه مورد استفاده تیم فناوری ویرجینیا را برداشته و الگوهای رمزهای عبور نامناسب را جستجو کردند. آنها نشانه هایی از تمایل ها، الگوها، برندها و کلمات عاشقانه در انباره های گذرواژها پیدا کردند که همه آنها پیش بینی و شکستن رمزهای عبور را برای مجرمان و هکرها آسانتر می کند. شاید تعجبی نداشته باشد که نام تیم های ورزشی مشهور (که براساس نتایج به دست آمده صعود و یا سقوط پیدا می کنند) و این برندهای شناخته شده مصرف کنندگان نیز نام خود را به کلمات عبور باز کرده اند.
فراگیر شدن "حرکت صفحه کلید" یا (keyboard walking) در شکل دادن کلمات عبور، محققان را کمی متعجب کرده است. "حرکت صفحه کلید" زمانی اتفاق می افتد که یک کاربر با انگشتان خود بر روی ردیفی از کلیدها در صفحه کلید حرکت کند. کلماتی مانند "asdfg"، "qwerty" و 12345”" همه نمونههایی از "حرکت صفحه کلید" هستند و رشته های به دست آمده اغلب کلمات عبوری هستند که به سادگی حدس زده می شوند.
کاربرانی که کمی تنبل هستند و یا از نظر امنیتی زرنگ هستند با تغییر جهت بر روی صفحه کلید حرکت می کنند مانند 1q2w3e4r"،"1qaz@wsx". نکته قابل توجه این رمزهای عبور این است که آنها را میتوان فقط با انگشتان دست چپ تایپ کرد بدون آنکه حتی دست را تکان دهند و یا انگشتان را جا به جا کنند. این روش ترکیبات ممکن رو محدود کرده و باعث میشود کلمه عبور به روش brute-force به سادگی شکسته شود.
برطبق یک مطالعه که توسط VISA انجام شد، یکی از دلایلی که ما در زمینهی کلمه عبور بد عمل می کنیم این است که ما از آنها متنفریم. طبق مطالعه VISA، تنها حدود یک سوم از کاربران از توصیه های عملی برای داشتن گذر واژه ی منحصر به فرد برای هر حساب کاربری آنلاین خود استفاده می کنند. تقریباً دو سوم می گویند که چندین کلمه عبور دارند اما برخی از گذرواژه ها را در میان حساب های مختلف خود به اشتراک می گذارند. این در حالی است که تنها 7% ادعا میکنند که یک گذرواژهی واحد برای هر حساب کاربری مورد استفاده تعریف کرده اند.
در جلسه ی افتتاحیه کنفرانسCNP، جیمی اوپنبرگ، مدیر محصولات دیجیتال Discover Global Network گفت که هدف احراز هویت و تراکنش های بر خط از جمله آنهایی که دارای رمز عبور هستند، ساده است: شما می خواهید خرید تا جایی که ممکن است فراموش نشدنی، و تا حد امکان لذت بخش باشد. احراز هویت کلید است و بسیاری از مردم به خوبی آن را انجام نمی دهند.
به یادآوردن و تایپ یک گذر واژه قوی و منحصر به فرد باعث ایجاد یک معامله با حساسیت بالا می شود و در زمینه خرید حساسیت بالا فراموش شدنی نیست. در همان کنفرانس اسکات آدامز، متخصص کلاهبرداری و ریسک گفت: نتیجه ناخواسته گذرواژه هایی که به راحتی قابل یادآوری و شکسته شدن می باشند این است که ممکن است مورد کلاهبرداری بیشتری قرار گیرند. روشها و یا ویژگیهای پرداختی که مشتریان شما می خواهند را ارایه دهید که اگر این کار را نکنید کلاهبردارها این کار را انجام خواهند داد.
در چند سال گذشته کلاهبرداران به ابزارهایی مجهز هستند که آنها را قادر می سازد، از انبارهای بزرگی که توسط مجرمان به سرقت برده شده و به اشتراک گذاشته شده، استفاده کنند. مقاله [1] حاوی دو واقعیت شگفت انگیز است: بیش از 70 درصد کاربرانی که گذرواژه های دوباره استفاده شده را به کار می برند حتی یک سال پس از نفوذ نیز از آن گذرواژه ها استفاده می کنند و 40 درصد کاربران هنوز از همان گذرواژه هایی نفوذ شده سه سال قبل استفاده می کنند.
حرکت به سمت تکنولوژی فراتر از گذرواژه برای احراز هویت همچنان به عنوان یک چالش تکنولوژی و اقتصاد باقی مانده است هر چند کاربران نسبت به آن ابراز تمایل کرده اند. طبق مطالعه VISA تقریباً سه چهارم مصرف کنندگان می گویند که آنها علاقهم ند به استفاده از اثر انگشت برای احراز هویت هستند. تقریباً نیمی از مصرف کنندگان شناسایی گذرواژه های گذشته را به عنوان مزیت اصلی تکنولوژی شناسایی بیومتریک می شناسند. با این حال تا زمانی که احراز هویت بیومتریک گسترش یابد، هنوز هم بهترین پیشنهادها برای مصرف کنندگان مهم هستند.
Dashlane در پایان گزارش خود فهرستی را ارائه می دهد که برای افرادی که در حوزه امنیت فعال هستند موضوعاتی بسیار ساده و ابتدایی است.
[1] "The Next Domino To Fall: Empirical Analysis of User Passwords across Online Services", by Chun Wang, Steve T.K. Jan, Hang Hu, Douglas Bossart, and Gang Wang of Virginia Tech
نظرات