‫ بیش از نیمی از کاربران از گذرواژه ها دوباره استفاده می کنند

طبق یک مطالعه ­گسترده که بر روی بیش از 100 میلیون کاربر و #‫گذرواژه های آن­ها انجام شد، اغلب کاربران بدترین کلمه­ های عبور را انتخاب می­ کنند و این قضیه در حال بدتر شدن است.

بیشتر کارشناسان امنیتی بر این باورند که کلمه­ عبور یک مکانیزم امنیتی ضعیف است. با این حال ما حتی در انتخاب کلمه عبور به شدت ضعیف عمل می­ کنیم. این موضوع نتیجه­ ی مطالعه ه­ای است که طی 8 سال و بر روی 28.8 میلیون کاربر و 61.5 میلیون کلمه­ ی عبور از 107 نوع سرویس به دست آمده است.

مطالعاتی که بر روی کلمه­ ی عبور، توسط محققین ویرجینا تک انجام شد، نشان داد که بیش از نیمی از کاربران از کلمه­ های عبور استفاده شده، مجدداً استفاده می­ کنند و یا در کلمه­ های عبور حساب­ های کاربری خود تغییرات جزئی ایجاد می­ کنند. استفاده مجدد از گذرواژه توسط متخصصان امنیتی شدیداً نفی شده و این مساله، یک عامل مهم در هک آسان کاربر در برنامه های احراز هویت است.

نکته­ مهم­تر و به مراتب بدتر این است که این گذر واژه های دوباره استفاده شده بسیار ضعیف بودند به گونه­ ای که بیش 16 میلیون زوج گذرواژه (30 درصد از رمزهای عبور تغییر یافته شده و تمام گذرواژه­ هایی که مجدد استفاده شده بودند) را فقط با 10 بار حدس می­ توان شناسایی کرد و از همه­ این موارد مهم­تر حساب­ های کاربری با داده­ های حساس، از سوابق مالی گرفته تا ایمیل نسبت به سایت­ هایی که حساسیت کمتری دارند، با احتمال بیشتری کلمات عبور تکراری و دوباره استفاده شده را به کار می­ برند.

محققان در Dashlane، داده­ های ناشناس از مجموعه مورد استفاده تیم فناوری ویرجینیا را برداشته و الگوهای رمزهای عبور نامناسب را جستجو کردند. آن­ها نشانه­ هایی از تمایل­ ها، الگوها، برندها و کلمات عاشقانه در انباره­ های گذرواژها پیدا کردند که همه­ آن­ها پیش­ بینی و شکستن رمزهای عبور را برای مجرمان و هکرها آسان­تر می­ کند. شاید تعجبی نداشته باشد که نام تیم­ های ورزشی مشهور (که براساس نتایج به دست آمده صعود و یا سقوط پیدا می­ کنند) و این برندهای شناخته شده مصرف کنندگان نیز نام خود را به کلمات عبور باز کرده اند.

فراگیر شدن "حرکت صفحه کلید" یا (keyboard walking) در شکل دادن کلمات عبور، محققان را کمی متعجب کرده است. "حرکت صفحه کلید" زمانی اتفاق می­ افتد که یک کاربر با انگشتان خود بر روی ردیفی از کلیدها در صفحه کلید حرکت کند. کلماتی مانند "asdfg"، "qwerty" و 12345”" همه نمونه‌هایی از "حرکت صفحه کلید" هستند و رشته­ های به دست آمده اغلب کلمات عبوری هستند که به سادگی حدس زده می شوند.

کاربرانی که کمی تنبل هستند و یا از نظر امنیتی زرنگ هستند با تغییر جهت بر روی صفحه کلید حرکت می­ کنند مانند 1q2w3e4r"،"1qaz@wsx". نکته­ قابل توجه این رمزهای عبور این است که آن­ها را می­توان فقط با انگشتان دست چپ تایپ کرد بدون آنکه حتی دست را تکان دهند و یا انگشتان را جا به جا کنند. این روش ترکیبات ممکن رو محدود کرده و باعث می­شود کلمه­ عبور به روش brute-force به سادگی شکسته شود.

برطبق یک مطالعه که توسط VISA انجام شد، یکی از دلایلی که ما در زمینه­ی کلمه­ عبور بد عمل می­ کنیم این است که ما از آن­ها متنفریم. طبق مطالعه­ VISA، تنها حدود یک سوم از کاربران از توصیه های عملی برای داشتن گذر واژه ی منحصر به فرد برای هر حساب کاربری آنلاین خود استفاده می­ کنند. تقریباً دو سوم می گویند که چندین کلمه­ عبور دارند اما برخی از گذرواژه ها را در میان حساب های مختلف خود به اشتراک می­ گذارند. این در حالی است که تنها 7% ادعا می­کنند که یک گذرواژه­ی واحد برای هر حساب کاربری مورد استفاده تعریف کرده­ اند.

در جلسه­ ی افتتاحیه­ کنفرانسCNP، جیمی اوپنبرگ، مدیر محصولات دیجیتال Discover Global Network گفت که هدف احراز هویت و تراکنش­ های بر خط از جمله آن­هایی که دارای رمز عبور هستند، ساده است: شما می­ خواهید خرید تا جایی که ممکن است فراموش نشدنی، و تا حد امکان لذت بخش باشد. احراز هویت کلید است و بسیاری از مردم به خوبی آن را انجام نمی­ دهند.

به یادآوردن و تایپ یک گذر واژه­ قوی و منحصر به فرد باعث ایجاد یک معامله با حساسیت بالا می­ شود و در زمینه­ خرید حساسیت بالا فراموش شدنی نیست. در همان کنفرانس اسکات آدامز، متخصص کلاهبرداری و ریسک گفت: نتیجه­ ناخواسته­ گذرواژه هایی که به راحتی قابل یادآوری و شکسته شدن می­ باشند این است که ممکن است مورد کلاهبرداری بیشتری قرار گیرند. روش­ها و یا ویژگی­های پرداختی که مشتریان شما می­ خواهند را ارایه دهید که اگر این کار را نکنید کلاهبردارها این کار را انجام خواهند داد.

در چند سال گذشته کلاهبرداران به ابزارهایی مجهز هستند که آن­ها را قادر می­ سازد، از انبارهای بزرگی که توسط مجرمان به سرقت برده شده و به اشتراک گذاشته شده، استفاده کنند. مقاله­ [1] حاوی دو واقعیت شگفت­ انگیز است: بیش از 70 درصد کاربرانی که گذرواژه های دوباره استفاده شده را به کار می­ برند حتی یک سال پس از نفوذ نیز از آن گذرواژه ها استفاده می ­کنند و 40 درصد کاربران هنوز از همان گذرواژه هایی نفوذ شده­ سه سال قبل استفاده می­ کنند.

حرکت به سمت تکنولوژی فراتر از گذرواژه برای احراز هویت همچنان به عنوان یک چالش تکنولوژی و اقتصاد باقی مانده است هر چند کاربران نسبت به آن ابراز تمایل کرده­ اند. طبق مطالعه­ VISA تقریباً سه چهارم مصرف­ کنندگان می ­گویند که آن­ها علاقه­م ند به استفاده از اثر انگشت برای احراز هویت هستند. تقریباً نیمی از مصرف کنندگان شناسایی گذرواژه ­های گذشته را به عنوان مزیت اصلی تکنولوژی شناسایی بیومتریک می­ شناسند. با این حال تا زمانی که احراز هویت بیومتریک گسترش یابد، هنوز هم بهترین پیشنهادها برای مصرف کنندگان مهم هستند.

Dashlane در پایان گزارش خود فهرستی را ارائه می­ دهد که برای افرادی که در حوزه­ امنیت فعال هستند موضوعاتی بسیار ساده و ابتدایی است.

  • برای هر حساب کاربری آنلاین یک رمز عبور منحصر به فرد استفاده شود.
  • گذر واژه­هایی که حداقل از 8 کاراکتر بیشتر هستند را انتخاب کنید.
  • کلمه ­های عبور ترکیبی، حساس به حروف، اعداد و نمادهای خاص ایجاد کنید.
  • از انتخاب گذرواژه هایی، که حاوی عبارات معمول، عامیانه، نام مکان­ها و یا افراد هستند، اجتناب کنید.
  • از یک ابزار مدیریت رمز عبور برای ایجاد، ذخیره سازی و مدیریت رمزهای عبور خود استفاده کنید.
  • هرگز از یک اتصال WI-FI نا ­امن استفاده نکنید.

[1] "The Next Domino To Fall: Empirical Analysis of User Passwords across Online Services", by Chun Wang, Steve T.K. Jan, Hang Hu, Douglas Bossart, and Gang Wang of Virginia Tech


     خانه بلاگ

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

توسط مدیریت
ایجاد شده در 17 بهمن 1397

برچسب‌ها

آسیب‌پذیری گذرواژه

امتیاز

امتیاز شما
         
تعداد امتیازها: 1

بایگانی

تماس با ما
تولید شده توسط مرکز راه‌کارهای اطلاعاتی هوشمند
رمزنت - شبکه تعاملی گسترش علم و فناوری رمز – تمام حقوق محفوظ است