خستگی از گذرواژه

خستگی از گذرواژه یا خستگی ناشی از کلمهٔ عبور احساسی است که به بسیاری از افرادی دست می‌دهد که باید تعداد زیادی از گذرواژه را حفظ کنند که بخشی از روال زندگی روزمره شان را تشکیل می‌دهند. مثلاً برای وارد شدن به یک رایانه در محل کار، باز کردن یک قفل دوچرخه، انجام عملیات بانکی توسط یک دستگاه خودپرداز (ATM). این حالت همچنین به نام آشوب کلمهٔ عبور یا به‌طور معمول تر، آشوب هویت نیز شناخته می‌شود.^[۱]

علت‌ها[ویرایش]

استفادهٔ روزافزون از فناوری اطلاعات و اینترنت در اشتغال، زمینه‌های مالی، تفریحات و سایر جنبه‌های زندگی افراد، و به دنبال آن معرفی تکنولوژی تراکنش امن، باعث شده افراد به جمع‌آوری و نگهداری تعداد زیادی حساب کاربری و کلمهٔ عبور رو بیاورند.

به استناد یک بررسی در سال ۲۰۰۲ که توسط واحد نظارت بر فضای مجازی مشاور امنیت برخط بریتانیا انجام شده، یک کاربر حرفه‌ای کامپیوتر، به صورت عادی ۲۱ حساب کاربری دارد که نیاز به کلمهٔ عبور دارند.^[۲]

برخی از عوامل ایجاد خستگی ناشی از رمز عبور عبارتند از:

انتظار غیرمنتظره از کاربر برای ایجاد یک کلمهٔ عبور جدید.
انتظار غیرمنتظره از کاربر برای ایجاد کلمهٔ عبور جدیدی که مطابق الگوی خاصی از حروف کوچک و بزرگ، ارقام و علائم خاص باشد.
انتظار از کاربر در تایپ کردن کلمهٔ عبور ورودی برای بار دوم.
تقاضاهای مکرر و غیرمنتظره از کاربر در طول روز برای وارد کردن مجدد کلمهٔ عبور
تایپ کردن بدون توجه در مواقع وارد کردن کلمهٔ عبور یا تنظیم یک کلمهٔ عبور جدید و در نتیجه دریافت خطاهای متعدد

مسائل و مشکلات مربوط[ویرایش]

خستگی ناشی از کلمهٔ عبور، فارغ از ایجاد اضطراب، ممکن است مردم را تشویق به اتخاذ عادت‌هایی کند که امنیت اطلاعات حفاظت شده شان را کاهش دهد. به عنوان مثال، یک کاربر رایانه ممکن است برای چندین حساب کاربری خود، از یک کلمهٔ عبور استفاده کند، عمداً یک کلمهٔ عبور ساده (امکان به خاطر سپردن راحت) را برای حساب (های) کاربری‌اش انتخاب کند که بسیار آسیب‌پذیر و به راحتی قابل شکستن هستند یا به نسخه‌های نوشته شده‌ای از کلمات عبور حساب‌های کاربری اش اتکا کند.

بسیاری از وبگاه‌ها برای جلوگیری از انتخاب کلمات عبور ساده توسط کاربران، محدودیت‌هایی روی طول کلمهٔ عبور یا ترکیب عناصر سازندهٔ آن اعمال می‌کنند که باعث خستگی ناشی از کلمهٔ عبور می‌شود. در بسیاری از موارد، محدودیت‌های اعمال شده روی طول و ساختار کلمهٔ عبور در نهایت باعث کاهش امنیت حساب کاربری می‌شوند (یا با جلوگیری از ایجاد کلمات عبوری مناسب یا با پیچیده کردن بیش از حد کلمات عبور تا جایی که کاربر را مجبور به ذخیرهٔ آن در جایی نا امن بکند). بعضی از وبگاه‌ها همچنین استفاده از کاراکترهای غیر حرفی یا غیر عددی و برخی دیگر، استفاده از کاراکترهای غیر اسکی را در ساختار کلمهٔ عبور غیرمجاز می‌دانند.

خستگی ناشی از کلمهٔ عبور عموماً کاربران را تحت تأثیر قرار می‌دهد با این وجود، می‌تواند دردسرهایی برای ادارات فنی که حساب‌های کاربری شان را در عین تغییر دادن پیاپی کلمات عبور به منظور امنیت مدیریت می‌کنند نیز ایجاد کند. این خستگی در هر دو مورد به تدریج باعث از دست رفتن روحیهٔ کاربران می‌شود. در بسیاری موارد، کاربران در نهایت کلمات عبور خود را در فایل‌های متنی کم امنیت ذخیره می‌کنند تا در ادامه مجبور به حفظ کردن آن‌ها نباشند یا به روش‌های با امنیت پایین دیگری برای ذخیرهٔ کلمات عبور روی می‌آورند.

راه‌های حل[ویرایش]

برخی از شرکت‌ها در این زمینه به خوبی سامان دهی شده‌اند. این شرکت‌ها راه‌های احراز هویت دیگری را نیز در کنار استفاده از کلمهٔ عبور، پیاده‌سازی کرده‌اند^[۳] یا از فناوری‌هایی برای ورود خودکار اطلاعات کاربران استفاده می‌کنند. اما ممکن است تمرکز بقیه شرکت‌ها روی سهولت استفاده نباشد یا اینکه حتی شرایط را با ایجاد مکرر برنامه‌های جدیدی که با سیستم احراز هویت آن کار می‌کنند، بدتر کنند.

نرم‌افزار شناسایی یگانه (SSO) می‌تواند در کاهش این مشکل کمک شایانی کند. این این روش تنها از کاربر انتظار دارد که یک کلمهٔ عبور را برای دسترسی به نرم‌افزاری که دسترسی آن‌ها را به چندین حساب کاربری دیگر مهیا می‌کند به خاطر بسپارند. این نرم‌افزارها ممکن است به عامل نرم‌افزاری دیگری در رایانهٔ فرد نیاز داشته باشند یا نداشته باشند. یکی از معایب اصلی این راه حل این است که از دست دادن کلمهٔ عبور اصلی به معنای از دست دادن دسترسی به تمامی حساب‌های کاربری خواهد بود که از طریق سیستم SSO فعالیت می‌کنند. همچنین به سرقت رفتن این کلمهٔ اصلی، امکانات سوء استفادهٔ زیادی را در اختیار سارق یا مهاجم قرار می‌دهد.
نرم‌افزار متمرکز مدیریت کلمهٔ عبور - بسیاری از سیستم‌های عامل، مکانیزمی را برای ذخیره و دریافت کلمات عبور، با استفاده از کلمهٔ عبور ورود کاربر به سیستم فراهم می‌کنند. در این روش از کلمهٔ عبور ورود کاربر برای قفل گشایی یک پایگاه دادهٔ کلمات عبور کد شده‌استفاده می‌شود. مایکروسافت ویندوز از یک نرم‌افزار مدیریت اعتبارات برای ذخیرهٔ اسامی و کلمات عبوری استفاده شده برای ورود به وبگاه‌ها یا سایر رایانه‌ها در شبکه استفاده می‌کند. سیستم عامل مک یک قابلیت دسته کلید دارد که این خدمت را ارائه می‌کند و قابلیت‌های مشابهی در سیستم عامل‌های رومیزی متن باز گنوم و KDE نیز موجود است. به علاوه توسعه دهندگان مرورگرهای وب نیز قابلیت مشابهی را به تمامی مرورگرهای اصلی شان افزوده‌اند. در این روش اگر رایانهٔ کاربر خراب شده، از کار بیفتد یا به سرقت برود، وی دسترسی به سایت‌هایی را که پیش از این تنها از طریق نرم‌افزار متمرکز کلمهٔ عبور به آن‌ها دسترسی داشت را از دست می‌دهد.
نرم‌افزارهای مدیریت کلمهٔ عبور مانند keepass و Password Safe می‌توانند در کاهش مشکل خستگی ناشی از کلمهٔ عبور کمک شایانی بکنند. این نرم‌افزارها، کلمات عبور را در پایگاه‌ها ی داده‌ای که توسط یک کلمهٔ عبور رمزگذاری شده‌اند، ذخیره می‌کنند. این روش نیز از مشکلاتی مانند مشکلات نرم‌افزار شناسایی یگانه رنج می‌برد. از دست دادن کلمهٔ عبور پایگاه داده به منزلهٔ از دست دادن تمامی کلمات عبور ذخیره شده در آن خواهد بود و اگر این کلمهٔ عبور به دست فرد نادرستی بیفتد، به تمامی کلمات عبور ذخیره شده در پایگاه داده دسترسی خواهد داشت.
بازیابی کلمهٔ عبور - بسیاری از خدمات برخطی که توسط کلمهٔ عبور محافظت می‌شوند، یک قابلیت بازیابی کلمهٔ عبور را عرضه می‌کنند که به کاربر امکان بازیابی کلمهٔ عبور فراموش شده را از طریق آدرس ایمیلش (یا اطلاعات دیگر وابسته به آن حساب کاربری) می‌دهد. با این وجود این سیستم هم به هدفی برای حملات مهندسی اجتماعی تبدیل شده‌است. مجرمینی که اطلاعات کافی دربارهٔ فرد هدفشان داشته باشند، می‌توانند با ارایهٔ این اطلاعات و جا زدن خودشان به جای او، به کلمهٔ عبور وی دسترسی پیدا کنند و حساب کاربری وی را مورد سرقت قرار دهند.

جستارهای وابسته[ویرایش]

منابع[ویرایش]

↑ "Password chaos" at TheFreeDictionary
↑ Hayday, Graham.
↑ Such as digital certificates, OTP tokens, fingerprint authentication or password hints.

پیوند به بیرون[ویرایش]

ناشی یوکی. Access Denied واشینگتن پست، ۲۳ سپتامبر ۲۰۰۶.
کاتن جاش. بد فرم: ۶۱٪ استفاده از رمز عبور یکسان برای همه چیز, ۱۷ ژانویه ۲۰۰۸.

[1] "Password chaos" at TheFreeDictionary

[2] Hayday, Graham.

[3] Such as digital certificates, OTP tokens, fingerprint authentication or password hints.

[۱]

[۲]

[۳]