شما در مدیریت رمزهای عبور خود اشتباه می‌کنید!

آیا شما از نرم‌افزار مدیریت رمز عبور (Password Manager) خود به درستی استفاده می‌کنید؟ مطالعه‌ای توسط دانشگاه برکلی نشان داده است که بسیاری از افراد به عادت‌های ناشی از تنبلی خود در انتخاب رمز عبور که باعث کم‌اثر شدن این ابزارهای امنیتی می‌شوند، بازگشته‌اند.

میلیون ها بار به شما گفته شده است که یک نرم‌افزار مدیریت رمز عبور تهیه و از آن استفاده کنید! اما، آیا  شما از  نرم‌افزار مدیریت رمز عبور خود به درستی استفاده می‌کنید؟

مطالعات نشان می‌دهد که به سختی یک پنجم از افرادی که برای مدیریت رمز عبور خود به گوگل وابسته‌اند، به آن اجازه تولید رمز عبور را می‌دهند!
مطالعات نشان می‌دهد که به سختی یک پنجم از افرادی که برای مدیریت رمز عبور خود به گوگل وابسته‌اند، به آن اجازه تولید رمز عبور را می‌دهند!
مطالعات نشان می‌دهد که به سختی یک پنجم از افرادی که برای مدیریت رمز عبور خود به گوگل وابسته‌اند، به آن اجازه تولید رمز عبور را می‌دهند!

استوارت شستر، مدرس و مسئول دوره آموزش امنیت و حریم شخصی در دانشگاه برکلی، نگران این است که  کاربران درباره نحوه صحیح استفاده از نرم‌افزارهای مدیریت رمز عبور به اندازه کافی آگاه نباشند. این مسئله به حدی  سرب نگرانی او شد که دانشجویان تحصیلات تکمیلی خود را تشویق کرد که  تا طی یک بررسی دانشگاهی بفهمند که کاربران دقیقاً چه کاری  هنگام استفاده از نرم‌افزارهای مدیریت رمز عبور انجام می دهند. در کنفرانس امنیتی RSAC که هفته  پیش به صورت مجازی  برگزار شد،  شستر و دانشجوی مقطع دکترایش  دیوید انجی یافته های خود را برای شرکت کنندگان این کنفرانس فاش کردند.

رمز عبور مرده است زنده باد رمز عبور

شستر  در این کنفرانس خاطرنشان کرد که بدون هیچ گونه داده ای، او نمی تواند تصور كند كه مصرف كنندگان آن طور كه ​​باید و شاید از نرم‌افزار مدیریت رمز عبور خود استفاده می كنند. شستر با اشاره به پیش بینی بیل گیتس در سال 2004، که گفته بود در آینده، هر روز کمتر از دیروز از رمز عبور استفاده خواهیم کرد، گفت:

«مایکروسافت در مورد از بین بردن رمزهای عبور صحبت کرد، گویی که رمز عبور، هم چون یک بیماری مانند آبله است. اما، گروه دیگری [مانند خودش] در اینکه رمزهای عبور از بین نمی روند، بلکه چند برابر می شوند، شرط بستند.»

وی  در این کنفرانس، به سیر تکامل نرم‌افزارهای مدیریت رمز عبور  پرداخت و در کنار آن به رویدادهایی مانند مایکروسافت در سال 2006  پیرامون CardSpace  اشاره کرد که قرار بود شروعی برای خاتمه دوران گذرواژه ها باشد و ما در ویندوز ۱۰  دیگر نیاز به پسورد نداشته باشیم ( که البته  اصلاً این طور نشد!).

استفاده از نرم افزار مدیریت رمز عبور یک خطر ذاتی دارد و آن این است که شما تمام تخم‌مرغ های خود را در یک سبد قرار داده اید. در این صورت، با اینکه بعید است، چنان چه یک گروه هکری کننده نرم افزار مدیریت رمز شما را هک کند، شما دچار مشکل و دردسر بزرگی خواهید شد. مزایای استفاده از نرم افزار مدیریت رمز عبور بسیار زیاد است، از جمله محافظت در برابر کلاهبرداری و فیشینگ.

«شما برای وارد کردن رمز عبوری که حتی خودتان آن را نمی دانید، به نرم افزار مدیریت رمز عبور خود اعتماد می کنید. اگر به یک سایت فیشینگ برخورد کنید، نرم افزار آن  وب سایت را شناسایی کرده و گذرواژه شما را در محل ورود اطلاعات آنپر نمی کند و این خود نشانه ای است که شما در حال قرار گرفتن تحت فیشینگ  هستید.» 

شستر و همکارانش، در مطالعاتی پیرامون به خاطر سپردن رمزهای عبور، قوی توانایی افراد را ارزیابی کردند. خبر خوب این است که آنها تشخیص دادند که تقریباً هرکسی می تواند یک رمز عبور بسیار قوی را بخاطر بسپارد. خبر بد این است که انجام این کار به 20 تا 30 بار استفاده منظم با فاصله کمتر از نیم ساعت نیاز دارد و اگر به طور منظم استفاده نشود، رمز عبور فراموش می شود.

تمام مزایای استفاده از نرم افزار مدیریت رمز عبور به سه فرض بستگی دارد:

  • ما فرض می کنیم که کاربران می‌توانند یک رمز عبور قوی را بخاطر سپارند؛
  • آن ها به توانایی نرم افزار مدیریت رمز عبور در ایجاد رمزهای عبور تصادفی اعتماد می کنند؛
  • آن ها هر گذرواژه ضعیف یا آسیب دیده را تغییر خواهند داد.

اما، آیا این فرضیات دقیق هستند؟

شستر به جای این که در غیاب وجود داده ها، خوش بینی را انتخاب کند، دانشجویان فارغ التحصیل خود را به جستجوی حقیقت این فرضیات ترغیب کرد.

داده، داده، داده

دانشجویان شستر، جزئیات زیادی در مورد چگونگی یافتن گروه شرکت کنندگان خود گردآوری کرده و با جمع آوری اطلاعات تقریباً 2500 نفر،  توانستند حدود 100 نفر را بیابند که بیش از پنج ماه از یک نرم افزار مدیریت رمز استفاده کرده بودند، حداقل پنج رمز عبور را با آن مدیریت کرده و مایل به ارائه یک تصویر از داشبورد امنیتی نرم افزار مدیریت رمز عبور خود بودند.

بنابراین، آیا شرکت کنندگان از یک رمز عبور اصلی قوی استفاده کرده بودند؟

متأسفانه، تعداد کمی از آنها برای استفاده از نرم افزارمدیریت رمز خود، رمز عبور ایجاد کرده و سپس آنها را حفظ کرده بودند. هرچند، افسوس که گروه بزرگی از آنان به استفاده مجدد از رمز عبور آشنا و  در دسترس اعتراف کردند.

این مطالعه نشان داد که به سختی یک پنجم افرادی که به مدیریت رمز عبور داخلی گوگل کروم وابسته اند، اجازه تولید رمز عبور را به آن میدهند (تقریباً نیمی از کسانی که به سرویس های شخص ثالث متکی هستند، از این ویژگی استفاده کردند).

این مطالعه هم چنین، به بررسی چگونگی (و یا عدم استفاده) شرکت کنندگان از قابلیت داشبورد امنیتی برای شناسایی رمزهای عبور ضعیف، تکراری و آسیب دیده پرداخت. این بار هم، نتایج بسیار دلسرد کننده بود. حتی کسانی از شرکت کنندگان که اعلام کردند که  نرم افزار مدیریت رمز عبور، کلمه عبور ضعیف را به درستی شناسایی کرده است، اغلب نیازی به جایگزینی آن ندیده اند. دلایل آنها این بود که این کار حساسیت  و وسواس بیش از حد است یا اینکه آنها نگران بودند که با به روزرسانی رمز عبور ممکن است مشکلی ایجاد شود.

تصور نکنید مردم می‌دانند که دارند چه کاری انجام می‌دهند

شستر، سخنرانی خود را با هشدار به کارشناسان و مدیران امنیتی، این گونه به پایان رساند:

«صرف داشتن نرم افزار مدیریت رمز عبور، به معنای محافظت کامل از کاربران آنها نیست. تصور نکنید كه مردم رمزهای عبور قوی را انتخاب می كنند. تصور نکنید که آنها از رمزهای عبور ایجاد شده توسط مدیریت رمز عبور استفاده خواهند کرد و تصور نکنید که آنها حتی اگر به آنها یادآوری شود ، رمزهای عبور ضعیف ، مجدداً استفاده شذه  یا آسیب دیده خود را حتماً جایگزین خواهند کرد.»

در مورد شما چطور؟ شما از نرم افزار مدیریت رمز عبور خود ( چه گوگل و چه غیر از آن)، به شیوه درست  استفاده میکنید؟ آیا داشبورد امنیتی آن را بررسی کرده اید؟ آیا آن گذرواژه های مشکل دار را که به راحتی حدس می زنیدرا با موارد قوی تر جایگزین کرده اید؟ اگر نه، وقت آن است که این مسئله را جدی بگیرید.