چه اشتباهی در کلمه‌ی عبور شما وجود دارد؟

متن سخنرانی :
من پروفسور مهندسی علوم کامپیوتریدر کارنگی ملون هستم، و تحقیقم در مورد کاربری محرمانه بودن و امنیت نرم افزار هاست. و برای همین دوستانم همیشه از عصبانیت هاشون از وسایل کامپیوتری و مخصوصا ناکارایی محرمانه موندن و امنیت کامپیوترهاشون برام داد سخن سرمیدن.
من همیشه کلمه ی کلمه عبور زیاد به گوشم میرسه. خیلی از مردم با کلمه عبور مشکل دارند، و این خیلی بد هست که شما به دنبال یک کلمه عبور منحصر به فرد باشید و این که بتونید اون ها رو حفظ کنید و و هیچ کسی هم نتونه حدس بزنه. وقتی که شما یک حساب کاربری روی ده ها سیستم مختلف دارید و به دنبال یک کلمه عبور منحصر به فرد می گردید چی کار می کنید؟ کار خیلی سختیه.
در دانشگاهی که من بودم به ما یاد دادن تا چگونه کلمه عبورمون یادمون بمونه، به ما در سال ۲۰۰۹ گفته شد در کلمه عبور باید حتما یک حرف وجود داشته باشه. اوایل خیلی خوب بودولی بعد قانون عوض شد و اواخر سال ۲۰۰۹ به ما چیز دیگه ای گفته شد، و این قانون به ما می گفت که کلمه عبور ما باید حداقل از هشت حرف و عدد از جمله حروف بزرگ و کوچک و اعداد و نشانه ها تشکیل شده باشه، ما نمی تونستیم از یک حرف بیشاز سه بار استفاده کنیم و کلمه عبور ما نباید در لغت نامه پیدا میشد.
وقتی که این قانون گذاشته شد، خیلیها، از جمله دوستان و همکاران، به من گفتند که «ای بابا دیگه کاربری نداره.» چرا دارند با ما این کار رو می کنند؟ چرا جلوشون رو نمیگیری؟
و من هم بهشون گفتم، « خب، میدنید چیه؟ اون ها از من نخواستند"
ولی من کنجکاو شدم و و رفتم از مسئولین پرسیدم که چه عاملی باعث شده تا این قانون رو به اجرا بگذارند؟ آن ها به من گفتند که دانشگاه ما جز دانشگاه های برتر پیوسته و یکی از شرایط پیوستن این بوده که ما باید کلمات عبور بهتری داشته باشیم که با سیستم جدید مشکلی پیش نیاد، و لازمه این شرایط این بوده که کلمات عبورمان باید به هم ریختگی داشته باشه به هم ریختگی کلمه عبور اصطلاح پیچیده ای هست، اما قدرت آن را مشخص می کنه. اما مسئله ی اصلی این هست که واقعا مقدار دقیقی از به هم ریختگی پسووردوجود نداره. موسسه فناوری و استاندارد ملی یک سری راهنما داره که مقدار به هم ریختگی کلمه عبور را مشخص می کنه. اما اونها هم چیز دقیقی را ندارند، و دلیل این که اون ها فقط این قاعد سرانگشتی رو دارند این که اون ها راستش اطلاعات کافی درباره کلمات عبور ندارند. در واقع، در گزارش آن ها نوشته شده که «متاسفانه، ما اطلاعات کافی از کلمات عبور کاربران به خاطر برخی قوانیندر اختیار نداریم. این موسسه دوست داشت که اطلاعات بیشتری از کلمات عبوریکه کاربران انتخاب می کنند داشته باشند، اما مسئولین سیستمها مایل نیستند تااطلاعات کلمات عبور را به دیگران نشان دهند.»
پس مشکل اصلی همین بود، اما تیم تحقیقی ما از این اتفاقبه بهترین شکل استفاده کرد. ما گفتیم" ما به اطلاعات کلمه های عبور نیاز داریم." شاید ما می تونستیم اطلاعات خوبی به دست آوردیم و به پاسخ هایی می رسیدیم.
پس اولین کاری که کردیم این بود ما چند تا بسته شکلات خریدیم و و به محیط دانشگاه رفتیم و با کارکنان، دانشجویان و اساتید صحبت کردیم و از اون ها اطلاعاتی در مورد کلمات عبورشون خواستیم. البته معلوم هست که بهشون نگفتیم«کلمات عبورتون رو به مابدید.» ما فقط در مورد محتوای کلمات عبور ازشون سوال پرسیدیم. چند حرف هست؟ آیا عددی دارد؟ آیا کلمات عبور شما نشانه ای دارد؟ و از این که هفته ی پیش مجبور به ساختن یک کلمه عبور جدید شدید، ناراحت هستید؟ پس ما از ۴۷۰ دانشجو و کارمند و استاد اطلاعات جمع کردیم، و متوجه شدیم که این قانون جدید خیلی آزار دهنده بوده، ولی از طرفی فهمیدیم که اونها با خیال راحت تر کلمه عبور خودشون روا انتخاب کردند ما متوجه شدیم که اکثر مردم می دونستند که نباید کلمه عبورشون رو جایی می نوشتند و فقط ۱۳ درصد کلمه عبورشون رو روی کاغذ نوشتند متاسفانه ۸۰ درصد عنوان کردند که کلمه عبور قبلی خودشون رو دوباره استفاده کردند. این اتفاقا خیلی خطرناک تر هست که کلمه عبورتون رو دوباره استفاده کنید، چون که شما رو خیلی بیشتر در خطر هکرها قرار میده. پس اگر مجبور شدید، کلمه عبور خودتون رو یادداشت کنید، اما دوباره ازش استفاده نکنید. چیزهای دیگه ای هم در مورد علامت ها که در کلمات عبور استفاده کردند متوجه شدیم. در سیستم جهانی فقط ۳۲ علامت برایکلمات عبور وجود داره ولی همان طور که مشاهده می کنید علامت های مخصوصی رو مردم استفاده می کنند، پس کلمه های عبور ما با استفاد از این علامت ها زیاد قدرت مند نیست.
پس این یک تحقیق بسیار جالب بود، و ما از ۴۷۰ نفر اطلاعات داریم، اما به طور کلی نتونستیم زیاد اطلاعات به دست بیاوریم، پس یک نگاهی به اطرفمون انداختیم و گفتیم دیگه از کجا می تونیم اطلاعات به دست بیاوریم؟ متوجه شدیم که خیلی از کسانی که کلمات عبور رو می دزدند این کلمات عبور دزدیده شده رو در در اینترنت قرار می دهند. پس ما تونستیم به این اطلاعات در اینترنت دست یابیم. البته این یک ایده ی بی عیب برای یک تحقیق نبود، چون که اصلا معلوم نیست که این اطلاعات از کجا اومده، یا این که در سایت مورد نظر مردم از چه قوانینی برای ساخت این کلمه های عبور استفاده کردند. پس ما می خواستیم یک منبع بهتر پیدا کنیم. پس تصمیم دیگه ای که گرفتیم این بود که از مردم بخواهیم برای ما کلمه های عبور جدی بسازند. پس ما از طریق یک سرویس اینترنتی به نام آمازون مکانیکال ترک استفاده کردیم، و در این سرویس به مردم پولی داده میشه تا در عرض چند دقیقه یا یک ساعت در ازای چند دلار برای شما کاری رو انجام بدن. و ما از طریق سایت آمازون به آن ها پولی رو دادیم. خب به هر نفر ۵۰ سنت برای ساخت یک کلمه عبور و شرکت در نظر سنجی پرداخت کردیم، و دوباره به اونها برای بازگشت به سایت و و وارد شدن به سایت مورد نظر و استفاده کردن دوباره از کلمه عبور وجواب دادن به یک نظر سنجی دیگه پرداخت کردیم. با انجام این کار حدود ۵٫۰۰۰ کلمه عبور جمع آوری کردیم، و از هر شخصی خواستیم تا با قوانین خاصی کلمه عبور بسازه. بعضی از مردم قانون کلمه عبور راحتی داشتند، که ما بهش ۸ ساده میگیم، و در این قانون کلمه عبور شما باید حداقل هشت حرف داشته باشه. ولی بقیه کاربران مثل دانشگاه از قانون کلمه های عبور سخت تری استفاده کرده بودند و کلمه های عبورهشت حرفیشون شامل حروف کوچک، بزرگ، اعداد و نشانه بود، و توسط لغتنامه هم چک میشد. و یک قانون دیگه ای هم که امتحان کردییم، و البته تعدادشون هم کم نبود، این بود که کلمه های عبور حداقل باید از 16 حرف تشکیل می شدند.
پس ما ۵٫۰۰۰ کلمه عبور داشتیم که طبیعتا تونستیم اطلاعات بیشتری رو به دست بیاوریم. و دوباره متوجه شدیم که تعداد خیلی کمی از علامت های خاصی مردم در کلمه های عبور استفاده می کنند. ما هم چنین خواستیم ببینیم که مردم در کلمه های عبورشون چه مقدار پیچیدگی ایجاد می کنند، اما همانطور که قبلا گفتم، این راه خوبی برای تعیین قدرت یک کلمه عبور نیست. پس ما تصمیم گرفتیم ببینیم با بهترین نرم افزار های هک که توسط هکر ها استفاده می شد چه مقدار طول می کشه تا کلمه عبوری هک شه، و می تونستیم اطلاعات زیادی در در تحقیق به دست بیاریم.
بذارید بهتون بگم که هکرها چه گونه کلمه عبوری رو به راحتی هک می کنند، اونها فایل حاوی کلمات عبوری رو سرقت می کنند که همه کلمات عبور رو در قالب کد شد که اصطلاحا "بهم ریخته" نام داره استفاده می کنند، و کاری که می کنند این که سعی کنند کلمه عبور رو حدس بزنند، و از طریق تابع درهم سازی متوجه میشن که آیا کلمه عبور در لیست این فایل موجود هست یا نه. پس یک هکر احمق به ترتیب از حروف الفبا شروع میکنه و قبل از پیدا کردن کلمه عبور که شاید هم پیدا نکنه وقت زیادی را از خودش می گیره. اما یک هکر باهوش کار دیگه ای رو انجام میده اون ها دنبال کلمات عبوری هستند که برای مردم عادی از محبوبیت زیادی برخوردار هست و از بین این کلمات عبور پسوورد درست رو حدس می زنند برای مثال با کلمه ی "پسوورد"شروع می کنند و بعد "میمون" و «دوستت دارم» رو امتحان می کنند و یا این یکی رو 12345678. چون که این ها کلمات عبوری هستند که اکثر مردم از آن استفاده می کنند. در واقع احتمالا شما هم چنین کلمات عبوری رو دارید. پس ما متوجه شدیم که از بین این 5 هزار کلمه عبوری که از طریق این تحقیقات جمع آوری کردیم تا پی به قوت آنها ببریم، متوجه شدیم که کلمات عبور طولانی راستش قوی هم هستند، و پیچیدگی کلمات عبور هم خوب بود. از طرفی اطلاعات نظر سنجی نشون می داد که مردم از انتخاب کلمات عبور طولانی و سخت و یا خیلی پیچیده راضی نیستند و اون ها را اذیت می کنه، حتی در بعضی مواقعکلمات عبوری که طولانی تر بودند از آنهایی که پیچیدگی بیشتری داشتند امن تر به نظر می رسند. پس ما متوجه شدیم که، به جای این که به مردم بگین کلمات عبور اون ها باید اعداد و نشانه های مختلفی داشته باشه و چیز های دیوانه کننده ای رو انتخاب کنند، بهتر است به مردم بگیم که رمزهای طولانی تری را داشته باشند. اما باز هم این یک مشکلی داره: بعضی از کاربران کلمه عبور طولانی داشتند اما زیاد امن نبودند. شما می تونید کلمه عبور طولانی بسازید ولی خیلی راحت توسط هکرها قابل حدس زدن باشه. پس ما به یک چیز بیشتر ازطولانی بودن کلمه عبور نیاز داشتیم. باید موارد بیشتری برای امن بودن در نظر بگیریم، و دنبال این هستیم که چه مواردی را برای امن تر کردن کلمه عبور که برای مردم هم قابل حفظ کردن باشه انتخاب کنیم.
یک روش دیگه برای داشتن کلمه عبور بهتر در سایت ها استفاده از معیار سنجی کلمه عبور هست. بزارید چند مثال بزنم. احتمالا در اینترنت هنگام ثبت نام و ساخت کلمه عبور این معیار رو دیده اید. ما در تحقیق خود خواستیم ببینیم که آیا این معیار ها جواب گو هستند یا نه. آیا این ها واقعا به کاربران کمک می کنند که کلمه عبور بهتری داشته باشند؟ و اگر جواب بله هستکدام یک بهتر می باشد؟ پس ما سایت های مختلفی رو چک کردیم با سایزها، عکس ها و موارد دیگر که کنار ساختن کلمه عبور دیده می شد، و حتی توی یکی از این سایت ها یک خرگوش رقصنده رو هم تست کردیم. وقتی که شما کلمه عبور بهتری می نوشتید این خرگوش سریع تر و سریع تر به رقص خود ادامه می داد. این خیلی برای من جالب بود.
چیزی که ما متوجه شدیم این بود که این معیار ها برای کلمه عبورمفید بود. (خندیدن) اکثر این ها واقعا موثر بودند، این خرگوش هم واقعا کار درست رو انجام می داد، اما اونی از همه بهتر بود که به شما می گفت باید پیچیده ترینکلمه عبور رو بسازید و بعد به شما علامت اوکی را به نشانه ی خوب بودن کلمه عبور می داد، و فهمیدیم که اکثر این معیار سنجی هایی که در اینترنت استفاده میشه سخت گیر هستند. این سایت ها به شما خیلی زود جواب میدن که کارتون رو دارید خوب انجام میدید ولی اگر به شما این علامت رو ندن، شاید شما بتونید پسوورد بهتری هم انتخاب کنید.
یک ایده ی دیگه برای کلمه عبور بهتر، استفاده از عبارات به جای کلمه عبور هست. این یک عکس کارتونی از چند سال پیش هست، و طراح این عکس معتقد هست که ما همگی باید از عبارات استفاده کنیم، و اگه به ردیف دوم در این عکس نگاه کنید، می بینید که طراح این نقاشی که عبارت بی معنی" پشم باتری اسب ها را درست کن" به عنوان کلمه عبور انتخاب کرده که یک کلمه عبور قوی و آسان برای حفظ کردن می باشد. شما در واقع همین الان اون رو حفظ کردید پس ما تصمیم گرفتیم در این مورد هم تحقیق کنیم. در واقع با هر کسی که در مورد کلمه عبور که بهشون می گفتم موضوع تحقیقم بودصحبت کردم، به من درباره این کارتون می گفتند. «این نقاشی رو دیدی؟ "پشم باتری اسب ها را درست کن.» پس ما تحقیقی انجام دادیم که ببینیم واقعا چه اتفاقی افتاده.
ما در تحقیقاتمون از کلمات تصادفی که کامپیوتر انتخاب کرده بود در کلمه عبور استفاده کردیم. علت این کار هم این بود که که انسان ها در انتخاب کلمات تصادفی خوب عمل نمی کنند. اگر از یک نفر بخواهیم این کار رو بکنه کلماتی استفاده می کنند که واقعا تصادفی نیستند. پس ما از شرایط دیگه ای استفاده کردیم. در یکی از این شرایط،کامپیوتر کلمات را از لغتنامه که کلمات عمومی داشت انتخاب می کرد، و شما شاهد کلماتی مثل "اون جا رو امتحان کن، سه تا می آیند" و به این کلمات نگاه کردیم و گفتیم که و دیدیم حفظ کردن این کلمات کار سختیه. پس تصمیم گرفتیم از کلماتی استفاده کنیم که از لحاظ دستوری با هم فرق دارند، مثل اسم و صفت و فعل. و دیدم که یک چیزی مثل جمله رو میشه پیدا کرد. پس عبارتی مثل "برنامه ریزی قدرت کمی را می سازد" "پایان داروهای قرمز تعیین می کند" و دیدیم این جملات برای حفظ کردن راحت تر هستند، و گفتیم که شاید کاربران از این ها بیشتر خوششون بیاد. و این ها رو با کلمات عبور مقایسه کردیم، و از کامپیوتر خواستیم که کلمه عبورتصادفی انتخاب کنه، و این جملات کوتاه و جالب بودند اما برای حفظ کردن ممکن هست به مشکل بخوریم. پس تصمیم گرفتیم از پسوورد هایی به اسم پسوورد های تلفظی استفاده کنیم. پس در این جا کامپیوتر هجاهای تصادفی رو انتخاب می کرد و در کنار هم قرار می داد پس شما یک کلمه با تلفظ عجیب دارید، مثل کلمه ی «توفریتی» یا «واداسابی» که راحت زبونتون برای تلفظش بچرخه. پس این ها کلمه عبور تصادفی بودند که توسط کامپیوتر ساخته شدند.
پس چیزی که ما در این تحقیق متوجه شدیم این بود که کلمه عبورکه عبارت در اون ها بکار رفته خوب نیستند. و کاربران برای حفظ کردن این کلمه عبور نسبت به کلمه عبور خودشون کار سخت تری دارند. و به علت این که کلمات عبور عبارتی طولانی تر هستند، وقت بیشتری برای تایپ کردن می برند و کاربران اشتباهات بیشتری برای تایپ مرتکب می شوند. پس نمیتونیم بگیم که کلمات عبور عبارتی خوب هستند. از شما طرفداران این نقاشی عذر خواهی می کنم. از طرفی دیگه متوجه شدیم که کلمه عبور تلفظی به خوبی جواب گوست، پس ما تحقیقات بیشتری رو در این مورد انجام دادیم و ببینیم می تونیماز این نوع کلمات عبور استفاده ی بهتری ببریم. یکی از مشکلاتی که همیشه در تحقیقات خودمون داشتیم این بود که کلمه عبور به صورت کامپیوتری ساخته می شد و توسط کاربران واقعی ساخته نمیشن. این ها کلمات عبور بودند که کامپیوتر برای تحقیقات ما به صورت تصادفی ساخته بود. و ما می خواستیم متوجه بشیم که که کاربران برای ساخت کلمه عبور چی کار می کنند.
پس ما از بخش امنیت دانشگاه خواستیم که اگر میشه تمامی کلمات عبورکاربران رو به ما بدهند. طبیعتا اونها اولش موافقت نکردند که کلمه عبور همه رو به ما بدهند، اما راستش موفق شدیم سیستمی رو راه بندازیم که کلیه کلمات عبور حقیقی کارکنان و داشنجویان که تعدادشون به ۲۵ هزار نفر می رسید رو در یک کامپیوتر قفل شده و در اتاق قفل شده بدون دسترسی به اینترنت جمع آوری کنیم و کدی رو اجرا کردند که بتونیم کلمات عبور رو آنالیز کنیم. اونها کد ما رو تحت بررسی دقیق قرار دادن. و کد را اجرا کردند. پس در واقع ما کلمه عبور کسی رو ندیدیم.
ولی به جواب های جالبی رسیدیم، که مطمئنا شما از دیدن این نتایج شگفت زده خواهید شد. ما متوجه شدیم که کلمات عبوری که توسط مهندسان کامپیوتر ساخته شده بود حدود دو برابر بهتر از کلمات عبوری بود که توسط رشته ی بازرگانیساخته شده بود. ما نتایج شگفت انگیز تری رو هم تونستیم به دست بیاریم. یک چیز دیگه که متوجه شدیم این بود که کلمات عبوری که توسط کاربران دانشگاه ساخته شده بود با کلمات عبوری که توسط کامپیوتر ساخته شده بود شباهت زیادی داشتند، پس این باعث شد تا مطمئن بشیم که درست کردن کلمات عبوری توسط کامپیوتر و و نرم افزار مخصوص راه قابل اطمینانی برای تحقیق در این مورد هست. پس این خبر خوبی بود.
خب می خوام در مورد اخر صحبت کنم که که سال گذشته در دانشکده هنر ملون کارنگی به چه بینشی رسیدم. یکی از کارهایی که کردم این بود که چند تا جرم مرتکب شدم، و یک طرحی رو درست کردم. به نام «پوشش امنیتی». (خندیدن) و با این کار هزار عدد از کلمات عبوری که از سایت راک یو دزدیده شده بود رو جمع کردم. و تعداد این کلمات عبور با این که چه مقدار در سایت استفاده می شدند رابطه ی مستقیم داشت. پس من یک دسته ای درست کردم. و تمامی این ده هزار کلمه عبور رو در دسته هایی به صورت موضوعی دسته بندی کردم. و در بعضی مواقع سخت بود که این دسته بندی انجام بشه و این که کجا قرار بگیرند، و بعد من تصمیم گرفتم براشون یک رنگی در نظر بگیرم.
بذارید چند تا مثال بزنم: کلمه ی جاستین ممکنه اسم کابر باشه، یا اسم پسرش، یا شاید هم طرفدار جاستین بیبر! یا کلمه ی شاهزاده آیا لقب کسی هستش؟ آیا طرفدار شاهزاده های والت دیزنی هستش؟ یا شاید هم اسم گربه شون باشه. یا جمله دوستت دارم که به کرات در زبان های مختلف بکار میره. در این کلمات عبور شما کلمات مختلفی از عشق و عاشقی تا کلمات زشت و تحقیرآمیز می بینید، اما برای من جالب بود که که عشق در این کلمات عبور بیشتر از نفرت دیده می شد. و حتی حیوانات مختلف هم در کلمات عبور مثل میمون که چهاردهمین کلمه عبور محبوب شناخته شد دیده می شد. و من کنجکاو شدم چرا میمون ها اینقدر محبوب هستند؟ پس در آخرین مطالعه ی ما هر وقت کسی رو می دیدیم که از کلمه ی میمون برای کلمه عبور ستفاده می کرد ازشون علتش رو می پرسیدم. و از هفده نفری که پیدا کردیم، کلمه ی «میمون» رو برای کلمه عبورشون انتخاب کرده بودند-- حدود یک سومشون حیوان خانگی به اسم «میمون» داشتند، یا این که دوستی داشتند که لقبش میمون بوده، و بقیه هم می گفتند از میمون خوششون میاد و میمون ها بامزه هستند. و واقعا برام جالب بود.
پس چیزی که مشخص هست اینه که وقتی که ما می خواهیم کلمه عبور بسازیم، ما یا یک کلمه عبور بسیار آسان که راحت باشیم تایپ کنیم، می سازیم یا یک کلمه ای که به راحتی حفظ کنیم یا کلمه عبورمون یک ربطی به نام کاربری داشته باشه، یا هر چیز دیگه ای. یا به چیزی فکر می کنیم که ما رو خوشحال می کنه، و کلمه عبورها رو بر اساس چیزهایی که ما رو خوشحال می کنند، می سازیم. و در حالی که این کار تایپ کردن و بخاطر سپردن کلمه عبورتون رو برای شما خوشایند می کنه، همینطور برای بقیه خیلی راحت تر هست که کلمه عبور شما رو حدس بزنند. من می دونم که این سخنرانیهای TED الهام بخش هستند و باعث میشوند تا شما به چیز های مثبت فکر کنید، ولی وقتی می خواهید کلمه عبور بسازید، سعی کنید در مورد یک چیز دیگه فکر کنید.
متشکرم.
(تشویق)

دیدگاه شما چیست؟

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *