2.4.4. Kirish nazorati
Machine Translated by Google
2.4.5. Identifikatsiya va autentifikatsiya
l samaradorlik, bu hujumlardan parol kuchiga ishora qiladi l qulaylik, parolni
eslab qolish va kiritish qanchalik osonligini bildiradi.
menejer kirish huquqiga ega bo'lmagan ma'lumotni so'raganda "yo'q" deyish uchun jiddiy muammolar
(Kabay, 2002). Allendoerfer & Pai (2005) shuningdek, xodimlar juda shubhali ko'rinmasliklari sababli
hokimiyatga parolni oshkor qilishlari mumkinligini ta'kidlaydilar.
Ma'lumotlarga asoslangan
autentifikatsiya Parollar ko'pincha KO'Kda autentifikatsiya mexanizmi sifatida ishlatiladi, ammo inson
xotirasi bilan bog'liq muammolar va ijtimoiy jihatlar, agar parol tizimi foydalanuvchilardan juda ko'p xavfsizlik
talab qilsa, odamlarni hafsalasi pir bo'lishi, bezovta qilishi va hatto norozi bo'lishiga olib kelishi mumkin.
Keyt va boshqalar (2007) uchta o'zaro bog'liq asos mavjudligini ta'kidlaydilar:
Umuman olganda, bilimga asoslangan autentifikatsiyada foydalanish imkoniyati nuqtai nazaridan ikkita
inson omili muammosi mavjud. Birinchi muammo shundaki, xavfsizlik talablariga muvofiq parol juda uzun
yoki juda murakkab bo'lishi mumkin. Ikkinchi muammo - eslab qolish qiyinligi, chunki juda tez-tez o'zgartirish
talablari yoki juda qiyin, yoki turli xil parollarga ega ko'plab tizimlar mavjud.
Parolni yodlash masalalari yaxshi o'rganilgan; masalan, Allendoerfer & Pai (2005) asosan yodlash
muammosiga murojaat qiladi va uni foydalanuvchi parollari uchun 5 ta kognitiv bosim asosida batafsilroq
bo'linadi: uzunlik, murakkablik, o'zgartirish chastotasi, foydalanish chastotasi va parollar soni.
Shafqatsiz kuch hujumlarini kamaytirish uchun parol siyosati ko'pincha tasodifiy parolsiz parolni talab qiladi
20
Anderson (2008) parollar bilan bog'liq uchta keng tarqalgan tashvish mavjudligini ta'kidlaydi - parolni to'g'ri
kiritish ehtimoli, foydalanuvchi eslab qoladimi yoki yozib oladimi, va foydalanuvchi parolni tasodifan yoki
qasddan oshkor qiladimi.
Identifikatsiya va autentifikatsiya axborot xavfsizligi asoslari (Schultz va boshq, 2001), foydalanuvchining
kirish huquqini nazorat qilish va foydalanuvchi xatti-harakati bilan bog'liq parollardan foydalanish sohasi
bo'lib, ko'plab tadqiqotlar olib borilgan. Asosan, autentifikatsiya qilish tizimlarining uchta turi mavjud - odam
biladigan narsa, masalan, parol, PIN-kod, odamda mavjud bo'lgan narsa (kalit, smart-karta) va odamning
biror narsasi, masalan , barmoq izi, iris naqshlari (Anderson, 2008). ).
l Murakkablik
Allendoerfer & Pai (2005) ga ko'ra, Miller (1956) tadqiqoti shuni ko'rsatdiki, insonning qisqa muddatli xotirasi
etti "bo'lak" plyus / minus ikkita sig'imga ega. "Chunk" - bu mazmunli ma'lumotlar to'plami, masalan, so'z.
Ammo tashkilotlarning 36% dan ortig'i parollar kamida sakkiz belgidan iborat bo'lishini talab qiladi. Agar
foydalanuvchilarga parolga mazmunli ma'lumotlarni qo'shishga ruxsat berilsa, parolni eslab qolish darajasi
sezilarli darajada oshadi (Allendoerfer & Pai, 2005).
l Uzunlik
l qoniqish, bu foydalanuvchi parolning samaradorligi va qulayligi haqidagi psixologik
idrokni bildiradi.
Machine Translated by Google
l Parollar soni
l O'zgarish chastotasi
21
Sasse (nd) hatto tez-tez va kam ishlatiladigan parollar uchun turli autentifikatsiya mexanizmlarini
ko'rib chiqishni taklif qiladi.
Allendoerfer & Pai (2005) ta'kidlashicha, nafaqat kognitiv bosim xodimlarga, balki ijtimoiy jihatlar va
foydalanuvchi munosabati ham parollar bilan bog'liq xatti-harakatlarga ta'sir qiladi. Ushbu jihatlardan
ba'zilari quyidagilardir: shaxsiyat, ishonch, norasmiy ish tartiblari. Tadqiqot shuni ta'kidlaydiki,
odamlar tabiatan ijtimoiydir, shuning uchun ular o'zlari yoki hamkasblari tomonidan ijobiy qarashga
moyil bo'lib, parollarni baham ko'rmasliklari yoki hamkasbiga ma'lumot so'rashsa, ularni oshkor
qilmasliklari uchun "nerds" deb nom olishni xohlamaydilar. Bundan tashqari, xodimlar ko'pincha
parol almashishni hamkasblar o'rtasidagi ishonch belgisi sifatida qabul qilishadi, ammo ishonch
jamoaviy ish uchun muhim (Allendoerfer & Pai, 2005) va odatda tashkilotlar kerakli guruhlar ichida
ishonchni o'rnatishga harakat qilishadi. Natijada, agar xodimdan parol so'ralsa, u parolni oshkor
qilish uchun ijtimoiy bosimni his qiladi.
Allendoerfer & Pai (2005) ma'lumotlariga ko'ra, tasodifiy parolni eslab qolishning asosiy usuli bu
tez-tez takrorlash yoki yozishdir. Yozilgan va hamkasblar uchun mavjud bo'lgan parollar ichki tahdid
darajasiga salbiy ta'sir ko'rsatishi mumkin.
Odatda har kuni ko'p marta kiritishimiz kerak bo'lgan parollar bor, lekin oyda bir marta yoki hatto
kamdan-kam hollarda kiritishimiz kerak bo'lgan parollar ham bor. Har kuni ishlatiladigan parollar
kamdan-kam ishlatiladigan parollarga qaraganda osonroq eslab qolinadi (Allendoerfer & Pai, 2005).
Kamroq parollardan foydalanish parol xavfsizligini jiddiy kamaytirmasdan foydalanuvchilar uchun qabul qilib
bo'lmaydigan kognitiv bosimlarni kamaytirishi mumkin, shuning uchun boshqaruv turli tizimlar uchun bir xil
paroldan foydalanishga ruxsat berishi kerak (Allendoerfer & Pai, 2005).
lug'atdagi so'zlar, bu foydalanuvchilarning ularni eslab qolishida muammo yaratadi. Kognitiv bosimni
oshiradi; ayniqsa, agar foydalanuvchilar parollarni oson eslab qolish uchun turli xil mnemonik
usullardan xabardor bo'lmasalar (Allendoerfer & Pai, 2005).
So'rovlar shuni ko'rsatdiki, xodimlar odatda ko'plab tizimlarda autentifikatsiyadan o'tishlari kerak,
ammo kognitiv bosimlardan biri shundaki, odam qanchalik ko'p parollarni eslab qolishi kerak bo'lsa,
har qanday maxsus parolni eslab qolish shunchalik qiyin bo'ladi va shunga o'xshash tizimlarda
aralashish ehtimoli ko'proq. parollar, (Allendoerfer & Pai, 2005).
Vaqt cheklovlari tufayli tez-tez o'zgartirilgan parollarni buzish qiyinroq. Ko'pincha parollar har 30-90
kunda o'zgartiriladi, ammo muhim ilovalar parollarni tez-tez o'zgartirishni talab qiladi. Ammo berish
va olish holatlari mavjud - parollar qanchalik tez-tez o'zgartirilishi kerak bo'lsa, ularni eslab qolish
shunchalik qiyin bo'ladi, chunki odamga "proaktiv shovqin" ta'sir qiladi - yangi parolni eslab qolishga
harakat qilganda, eski parol xato bilan eslab qolingan (Allendoerfer & Pai, 2005).
l Foydalanish chastotasi
Machine Translated by Google
Token asosidagi autentifikatsiya nafaqat IS ichida foydalanuvchi autentifikatsiyasi uchun, balki jismoniy kirishni
boshqarish uchun ham qo'llaniladi. Tokenlar odatda foydalanuvchini autentifikatsiya qilish uchun qandaydir parolga
ega, odatda PIN-kod va u parollar bilan bir xil muammolarni keltirib chiqaradi, yagona farq shundaki, PIN kod
qisqaroq va odatda tez-tez o'zgartirilishi shart emas. Autentifikatsiya tokenlari parol tizimlariga o'xshash inson
omilining zaif tomonlariga ega, chunki foydalanuvchilar o'zlarining tokenlarini unutishi, noto'g'ri joylashtirishi yoki
zarar etkazishi mumkin va natija deyarli bir xil bo'ladi (Allendoerfer & Pai, 2005). Ammo Schultz (2007) ta'kidlashicha,
tokenga asoslangan tizim foydalanuvchi xatti-harakatlariga ta'sir qiluvchi yana bir nechta omillarga ega, chunki u
autentifikatsiya qilish uchun qo'shimcha qadamlarni talab qiladi va shuning uchun autentifikatsiya vaqti ortadi va
ko'proq xatolar paydo bo'lishi mumkin.
Do'stlaringiz bilan baham: |