info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

خستگی امنیتی، عامل مهم ضعف امنیتی کاربران و سازمان ها!!

خلاصه: تحقیقات نشان می‌دهد که کاربران از توصیه‌ها و اخطار‌های امنیتی زیادی که به صورت روزمره با آن‌ها روبرو می‌شوند خسته شده‌اند و این باعث شده تا کاربران دیگر توجهی به این اخطار‌ها و توصیه‌ها نکنند. این حجم بالای اخطار‌ها و توصیه‌ها این حس را به کاربران منتقل می‌کند که رسیدن به امنیت بسیار دشوار بوده و برای کاربر مقدور نمی‌باشد. از این رو اصول اولیه امنیتی برای انتخاب کلمه عبور را نیز رعایت نکرده و راحتی را به امنیت ترجیح می‌دهند.

کلمه عبور خود را تغییر دهید. ویروس‌یاب خود را به‌روز رسانی کنید. کلمه عبور انتخاب شده ضعیف است. اگر مواجهه با این جملات شما را خسته کرده و آزار می‌دهد احتمالا شما دچار "خستگی امنیتی" شده‌اید.

این مساله مورد توجه دانشمندان رفتار‌شناسی و همینطور متخصصان امنیتی قرار گرفته است. این مساله زمانی اتفاق می‌افتد که کاربران در معرض  حجم بالایی از توصیه‌ها و هشدار‌های امنیتی قرار  می‌گیرند. در نتیجه آن، با اینکه لااقل بیش از سه چهارم کاربران در مورد نحوه انتخاب یک پسورد ایمن اطلاعات کافی دارند ولی این کار را انجام نمی‌دهند. تنها به این دلیل که این کار پیچیده است.

امروزه کاربران ده‌ها حساب کاربری دارند که همه آن‌ها برای ورود نیاز به کلمه عبور دارند. این که از کاربران انتظار داشته باشیم که برای هر حساب کاربری یک کلمه عبور با رعایت همه جوانب امنیتی داشته باشند برای کاربران قابل هضم نیست. این مساله زمانی حاد‌تر می‌شود که از آن‌ها انتظار داشته باشیم این پسورد‌ها را در بازه‌های زمانی تغییر دهند. در نتیجه کاربران به این نتیجه می‌رسند که رسیدن به امنیت بسیار سخت و دور از دسترس است؛ این موضوع باعث می‌شود که به توصیه‌ها و اخطار‌های امنیتی بی‌توجه شده و آن‌ها را نادیده بگیرند.

مشکل خستگی امنیتی تنها در مورد کاربران معمولی نیست و حتی این مساله در دره سیلیکون هم مطرح است! بسیاری از کاربران شاغل در دره سیلیکون از کلمه‌های عبور یکسان برای اکانت‌های مختلف استفاده می‌کنند. 

حتی این مساله در مورد اشخاص معروفی چون مارک زاکربرگ، مالک شرکت فیس‌بوک، هم صدق می‌کند. هک شدن اکانت زاکربرگ در ماه ژوئن نشان داد که برای دو اکانت شبکه اجتماعی خود از پسورد ساده "dadada" استفاده می‌کرده است.

نگرانی در مورد امنیت اطلاعات با افزایش هک اطلاعات کاربران افزایش یافته است. در سال ۲۰۱۶ تا کنون اطلاعات کلمه عبور بیش از ۵۰۰ میلیون کاربر به سرقت رفته است. این احتمال وجود دارد که کاربران حتی از هک شدن کلمه عبور خود اطلاع پیدا نکنند. ولی این بانک کلمات عبور به سرقت رفته می‌تواند برای حمله به حساب‌های کاربری دیگر کابران مورد استفاده قرار گیرد.

مطالعه روی ۲۰۰۰ کاربر نشان داده که ۹۱ درصد آن‌ها می‌دانند که استفاده از کلمات عبور تکراری مخاطره‌آمیز است ولی ۶۱ درصد آن‌ها این کار را می‌کنند.  همچنین بررسی‌ها نشان داده که کاربران برای حساب‌های بانکی خود کلمات عبور امن‌تری نسبت به حساب‌های شبکه‌های اجتماعی و حساب‌های سرگرمی انتخاب می‌کنند. یک خبر بد برای شرکت‌ها این است که بر اساس مطالعه‌های انجام شده، کابران برای حساب‌های شخصی خود کلمه‌های عبور امن‌تری نسبت به حساب‌های کاربری شغلی خود انتخاب می‌کنند؛ این مساله می‌تواند به یک دغدغه امنیتی مهم برای شرکت‌ها تبدیل شود.

دلیل عمده این خستگی امنیتی دشواری رعایت نکات امنیتی برای حساب‌های کاربری متعدد است که کار را برای کاربران سخت می‌کند. اگر از ابزار‌هایی که این کار‌ها را راحت می‌کند مانند برنامه‌های مدیریت پسود استفاده کرد می‌توان کلمات عبور پیچیده را بدون نگرانی از فراموشی استفاده کرد. همچنین بعضی از وب‌سایت‌ها  قابلیت احراز هویت دو‌مرحله‌ای را معرفی کرده‌اند که با این حالت حتی اگر کلمه عبور سرقت شود، یک لایه امنیتی دیگر برای دسترسی به حساب کاربری وجود خواهد داشت.