21 اکتبر 2020توسط دانیل تاکاسیک ، دانشگاه کارنگی ملون
پس از نزدیک به یک دهه مطالعه ، گروه تحقیقاتی برای استفاده از کلمه عبور در موسسه امنیت و رازداری CyLab کارنگی ملون سیاستی را برای ایجاد رمزهای عبور ایجاد کرده است که تعادل بین امنیت و قابلیت استفاده را حفظ می کند – یکی از این موارد توسط علم پشتیبانی می شود.
تمام قوانین مربوط به حروف بزرگ و کوچک ، اعداد و نمادها را فراموش کنید. رمز ورود شما فقط باید حداقل 12 حرف باشد و باید یک تست قدرت در زمان واقعی ایجاد شده توسط محققان را پشت سر بگذارد.
این مطالعه در کنفرانس ACM در مورد امنیت رایانه و ارتباطات ماه آینده که بصورت مجازی برگزار خواهد شد ، ارائه خواهد شد.
لوری کرنور ، مدیر CyLab و استاد موسسه تحقیقات نرم افزاری (ISR) و گروه مهندسی عمومی می گوید: “سیاستی که ما ایجاد کردیم به کاربران امکان می دهد رمزهای عبور خود را به راحتی به خاطر بسپارند و از امنیت بیشتری در برابر مهاجمان پیچیده برخوردار باشند.” سیاست (EPP) “جالب توجه است ، داده های ما نشان می دهد که نیاز به کلاس های نویسه بیشتر – حروف بزرگ ، نمادها و رقم – قدرت رمز عبور را به اندازه سایر الزامات افزایش نمی دهد و تأثیرات منفی بر قابلیت استفاده از رمز عبور دارد.”
در سال 2016 ، محققان یک متر اندازه گیری رمز عبور ایجاد کردند که با یک شبکه عصبی مصنوعی تأمین می شد و اندازه آن نسبتاً کوچک بود – چند صد کیلوبایت ، که به اندازه کافی برای رمزگذاری در یک مرورگر وب است. قدرت سنج به کاربران نمره قدرت و پیشنهادهایی را در زمان واقعی ارائه می دهد.
لوجو بائر ، استاد مهندسی برق و کامپیوتر (ECE) و ISR می گوید: “این کار به نوعی تغییر دهنده بازی بود …” زیرا تا آن زمان هیچ کنتور گذرواژه دیگری بازخورد دقیق ، مبتنی بر داده و زمان واقعی در مورد چگونگی اینکه رمزهای عبور را قوی تر کنید ، نبود. ” یک کنتور رمز عبور.
محققان مجهز به این کنتور رمز عبور پیشرفته ، سپس از یک منظر کاملاً جدید به سیاست های رمز عبور پرداختند: با این ایده که یک رمز عبور باید به آستانه مشخصی برای کنتور رمز عبور خود دست یابد. این دیدگاه جدید محققان را به کشف آستانه ای بین قدرت و طول رمز عبور رهنمون کرد – این چیزی است که باعث می شود کاربران رمزهای عبور خود را بسازند که هم قوی تر و هم قابل استفاده تر از آنچه در سیاست های رمز عبور مشترک استفاده می شود ، باشد.
محققان برای دستیابی به این کشف ، آزمایش های آنلاین را انجام دادند و ترکیبی از الزامات حداقل طول ، الزامات کلاس شخصیتی ، حداقل قدرت و الزامات رمزگذاری رمز عبور را ارزیابی کردند .
در آزمایش های آنلاین ، از مشارکت کنندگان در مطالعه خواسته شد که با استفاده از سیاست های رمزگذاری تصادفی اختصاص داده شده ، کلمات عبور را ایجاد و به یاد بیاورند. در ابتدا ، شرکت کنندگان نقش کسی را بر عهده گرفتند که ایمیل او شکسته شده و نیاز به ایجاد رمز عبور جدید با توجه به خط مشی اختصاصی خود دارد. سپس ، چند روز بعد ، از آنها خواسته شد تا رمز ورود خود را به عنوان روشی برای سنجش میزان استفاده از سیاست گذرواژه به یاد بیاورند.
نیکولاس کریستین ، استاد ISR و EPP می گوید: “ما دریافتیم که سیاستی که به حداقل قدرت و حداقل طول 12 کاراکتر احتیاج دارد ، تعادل خوبی بین امنیت و قابلیت استفاده به دست می آورد.”
اگرچه لیست های مسدود کننده و سیاست های حداقل مقاومت می توانند نتایج مشابهی داشته باشند ، سیاست های حداقل قدرت به صورت انعطاف پذیر در یک سطح امنیتی مطلوب پیکربندی شده اند و به کارگیری آنها در کنار بازخورد نیازهای زمان واقعی در تنظیمات با امنیت بالا آسان تر است.
جوشوا تان ، محقق فوق دکترا در ISR و CyLab ، می گوید: “اکنون که ما راهنمایی های مشخصی در مورد سیاست های رمز عبور ارائه می دهیم ، خوشبین هستیم که ممکن است شرکت ها و سازمان ها توصیه های ما را اتخاذ کنند.”
