احراز هویت از طریق رمز ورود

password

نیاز به امنیت اطلاعات به صورت فزاینده‌ای در حال رشد و گسترش می‌باشد. اتفاقاتی نظیر حادثه ۱۱ سپتامبر در آمریکا و عملیاتهای تروریستی در نقاط مختلف جهان، سازمانها، ادارات و بخش خصوصی را بر آن داشته است که نگاه ویژه‌ای بر مقوله امنیت اطلاعات داشته باشند. افزایش فزاینده این روند به گونه‌ای‌ست که در سال ۱۹۸۸، تعداد ۶ حادثه امنیتی در آمریکا ثبت گردیده است و این عدد در سال ۲۰۰۳ به ۱۳۷٬۵۲۹ حادثه افزایش داشته است که طبق برآورد FBI، این میزان در هر سال رشد ۲۵٪ را خواهد داشت.
تمامی سازمانها، ارگانها، شرکتهای خصوصی و حتی افراد، نیاز به تامین امنیت اطلاعات خود در سطوح مختلف می‌باشند تا از دسترسی غیرمجاز و یا تخریب اطلاعات در هر سطح جلوگیری نمایند.
تحقیقات اخیر نشان از وجود ریسکهایی ناشی از خطاهای انسانی در امنیت سیستمهای اطلاعاتی دارند که در بین آنها، مسائل مربوط به گذرواژه دومین تهدید مهم محسوب می‌شود. تقریبا امنیت منابع وسیعی به صورت سازمانی، اداری، خصوصی و حتی حریم شخصی افراد، به میزان قابل توجهی به گذرواژه انتخابی آنان مربوط بوده و باید به آن توجه ویژه‌ای معطوف داشت.
تعیین شرایط دشوار و پیچیده در انتخاب گذرواژه، و تبدیل آن به یک الزام برای افراد، گاهی از ظرفیت توان حافظه و طاقت کاربران فراتر بوده، و خود تبدیل به یک ریسک امنیتی می‌گردد. تحقیقات NIST در آمریکا نشان میدهد که بیش از ۵۰٪ رخدادهای امنیتی در سازمانها و بخش خصوصی به دلیل خطاهای انسانی بوده، که این مساله همجنان از چالشهای اصلی پیش رو در امنیت اطلاعات می‌باشد.
این مقاله برآن است تا با توجه نیازمندیهای انتخاب گذرواژه‌ای مناسب در جهت ایمنی بیشتر، تاثیرات آنرا بر اساس توانمندی حافظه انسان در رابطه با این نیازمندی‌ها، نظیر پیچیدگی و طول گذرواژه ارزیابی نماید. هدف در این مقاله، توسعه مدلی برای ارزیابی تاثیر عوامل انسانی بر روی مسائلی است که در احراز هویت توسط گذرواژه با آن روبرو هستیم.

بیشتر بخوانید…

امنیت اطلاعات و عادات رفتاری عامل انسانی

b-c
طی دهه های اخیر اغلب سازمانها برای عملیات داخلی مانند ثبت مستندات، تراکنش های خارجی مانند تعاملات و انتقالات مالی و یا برقراری هر گونه ارتباط از قبیل پست الکترونیکی و … به فن آوری اطلاعات وابسته شده اند. نکته ی جالب توجه این است که اکثر سازمان ها نگران آسیب پذیری از جانب تهدیدهای خارجی هستند، اما تحقیقات نشان می دهد که نسبت قابل توجهی از این مشکلات امنیتی ریشه در داخل سازمان ها دارد. براساس آمار منتشر شده در مجله Security Wire Digest در سال 2000 فقط با احتساب سازمانهای آمریکا، خسارت های حاصل از قانون شکنی های امنیتی به طور تقریبی 20 میلیارد دلار در سال تخمین زده شده است. یکی از تدابیر سازمانی که می تواند در این زمینه موثر واقع شود، بررسی عادتهای رفتاری عامل های انسانی است که به منابع اطلاعاتی سازمان دسترسی دارند یا اطلاعات را مدیریت و نگهداری می کنند.

نگاهی کلی به امنیت اطلاعات و عادات رفتاری عامل انسانی

بخش اعظمی از تحقیقات در زمینه امنیت اطلاعات، بر الگوریتم ها، روشها و استانداردها تاکید دارد که سه عامل پایه محرمانگی، صحت و دسترس پذیری در امنیت اطلاعات را پشتیبانی می کنند. علاوه بر این تحقیقات پایه ، بر روی عامل های انسانی نیز پژوهش هایی صورت گرفته است تا واسط کاربری در سیستم امنیتی تا حد امکان ساده و کاربردی باشد. همچنین بسیاری از محققین مفاهیم تئوری در رابطه با چگونگی تاثیر رفتار عامل های انسانی بر امنیت اطلاعات را مطرح کرده اند. در اين مقاله به موضوع «تهديد درون سازماني» براي امنيت اطلاعات ، توجه شده است. منظور از تهديد درون سازماني، خرابكاري عمدي، رفتارهاي غير قانوني و يا غير اخلاقي است که توسط افرادي صورت می گیرد که به منابع اطلاعاتي سازمان دسترسي دارند. در ادامه فعالیت های انجام شده جهت فهرست بندی، توصیف، سازماندهی و تجزیه و تحلیل برخی از رفتارهای عامل انسانی در سازمانها ارائه می شود. بیشتر بخوانید…

عملکرد انسان در امنیت سایبر(عامل‌های انسانی در امنیت اطلاعات)

2013-bts-lp-hero-mac

تهدیدات سایبری یکی از جدی¬ترین چالش¬های امنیت اقتصادی و ملی به شمار می¬رود. این مقاله یک مرور کلی از عملکرد انتقادی انسان در توسعه و استقرار امنیت در فضای سایبر ارائه می¬دهد. امنیت سایبری در واقع مجموعه اقدامات طراحی شده برای حفاظت از سیستم¬های کامپیوتری در برابر حملات یا دسترسی¬های غیر مجاز است. تحقیق بر روی عملکرد انسان در رابطه با امنیت سایبری باید بر اساس نقش کاربران و مسئولیت¬های آنان و عملکردشان صورت گیرد که در لیست زیر فهرست شده است:

  • پیگیری کردن و به روزرسانی موارد امنیتی
  • آموزش فرایندها و آگاهی¬های امنیتی
  • تحلیل و تمییز خطرات و ریسک¬های امنیت سایبر
  • فراهم کردن شرایط احراز هویت
  • مدیریت حساب کاربری نظارت بر امنیت سایبر
  • تشخیص نفوذ
  • واکنش مناسب امنیت سایبر در برابر رویدادها و گزارش آن
  • ممانعت از دسترسی¬های غیر مجاز و کاهش اثرات نفوذ

زمانی یک رابط برای کاربران کارآمد خواهد بود که از میزان حجم کاری و شناخت لازم برای انجام کارها بکاهد که این امر منجر به رضایتمندی کاربران خواهد بود. فاکتور «کارایی» در امنیت سایبر باعث کاهش خطاهای انسانی چه در فضای سیستم¬های مجازی بزرگ و چه در کامپیوترهای شخصی می¬شود. آنچه باید مد نظر قرار داده شود این است که چندین کاربر با چندین نیازمندی¬های مختلف هستند بنابراین میزان آسیب¬پذیری امنیت سیستم نیز بالا می¬رود. خیلی از خطاهای انسانی در زمینه فرایند احراز هویت است که در این زمینه از سیستم¬های بیومتریک مانند گرفتن اثر انگشت یا اثر شبکیه چشم می¬توان نام برد. یک تحقیق نشان داده است که کاربران در فضای وب به طور میانگین ۲۵ حساب کاربری با ۶٫۵ رمز عبور دارند. یعنی رمز عبور تعدادی از حساب کاربری آن¬ها مشترک است. بنابراین آموزش دادن کاربران باعث بالا بردن کارایی و کاهش خطاهای انسانی می¬شود. بیشتر بخوانید…

بررسی امنیت ایمیل ملی

تا چه حد می‌توان به نرم‌افزار تولیدشده و به‌روزرسانی‌شده خارجی برای نیل به هدف امن‌سازی خدمات پست الکترونیک ملی اعتماد کرد؟ چگونه می‌توان برپایه این زبان متنی ذاتاً ناامن برای امنیت سامانه پست الکترونیک ملی نرم‌افزارنویسی کرد؟

email

سامانه پست الکترونیک ملی، چندی پیش به دست وزیر ارتباطات و فناوری اطلاعات افتتاح شد. هدف کلی مطرح شده برای ایجاد سامانه از جانب مقامات مسؤول تأمین امنیت ارتباطی ایمیل برای ایرانیان عنوان شده است که توجه به این موضوع قابل تقدیر است اما قبل از پذیرش و اقدام به استفاده از این پست الکترونیک باید دید که تا چه حد اهداف مطرح شده در این محصول محقق گردیده است. همچنین یک نکته لازم به ذکر قبل ارزیابی توانایی های سامانه حاضر این است که تأمین امنیت صد در صدی در هیچ سامانه ای چه الکترونیکی و چه غیر آن ممکن نیست و امنیت همیشه نسبی است.

بررسی کلی پست الکترونیکی ایران

آنچه که معمولا در نگاه اول به هر نوع خدمات اینترنتی توجه مصرف کننده را جلب می کند ساختار و امنیت نرم افزار تحت وب ارائه دهنده خدمات سامانه است.

از این نظر نرم افزار موجود بر روی سرویس غیر امن HTTP سوار است به راحتی امکان رصد اطلاعات منتقل شده بین کاربر و سامانه را به دیگران می دهد.

نوع نرم افزار پایه هم بر روی سرویس دهنده معروف آپاچی است که قابل نصب بر روی کلیه انواع سیستم های عامل معروف از BSD و Unix گرفته تا Windows و Linux را داراست.

همچنین با توجه به استفاده از نرم افزار Roundcube برای ارائه خدمات مدیریت پست الکترونیکی به نظر می رسد که حد اقل بخشی از این خدمات با استفاده از زبان متنی PHP برنامه ریزی شده است. همچنین ویرایش مورد استفاده از این نرم افزار بسیار قدیمی بوده و ملاحظات امنیتی جدید در آن اعمال نشده است.

اما با نگاهی به شبکه ارتباطی و IP های ارائه دهنده این سرویس به نظر می رسد که این شبکه Load Balanced بر روی تعدادی سرور در یک نقطه فیزیکی می باشد که خود از نظر امنیتی ملاحظاتی را در بر می گیرد.

بیشتر بخوانید…

انسان شبیه شده،همیار ما در تست امنیت سایبری

خطای انسانی یکی از معمول ترین دلایل آسیب پذیری سیستم از نقطه نظر امنیتی می باشد، اما هنوز از این مقوله ، غالبا در تست و بررسی سیستمها، چشم پوشی میشود. چرا که تستهای انسانی ، غالبا بسیار پرهزینه هستند و تکرارشان نیز بسیار سخت است. در ارزیابی که در سال ۲۰۰۶ انجام گرفت، تقریبا ۶۰ درصد تناقضات امنیتی، متوجه خطای انسانی گردید. انسانها غالبا در اثر مواردی نظیر خستگی یا ترافیک کاری بالا، پیغامهای هشدار را نادیده گرفته و یا عاملهای خطرناک را از شبکه دانلود می کنند و به راحتی برای سهولت کارشان، مکانیزم امنیتی مثل آنتی ویروس را غیرفعال می کنند. یک مهندسی اجتماعی مهاجم براحتی می تواند از این خطاها بهره ببرد.ضعف و سستی اخلاقی تنها یکی از جنبه های رفتار انسانی است که درک ما را از امنیت تحت الشعاع قرار می دهد، در حالیکه در مقایسه با سیستم های نرم افزاری انسانها مشکلات کاردان تری برای امنیت ایجاد می کنند.این مقاله به ارائه راهکار در این زمینه می پردازد.

it-supp

بیشتر بخوانید…

آموزش و آگاهی امنیت فضای سایبری با بازی ویدئویی

 سالم‌سازي فضاي سايبر ايجاد محيطي براي حفظ اطمينان كاربران از گردش در اينترنت است و به گفته‌ي كارشناسان ‌مهم‌ترين اقدامي كه بايد براي جلوگيري از تهديدات محيط سايبر صورت بگيرد تدابير پيشگيرانه‌ي اجتماعي است كه با آموزش كاربران به خصوص خانواده‌ها و ايجاد كدهاي رفتاري براي كاربران حرفه‌يي عملي مي‌شود.کارمندان در سازمانهای بزرگ و کوچک با طیف وسیعی از مشکلات امنیت مجازی درگیر هستند .

1-s2.0-S0167404806001556-gr1

1-s2.0-S0167404806001556-gr2

فیلمی  از بازی آنلاین

حملات Spamو phishing بخوبی سازماندهی شده و باعث خرابی یا غیر فعال کردن سیستم ها شده اند و یکی از بزرگترین مشکلاتی است که کاربران اینترنت و رایانه در سراسر جهان با آن مواجه هستند. کاربران رایانه هایی که به مسائل امنیتی بی توجهی می کنند معمولا به این ویروس ها امکان می دهند تا در سیستم های شخصی آنها لانه کنند و همین امر زمینه را برای حملات دیگری از نوع phishing و Spam آماده می سازد. بسیاری از نسخه های جدید کرم های اینترنتی با هدف طرح ریزی حملات دیگری طراحی می شوند که اثرات تخریبی بسیار گسترده ای دارند.

بیشتر بخوانید…

اسلاید های کارگاه های امنیت نرم افزار و مهندسی نرم افزار امن، امنیت اطلاعات در هفته پژوهش

k-iis

هفته گذشته، در مجامع علمی و دانشگاه ها هفته ملی پژوهش و فناوری  بود؛ و به همین مناسبت در روزهای هفته پژوهش نشست های تخصصی برای بررسی مسائل مختلف در حوزه پژوهش و فناوری برگزار می شد. یکی از قطب های اصلی و آکادمیک که به صورت تخصصی به حوزه امنیت اطلاعات می پردازد و همیشه کارهای دست اول خوبی داشته است، دانشگاه گیلان است.
من  خودم به شخصه با نشریه تخصصی رمز با این انجمن علمی آشنا شدم، در این هفته در این انجمن علمی کارگاه تخصصی بسیار خوبی در زمینه های مختلف حوزه امنیت برکزار شده است که به نظرم امد فایل های این کارگاه های تخصصی، رو به صورت یکجا اینجا هم قراردهم که علاقمندان این حوزه نیز از آن استفاده کنند:

کارگاه امنیت نرم افزار و مهندسی نرم افزار امن