اختر اللغة

القياسات النفسية المحكمة والعابرة: المصادقة بكلمة المرور وعبارة المرور باستخدام بنيات الذات التي يقدمها المستخدم

تحليل لمصادقة كلمة المرور من خلال علم النفس المعرفي وعلم اللغة النفسي، مع اقتراح نموذج مرجعي ذاتي لتعزيز الأمان وسهولة التذكر.
strongpassword.org | PDF Size: 0.2 MB
التقييم: 4.5/5
تقييمك
لقد قيمت هذا المستند مسبقاً
غلاف مستند PDF - القياسات النفسية المحكمة والعابرة: المصادقة بكلمة المرور وعبارة المرور باستخدام بنيات الذات التي يقدمها المستخدم
عرض مستند PDF تحميل PDF ترجمة PDF
الرئيسية » الوثائق » القياسات النفسية المحكمة والعابرة: المصادقة بكلمة المرور وعبارة المرور باستخدام بنيات الذات التي يقدمها المستخدم

جدول المحتويات

1. مقدمة

لطالما كان أمن الحاسوب موجهاً نحو التكنولوجيا أو الأنظمة، مما أدى إلى حلول مبتكرة لمصادقة المستخدمين، وتوزيع المفاتيح، وانتهاء صلاحيتها. ومع ذلك، غالباً ما تخلق هذه الحلول مشاكل جديدة للمستخدمين والمسؤولين. فالقياسات الحيوية، رغم اكتسابها شعبية، تطرح تحديات أمنية كبيرة—فقد تمت مصادقة بصمات أصابع اصطناعية باستخدام مواد مثل الجيلاتين، والمعجون، والسيانوأكريليت، والطباعة الضوئية. أما القياسات الحيوية الناعمة، مثل أنماط ضغطات المفاتيح، فتقدم مرونة ولكنها تتطلب فترات تدريب وتنتج مفاتيح متشابهة عند الإلغاء. يقترح هذا البحث أن كلمات المرور وعبارات المرور، عندما تُدمج مع علم النفس المعرفي والاجتماعي وعلم اللغة النفسي، توفر مخطط مصادقة قابلاً للإلغاء، وسهل التذكر، وآمناً. يكمن الابتكار الرئيسي في دمج رؤية المستخدم لذاته في عملية اختيار كلمة المرور، مما يعزز استعارة السر المشترك بين المستخدم والآلة.

2. المنهجية

كانت مصادقة المستخدم بنجاح ضد النظام تقليدياً مجالاً بحثياً صعباً ولكنه مثمر. في البداية، كانت مصادقة المستخدم تحمي الآلات القديمة باهظة الثمن. اليوم، تحول الهدف إلى حماية أنظمة أصغر وأكثر لامركزية مثل أجهزة الكمبيوتر الشخصية، وأجهزة الكمبيوتر المحمولة، والمساعدات الرقمية الشخصية، والهواتف الخلوية. أدى ظهور الحوسبة في كل مكان وزيادة الترابط إلى توسيع سطح الهجوم بشكل هندسي. يشعر المستخدمون، الذين يديرون حسابات متعددة، بالإرهاق من سياسات كلمات المرور. من منظور نظرية المعلومات، تتحلل الأنظمة القائمة على كلمات المرور تحت الضغوط المعرفية. العلاقة المتعددة لواحد بين الأهداف والمستخدمين ترسم هدفاً أكبر على المستخدمين، خاصة مع انتشار كلمات المرور "المفضلة". يستخدم هذا البحث نموذجاً من نظرية المعلومات لرؤية المصادقة كسر مشترك، معززاً بإشارة المستخدم الذاتية.

3. الرؤية الأساسية: تأثير الإشارة الذاتية في المصادقة

الرؤية الأساسية لهذه الورقة هي أنه يمكن الاستفادة من تأثير الإشارة الذاتية—وهي ظاهرة معرفية موثقة جيداً حيث يتم تذكر المعلومات المتعلقة بالذات بسهولة أكبر—لإنشاء كلمات مرور أقوى وأسهل في التذكر. من خلال السماح للمستخدمين ببناء كلمات مرور بناءً على روايات شخصية، أو ذكريات، أو مفاهيم ذاتية، يحول النظام سلسلة عشوائية إلى سر "محكم الاحتفاظ". هذا الاستثمار النفسي يجعل المستخدمين أكثر عرضة لحماية كلمة المرور وأقل عرضة لكتابتها أو مشاركتها. تجادل الورقة بأن هذا النهج "عابر" لأن قوة كلمة المرور لا تكمن فقط في تكوين أحرفها ولكن في معناها الشخصي الفريد للمستخدم، والذي يصعب على المهاجم تكراره أو تخمينه.

4. التدفق المنطقي: من الحمل الزائد للمعلومات إلى الأمان المعرفي

التدفق المنطقي للورقة مقنع. يبدأ بتحديد المشكلة: الحمل الزائد للمعلومات من سياسات كلمات المرور المتعددة والمعقدة يؤدي إلى ممارسات أمنية سيئة (مثل إعادة استخدام كلمة المرور، كتابة كلمات المرور). ثم ينتقد الحلول الحالية: القياسات الحيوية الصلبة قابلة للتزوير، والقياسات الحيوية الناعمة تتطلب تدريباً وتضر بالمفاتيح المستقبلية. ثم تقترح الورقة حلاً: نظام كلمات مرور قائم على علم النفس المعرفي. تستمر الحجة بإظهار أن كلمات المرور المرجعية الذاتية أكثر قابلية للتذكر (مما يقلل العبء المعرفي) وأكثر أماناً (لأنها غير متوقعة للغرباء). الخطوة الأخيرة هي وضع هذا ضمن نظرية المعلومات، وإظهار أن إنتروبيا كلمة المرور المرجعية الذاتية ليست مجرد دالة لأحرفها ولكن للسياق الشخصي الفريد، وهو شكل من أشكال "المعلومات الخاصة" التي لا يمكن للمهاجم الوصول إليها بسهولة.

5. نقاط القوة والضعف: تقييم نقدي

نقاط القوة: القوة الأساسية للورقة هي نهجها متعدد التخصصات، الذي يربط أمن الحاسوب بعلم النفس المعرفي والاجتماعي. إنها تقدم حلاً يركز على الإنسان لمشكلة بشرية، متجاوزة الإصلاحات التقنية البحتة. مفهوم النظام كـ "صديق مقرب" هو استعارة قوية يمكن أن تحسن امتثال المستخدم ووضعه الأمني. يوفر نموذج نظرية المعلومات إطاراً صارماً لتحليل النظام المقترح.

نقاط الضعف: الورقة نظرية إلى حد ما وتفتقر إلى التحقق التجريبي واسع النطاق. تمت دراسة "تأثير الإشارة الذاتية" جيداً في الذاكرة، لكن تطبيقه على أمان كلمة المرور يحتاج إلى مزيد من الاختبارات في العالم الحقيقي. هناك خطر من أن يختار المستخدمون كلمات مرور يمكن التنبؤ بها بناءً على شخصيتهم العامة (مثل ملفات تعريف وسائل التواصل الاجتماعي). لا تعالج الورقة بشكل كامل الطبيعة "العابرة" لمفهوم الذات—ماذا يحدث عندما يتغير السرد الذاتي للمستخدم؟ يجب أن يكون النظام قوياً في مواجهة التغيير الشخصي. علاوة على ذلك، لا تقدم الورقة خوارزمية ملموسة أو تفاصيل تنفيذ لتوليد أو تقييم كلمات المرور هذه.

6. رؤى قابلة للتنفيذ: توصيات عملية

بناءً على نتائج الورقة، تظهر العديد من الرؤى القابلة للتنفيذ لممارسي الأمن ومصممي الأنظمة:

  • تنفيذ مطالبات كلمة المرور المرجعية الذاتية: بدلاً من متطلبات الأحرف العشوائية، قم بتوجيه المستخدمين لإنشاء كلمات مرور بناءً على قصص شخصية أو ذكريات أو قيم. على سبيل المثال، 'ما هي ذكرى الطفولة التي شكلت من أنت اليوم؟'
  • الدمج مع عبارات المرور: شجع المستخدمين على إنشاء عبارات مرور تكون روايات قصيرة، والتي يسهل تذكرها ويصعب اختراقها مقارنة بالسلاسل العشوائية.
  • استخدام المصادقة التكيفية: للتطبيقات عالية الأمان، اجمع بين كلمات المرور المرجعية الذاتية وعوامل أخرى (مثل القياسات الحيوية السلوكية) لإنشاء نظام متعدد العوامل يكون آمناً وسهل الاستخدام.
  • تثقيف المستخدمين: درب المستخدمين على مفهوم 'الأمان المعرفي'—اشرح لماذا كلمات المرور المرجعية الذاتية أقوى وكيفية إنشائها دون الكشف عن معلومات شخصية.
  • إجراء دراسات تجريبية: قبل النشر الكامل، قم بإجراء تجارب مضبوطة لقياس قابلية التذكر والأمان لكلمات المرور المرجعية الذاتية مقارنة بالسياسات التقليدية.

7. التفاصيل التقنية والإطار الرياضي

تستخدم الورقة نموذجاً من نظرية المعلومات لقياس أمان كلمات المرور المرجعية الذاتية. يتم حساب الإنتروبيا $H$ لكلمة المرور تقليدياً على أنها $H = L \cdot \log_2(N)$، حيث $L$ هو الطول و $N$ هو حجم مجموعة الأحرف. ومع ذلك، تجادل الورقة أنه بالنسبة لكلمات المرور المرجعية الذاتية، فإن الإنتروبيا الفعالة أعلى لأن 'الأبجدية' تتضمن السياق الشخصي الفريد للمستخدم. يمكن تمديد النموذج على النحو التالي:

$$H_{total} = H_{char} + H_{self}$$

حيث $H_{char}$ هي الإنتروبيا القائمة على الأحرف و $H_{self}$ هي الإنتروبيا التي يساهم بها تأثير الإشارة الذاتية، وهي دالة للمعرفة الخاصة للمستخدم. تشير الورقة إلى أنه يمكن نمذجة $H_{self}$ على أنها المعلومات المتبادلة بين كلمة المرور ومفهوم الذات للمستخدم، $I(Password; Self)$. هذه مساهمة جديدة تحدد الطبيعة 'المحكمة الاحتفاظ' للسر.

8. النتائج التجريبية والشرح التخطيطي

بينما الورقة نظرية في المقام الأول، فإنها تشير إلى العمل السابق حول تأثير الإشارة الذاتية في الذاكرة. شرح تخطيطي للنظام المقترح هو كما يلي:

الشكل 1: تدفق المصادقة المرجعية الذاتية

إدخال المستخدم: "كان كلبي الأول مسترداً ذهبياً اسمه ساني."
    |
    v
معالجة النظام: 
    - استخراج العناصر الرئيسية: "كلبي الأول", "مسترد ذهبي", "ساني"
    - تطبيق التحويل: "SunnyGoldenRetriever2021!"
    - تخزين تجزئة كلمة المرور المحولة
    |
    v
المصادقة: يعيد المستخدم إدخال العبارة، يطبق النظام نفس التحويل، يقارن التجزئة.

النتائج المتوقعة (من أدبيات علم النفس المعرفي): تظهر الدراسات حول تأثير الإشارة الذاتية (مثل روجرز، كويبر، وكيركر، 1977) أن المعلومات المرجعية الذاتية يتم تذكرها بنسبة تصل إلى 50% أفضل من المعلومات المعالجة دلالياً. عند تطبيقها على كلمات المرور، يشير هذا إلى أن المستخدمين سيكون لديهم طلبات إعادة تعيين كلمة مرور أقل بشكل ملحوظ وسيكونون أقل عرضة لكتابة كلمات المرور الخاصة بهم.

9. مثال على الإطار التحليلي

لنفكر في مستخدمة، أليس، تحتاج إلى إنشاء كلمة مرور لحساب بريدها الإلكتروني. بدلاً من سياسة عشوائية، يطلب منها النظام وصف قيمة شخصية. تكتب أليس: "أنا أقدر الصدق قبل كل شيء." يحول النظام هذا إلى عبارة مرور: "HonestyAboveAllElse!" يبلغ طول عبارة المرور هذه 20 حرفاً، وتتضمن أحرفاً كبيرة وصغيرة وحرفاً خاصاً، مما يعطيها إنتروبيا أحرف تبلغ $H_{char} = 20 \cdot \log_2(72) \approx 20 \cdot 6.17 = 123.4$ بت. ومع ذلك، فإن إنتروبيا الإشارة الذاتية $H_{self}$ أعلى حتى لأن المهاجم سيحتاج إلى معرفة القيم الشخصية لأليس، والتي ليست متاحة للجمهور. وبالتالي فإن الإنتروبيا الكلية أعلى بكثير من كلمة مرور عشوائية مكونة من 20 حرفاً، ومن المرجح أن تتذكرها أليس لأنها ذات معنى بالنسبة لها.

10. التطبيقات والاتجاهات المستقبلية

المبادئ الموضحة في هذه الورقة لها تطبيقات واسعة تتجاوز أنظمة كلمات المرور التقليدية. تشمل الاتجاهات المستقبلية:

  • التكامل مع البراهين عديمة المعرفة: يمكن استخدام كلمات المرور المرجعية الذاتية في بروتوكولات المصادقة عديمة المعرفة، حيث يثبت المستخدم معرفته بالسر دون الكشف عنه.
  • أنظمة الأمان التكيفية: أنظمة تضبط متطلبات المصادقة ديناميكياً بناءً على الحالة المعرفية للمستخدم أو حساسية البيانات التي يتم الوصول إليها.
  • أسئلة الأمان المخصصة: تجاوز أسئلة الأمان العامة (مثل 'ما هو اسم والدتك قبل الزواج؟') إلى أسئلة شخصية حقاً وأقل عرضة للتخمين من السجلات العامة.
  • الدخول الموحد عبر المنصات: استخدام عبارة مرور مرجعية ذاتية واحدة عالية التذكر كمفتاح رئيسي لخدمات متعددة، مما يقلل من إرهاق كلمة المرور.
  • توليد كلمة المرور بمساعدة الذكاء الاصطناعي: استخدام معالجة اللغة الطبيعية لمساعدة المستخدمين في صياغة كلمات مرور مرجعية ذاتية تكون سهلة التذكر وآمنة، مع تجنب المزالق الشائعة.

11. التحليل الأصلي

هذه الورقة بقلم بيلسون هي خروج مثير للجدل وضروري عن الخطاب الممل والمركز على التكنولوجيا حول أمان كلمة المرور. الحجة الأساسية—أنه يجب علينا الاستفادة من تأثير الإشارة الذاتية لإنشاء أسرار 'محكمة الاحتفاظ'—هي أنيقة وسليمة نفسياً. تأثير الإشارة الذاتية هو أحد أقوى النتائج في علم النفس المعرفي (سيمونز وجونسون، 1997)، وتطبيقه على المصادقة هو ضربة عبقرية. ومع ذلك، فإن قوة الورقة هي أيضاً ضعفها. إنها إطار مفاهيمي، وليس حلاً هندسياً كاملاً. تفتقر الورقة إلى خوارزمية ملموسة لتوليد والتحقق من كلمات المرور المرجعية الذاتية، ولا تعالج القضية الحاسمة لقابلية التوسع. كيف يتحقق النظام من أن كلمة المرور 'مرجعية ذاتية' دون تخزين السرد الشخصي للمستخدم؟ هذا تحدٍ غير تافه للخصوصية والأمان.

علاوة على ذلك، فإن اعتماد الورقة على نظرية المعلومات، رغم صرامته، قد يكون متفائلاً بشكل مفرط. الافتراض بأن $H_{self}$ مستقلة عن $H_{char}$ أمر مشكوك فيه. في الممارسة العملية، قد يختار المستخدمون كلمات مرور مرجعية ذاتية لا تزال قابلة للتنبؤ (مثل استخدام أحداث حياتية شائعة مثل 'التخرج' أو 'الزواج'). ستستفيد الورقة من مناقشة أكثر دقة للطبيعة 'العابرة' لمفهوم الذات. كما لاحظ ماركوس وفورف (1987)، فإن مفهوم الذات ديناميكي ويعتمد على السياق. قد تكون كلمة المرور المبنية على 'قيمة أساسية' مستقرة، ولكن تلك المبنية على 'هدف حالي' قد تتغير بشكل متكرر، مما يؤدي إلى إعادة تعيين كلمة المرور.

على الرغم من هذه العيوب، فإن مساهمة الورقة كبيرة. إنها تفتح اتجاهاً بحثياً جديداً: 'الأمان المعرفي'. يتماشى هذا مع الاتجاهات الأوسع في التفاعل بين الإنسان والحاسوب والأمان القابل للاستخدام. دعوة الورقة لرؤية النظام كـ 'صديق مقرب' هي مبدأ تصميم قوي يمكن أن يحول مواقف المستخدمين تجاه الأمان. في عصر التهديدات الإلكترونية المتزايدة، هذا النهج الذي يركز على الإنسان ليس مبتكراً فحسب—بل هو ضروري. الخطوة التالية هي أن يبني الباحثون على هذا الإطار، ويجروا دراسات مستخدمين واسعة النطاق، ويطوروا تطبيقات عملية توازن بين الأمان وسهولة التذكر والخصوصية.

12. المراجع

  • Pilson, C. S. (2021). Tightly-Held and Ephemeral Psychometrics: Password and Passphrase Authentication Utilizing User-Supplied Constructs of Self. arXiv preprint arXiv:1509.01662v1.
  • Rogers, T. B., Kuiper, N. A., & Kirker, W. S. (1977). Self-reference and the encoding of personal information. Journal of Personality and Social Psychology, 35(9), 677–688.
  • Symons, C. S., & Johnson, B. T. (1997). The self-reference effect in memory: A meta-analysis. Psychological Bulletin, 121(3), 371–394.
  • Markus, H., & Wurf, E. (1987). The dynamic self-concept: A social psychological perspective. Annual Review of Psychology, 38, 299–337.
  • Shannon, C. E. (1948). A mathematical theory of communication. The Bell System Technical Journal, 27(3), 379–423.
  • Adams, A., & Sasse, M. A. (1999). Users are not the enemy. Communications of the ACM, 42(12), 40–46.
  • Yan, J., Blackwell, A., Anderson, R., & Grant, A. (2004). Password memorability and security: Empirical results. IEEE Security & Privacy, 2(5), 25–31.