مطالعۀ عوامل امنیت رمز عبور در وب‌سایت‌های دولتی بنگلادش

1. مقدمه

با دیجیتالی‌سازی سریع خدمات عمومی تحت ابتکار «بنگلادش دیجیتال»، دولت بنگلادش وب‌سایت‌های متعددی را برای ارائه خدمات آنلاین راه‌اندازی کرده است. با این حال، امنیت این پلتفرم‌ها، به ویژه مکانیزم‌های رمز عبور، یک نگرانی حیاتی باقی مانده است. این مطالعه ۳۶ وب‌سایت دولتی بنگلادش را بر اساس شش معیار امنیت رمز عبور تحلیل می‌کند تا آمادگی آن‌ها را در برابر تهدیدات سایبری ارزیابی کند.

3. پیشینه و کارهای مرتبط

رمزهای عبور با وجود آسیب‌پذیری‌های شناخته شده، همچنان پرکاربردترین مکانیزم احراز هویت هستند. مطالعات پیشین نشان داده‌اند که سیاست‌های ضعیف رمز عبور و فقدان رمزنگاری HTTPS از مشکلات رایج در پورتال‌های دولتی در سراسر جهان است. این مطالعه اولین مطالعه از نوع خود است که به طور خاص بر وب‌سایت‌های دولتی بنگلادش تمرکز دارد.

4. روش‌شناسی

ما ۳۶ وب‌سایت دولتی بنگلادش را که خدمات ثبت‌نام و ورود ارائه می‌دهند انتخاب کردیم. هر وب‌سایت بر اساس شش معیار ارزیابی شد: دستورالعمل‌های ساخت رمز عبور، مکانیزم بازیابی رمز عبور، استفاده از CAPTCHA، سوالات امنیتی، پذیرش HTTPS و سنجش‌گر قدرت رمز عبور. داده‌ها به صورت دستی جمع‌آوری و تأیید متقابل شدند.

5. نتایج و تحلیل

5.1 دستورالعمل‌های ساخت رمز عبور

تنها ۱۲ وب‌سایت از ۳۶ وب‌سایت (۳۳.۳٪) دستورالعمل‌های صریح برای ساخت رمز عبور ارائه کردند. ۲۴ وب‌سایت باقی‌مانده (۶۶.۷٪) هیچ راهنمایی ارائه نکردند که منجر به انتخاب رمزهای عبور ضعیف شد.

5.2 مکانیزم بازیابی رمز عبور

۲۸ وب‌سایت (۷۷.۸٪) بازیابی رمز عبور را از طریق ایمیل ارائه می‌دادند، در حالی که ۸ وب‌سایت (۲۲.۲٪) هیچ مکانیزم بازیابی نداشتند یا به مداخله دستی متکی بودند.

5.3 استفاده از CAPTCHA

CAPTCHA در ۲۰ وب‌سایت (۵۵.۶٪) پیاده‌سازی شده بود. ۱۶ وب‌سایت باقی‌مانده (۴۴.۴٪) فاقد هرگونه مکانیزم تشخیص ربات بودند که آسیب‌پذیری در برابر حملات خودکار را افزایش می‌داد.

5.4 سوالات امنیتی

تنها ۹ وب‌سایت (۲۵٪) از سوالات امنیتی برای بازیابی رمز عبور استفاده می‌کردند. بیشتر سوالات قابل پیش‌بینی بودند (به عنوان مثال، «نام حیوان خانگی شما چیست؟») که امنیت حداقلی را ارائه می‌دادند.

5.5 پذیرش HTTPS

۳۰ وب‌سایت (۸۳.۳٪) از HTTPS استفاده می‌کردند، اما ۶ وب‌سایت (۱۶.۷٪) همچنان بر روی HTTP فعالیت می‌کردند و اطلاعات ورود را به صورت متن ساده ارسال می‌کردند.

5.6 سنجش‌گر قدرت رمز عبور

تنها ۱۰ وب‌سایت (۲۷.۸٪) یک سنجش‌گر قدرت رمز عبور به صورت بلادرنگ ارائه می‌دادند. فقدان چنین بازخوردی به انتخاب رمز عبور ضعیف کمک می‌کند.

6. نمای کلی آماری

آمار کلیدی:

وب‌سایت‌های دارای دستورالعمل رمز عبور: ۱۲ (۳۳.۳٪)
وب‌سایت‌های دارای بازیابی رمز عبور: ۲۸ (۷۷.۸٪)
وب‌سایت‌های دارای CAPTCHA: ۲۰ (۵۵.۶٪)
وب‌سایت‌های دارای سوالات امنیتی: ۹ (۲۵٪)
وب‌سایت‌های دارای HTTPS: ۳۰ (۸۳.۳٪)
وب‌سایت‌های دارای سنجش‌گر قدرت: ۱۰ (۲۷.۸٪)

7. بینش‌های کلیدی

اکثر وب‌سایت‌ها فاقد دستورالعمل‌های ساخت رمز عبور هستند که منجر به رمزهای عبور ضعیف می‌شود.
پذیرش CAPTCHA ناکافی است و وب‌سایت‌ها را در معرض حملات brute-force و خودکار قرار می‌دهد.
پذیرش HTTPS نسبتاً بالا است اما جهانی نیست و خطر رهگیری داده‌ها را به همراه دارد.
سنجش‌گرهای قدرت رمز عبور کمتر از حد مورد استفاده قرار گرفته‌اند و فرصتی برای راهنمایی کاربران از دست رفته است.

8. جزئیات فنی و فرمول‌بندی ریاضی

آنتروپی رمز عبور $H$ به صورت $H = L \cdot \log_2(N)$ محاسبه می‌شود، که در آن $L$ طول رمز عبور و $N$ تعداد کاراکترهای ممکن است. برای یک رمز عبور با طول ۸ که از ۶۲ کاراکتر (a-z، A-Z، 0-9) استفاده می‌کند، آنتروپی برابر است با $H = 8 \cdot \log_2(62) \approx 47.6$ بیت. حداقل آنتروپی ۳۰ بیت برای سیستم‌های کم‌خطر و ۵۰+ بیت برای داده‌های حساس توصیه می‌شود.

9. نتایج تجربی و توضیح نمودار

نمودار 1: نرخ پذیرش معیارها - یک نمودار میله‌ای که درصد وب‌سایت‌های پیاده‌سازی‌کننده هر معیار را نشان می‌دهد. پذیرش HTTPS با ۸۳.۳٪ پیشتاز است، در حالی که سوالات امنیتی با ۲۵٪ عقب هستند. نمودار به وضوح نابرابری در اقدامات امنیتی را نشان می‌دهد.

نمودار 2: توزیع قدرت رمز عبور - یک نمودار دایره‌ای که نشان می‌دهد ۶۰٪ از وب‌سایت‌ها رمزهای عبور با کمتر از ۸ کاراکتر را می‌پذیرند، ۳۰٪ به ۸-۱۲ کاراکتر نیاز دارند و تنها ۱۰٪ ۱۲+ کاراکتر را الزامی می‌کنند.

10. نمونه چارچوب تحلیل

مطالعه موردی: وب‌سایت X (ناشناس)

دستورالعمل‌های رمز عبور: ارائه نشده است.
بازیابی: مبتنی بر ایمیل، بدون سوالات امنیتی.
CAPTCHA: پیاده‌سازی نشده است.
HTTPS: بله.
سنجش‌گر قدرت: خیر.
سطح ریسک: بالا - آسیب‌پذیر در برابر حملات brute-force و فیشینگ.

11. تحلیل اصلی

این مطالعه شکاف نگران‌کننده‌ای بین سیاست و عمل در امنیت دولت الکترونیک بنگلادش را آشکار می‌کند. در حالی که دولت در دیجیتالی‌سازی خدمات گام‌هایی برداشته است، فقدان اقدامات اولیه امنیت رمز عبور - مانند دستورالعمل‌ها، CAPTCHA و سنجش‌گرهای قدرت - نشان‌دهنده دست‌کم گرفتن سیستماتیک ریسک‌های سایبری است. ۱۶.۷٪ از وب‌سایت‌هایی که هنوز از HTTP استفاده می‌کنند به ویژه نگران‌کننده است، زیرا اطلاعات کاربران را در معرض رهگیری از طریق حملات man-in-the-middle قرار می‌دهد. طبق گزارش سال ۲۰۲۱ بانک جهانی، کشورهای در حال توسعه سالانه حدود ۰.۵٪ از تولید ناخالص داخلی خود را به دلیل جرایم سایبری از دست می‌دهند، رقمی که بدون مداخله می‌تواند افزایش یابد. یافته‌ها با تحقیقات گسترده‌تر هرلی و ون اورشات (۲۰۱۲) در مورد اقتصاد امنیت رمز عبور همسو است، که استدلال می‌کند رفتار کاربر به شدت تحت تأثیر طراحی سیستم است. فقدان سنجش‌گرهای قدرت و دستورالعمل‌ها عملاً بار امنیتی را به کاربرانی که اغلب تخصص ندارند منتقل می‌کند. یک تحلیل مقایسه‌ای با مطالعات مشابه در هند و پاکستان نشان می‌دهد که بنگلادش در پذیرش CAPTCHA عقب‌تر است (۵۵.۶٪ در مقابل ۷۰٪ در هند) اما در استفاده از HTTPS پیشتاز است (۸۳.۳٪ در مقابل ۶۵٪ در پاکستان). این نشان می‌دهد که سرمایه‌گذاری زیرساختی در حال انجام است، اما ویژگی‌های امنیتی رو به کاربر نادیده گرفته می‌شود. برای بهبود، دولت باید حداقل استانداردهای رمز عبور را الزامی کند، HTTPS را در همه دامنه‌ها اعمال کند و CAPTCHA را به عنوان یک نیاز پایه ادغام کند. هزینه پیاده‌سازی در مقایسه با خسارات احتمالی ناشی از یک نقص ناچیز است.

12. کاربردها و جهت‌گیری‌های آینده

کارهای آینده باید مجموعه معیارها را برای شامل شدن پذیرش احراز هویت چندعاملی (MFA)، الگوریتم‌های هش رمز عبور و شیوه‌های مدیریت نشست گسترش دهند. مطالعات طولی که تغییرات را در طول زمان ردیابی می‌کنند به اندازه‌گیری تأثیر مداخلات سیاستی کمک می‌کند. علاوه بر این، مطالعات کاربرمحور در مورد رفتار رمز عبور در میان شهروندان بنگلادشی می‌تواند به طراحی دستورالعمل‌های بهتر کمک کند. ادغام احراز هویت بیومتریک و سیستم‌های بدون رمز عبور (به عنوان مثال، WebAuthn) یک جهت امیدوارکننده برای افزایش امنیت بدون به خطر انداختن قابلیت استفاده است.

13. منابع

Herley, C., & van Oorschot, P. (2012). A research agenda acknowledging the persistence of passwords. IEEE Security & Privacy, 10(1), 28-36.
World Bank. (2021). Cybersecurity and Economic Development: A Global Perspective. Washington, DC.
Florencio, D., & Herley, C. (2007). A large-scale study of web password habits. Proceedings of the 16th International Conference on World Wide Web, 657-666.
Bonneau, J., et al. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy, 553-567.
Bangladesh Computer Council. (2020). National Cybersecurity Strategy 2020-2025. Dhaka.

14. تفسیر کارشناسی

بینش اصلی

وب‌سایت‌های دولتی بنگلادش در اصول اولیه امنیت رمز عبور شکست می‌خورند و یک «نمای دیجیتالی» ایجاد می‌کنند که در آن خدمات مدرن به نظر می‌رسند اما اساساً ناامن هستند.

جریان منطقی

این مطالعه به طور سیستماتیک شش معیار را ارزیابی می‌کند و الگویی را آشکار می‌کند: زیرساخت (HTTPS) بر امنیت رو به کاربر (دستورالعمل‌ها، CAPTCHA) اولویت دارد. این عدم تعادل نشان‌دهنده یک شکاف سیاستی از بالا به پایین است.

نقاط قوت و ضعف

نقاط قوت: اولین مطالعه از نوع خود، روش‌شناسی واضح، توصیه‌های عملی. نقاط ضعف: حجم نمونه کوچک (۳۶ سایت)، عدم تحلیل رفتار کاربر، محدود به معیارهای رمز عبور.

بینش‌های عملی

اقدامات فوری: (۱) الزامی کردن HTTPS برای همه دامنه‌های دولتی، (۲) استقرار CAPTCHA در تمام صفحات ورود، (۳) پیاده‌سازی سنجش‌گرهای قدرت رمز عبور با بازخورد بلادرنگ، (۴) ارائه دستورالعمل‌های واضح رمز عبور در هنگام ثبت‌نام. بلندمدت: اتخاذ دستورالعمل‌های NIST SP 800-63B برای سیاست‌های رمز عبور.