Kajian Faktor Keselamatan Kata Laluan di Kalangan Laman Web Kerajaan Bangladesh

1. Pengenalan

Dengan pendigitalan pesat perkhidmatan awam di bawah inisiatif 'Bangladesh Digital', Kerajaan Bangladesh telah melancarkan banyak laman web untuk menyediakan perkhidmatan dalam talian. Walau bagaimanapun, keselamatan platform ini, terutamanya mekanisme kata laluan, masih menjadi kebimbangan kritikal. Kajian ini menganalisis 36 laman web kerajaan Bangladesh berdasarkan enam heuristik keselamatan kata laluan untuk menilai kesediaan mereka terhadap ancaman siber.

2. Jadual Kandungan

• 1. Pengenalan
• 3. Latar Belakang dan Kerja Berkaitan
• 4. Metodologi
• 5. Keputusan dan Analisis
  • 5.1 Garis Panduan Pembinaan Kata Laluan
  • 5.2 Mekanisme Pemulihan Kata Laluan
  • 5.3 Penggunaan CAPTCHA
  • 5.4 Soalan Keselamatan
  • 5.5 Penggunaan HTTPS
  • 5.6 Meter Kekuatan Kata Laluan
• 6. Gambaran Keseluruhan Statistik
• 7. Pandangan Utama
• 8. Butiran Teknikal dan Perumusan Matematik
• 9. Keputusan Eksperimen dan Penerangan Carta
• 10. Contoh Rangka Kerja Analisis
• 11. Analisis Asal
• 12. Aplikasi dan Hala Tuju Masa Depan
• 13. Rujukan
• 14. Ulasan Pakar

3. Latar Belakang dan Kerja Berkaitan

Kata laluan kekal sebagai mekanisme pengesahan yang paling banyak digunakan walaupun terdapat kelemahan yang diketahui. Kajian sebelum ini telah menonjolkan bahawa dasar kata laluan yang lemah dan kekurangan penyulitan HTTPS adalah isu biasa di portal kerajaan di seluruh dunia. Kajian ini adalah yang pertama seumpamanya yang memberi tumpuan khusus kepada laman web kerajaan Bangladesh.

4. Metodologi

Kami memilih 36 laman web kerajaan Bangladesh yang menawarkan perkhidmatan pendaftaran dan log masuk. Setiap laman web dinilai berdasarkan enam heuristik: garis panduan pembinaan kata laluan, mekanisme pemulihan kata laluan, penggunaan CAPTCHA, soalan keselamatan, penggunaan HTTPS, dan meter kekuatan kata laluan. Data dikumpul secara manual dan disahkan silang.

5. Keputusan dan Analisis

5.1 Garis Panduan Pembinaan Kata Laluan

Hanya 12 daripada 36 laman web (33.3%) menyediakan garis panduan pembinaan kata laluan yang jelas. Baki 24 laman web (66.7%) tidak menawarkan sebarang panduan, yang membawa kepada pilihan kata laluan yang lemah.

5.2 Mekanisme Pemulihan Kata Laluan

28 laman web (77.8%) menawarkan pemulihan kata laluan melalui e-mel, manakala 8 laman web (22.2%) tidak mempunyai mekanisme pemulihan atau bergantung pada campur tangan manual.

5.3 Penggunaan CAPTCHA

CAPTCHA dilaksanakan pada 20 laman web (55.6%). Baki 16 laman web (44.4%) tidak mempunyai sebarang mekanisme pengesanan bot, meningkatkan kerentanan kepada serangan automatik.

5.4 Soalan Keselamatan

Hanya 9 laman web (25%) menggunakan soalan keselamatan untuk pemulihan kata laluan. Kebanyakan soalan boleh diramal (contohnya, 'Apakah nama haiwan peliharaan anda?'), menawarkan keselamatan yang minimum.

5.5 Penggunaan HTTPS

30 laman web (83.3%) menggunakan HTTPS, tetapi 6 laman web (16.7%) masih beroperasi di atas HTTP, menghantar kelayakan dalam teks biasa.

5.6 Meter Kekuatan Kata Laluan

Hanya 10 laman web (27.8%) menyediakan meter kekuatan kata laluan masa nyata. Ketiadaan maklum balas sedemikian menyumbang kepada pemilihan kata laluan yang lemah.

6. Gambaran Keseluruhan Statistik

7. Pandangan Utama

• Majoriti laman web kekurangan garis panduan pembinaan kata laluan, yang membawa kepada kata laluan yang lemah.
• Penggunaan CAPTCHA tidak mencukupi, mendedahkan laman web kepada serangan kekerasan dan automatik.
• Penggunaan HTTPS agak tinggi tetapi tidak universal, menimbulkan risiko pemintasan data.
• Meter kekuatan kata laluan kurang digunakan, kehilangan peluang untuk membimbing pengguna.

8. Butiran Teknikal dan Perumusan Matematik

Entropi kata laluan $H$ dikira sebagai $H = L \cdot \log_2(N)$, di mana $L$ ialah panjang kata laluan dan $N$ ialah bilangan aksara yang mungkin. Untuk kata laluan sepanjang 8 aksara menggunakan 62 aksara (a-z, A-Z, 0-9), entropi ialah $H = 8 \cdot \log_2(62) \approx 47.6$ bit. Entropi minimum 30 bit disyorkan untuk sistem berisiko rendah, manakala 50+ bit disyorkan untuk data sensitif.

9. Keputusan Eksperimen dan Penerangan Carta

Carta 1: Kadar Penggunaan Heuristik - Carta bar yang menunjukkan peratusan laman web yang melaksanakan setiap heuristik. Penggunaan HTTPS mendahului pada 83.3%, manakala soalan keselamatan ketinggalan pada 25%. Carta tersebut menggambarkan dengan jelas jurang dalam amalan keselamatan.

Carta 2: Taburan Kekuatan Kata Laluan - Carta pai yang menggambarkan bahawa 60% laman web menerima kata laluan dengan kurang daripada 8 aksara, 30% memerlukan 8-12 aksara, dan hanya 10% menguatkuasakan 12+ aksara.

10. Contoh Rangka Kerja Analisis

Kajian Kes: Laman Web X (Tanpa Nama)

• Garis Panduan Kata Laluan: Tiada disediakan.
• Pemulihan: Berasaskan e-mel, tiada soalan keselamatan.
• CAPTCHA: Tidak dilaksanakan.
• HTTPS: Ya.
• Meter Kekuatan: Tidak.
• Tahap Risiko: Tinggi - terdedah kepada serangan kekerasan dan pancingan data.

11. Analisis Asal

Kajian ini mendedahkan jurang yang membimbangkan antara dasar dan amalan dalam keselamatan e-Kerajaan Bangladesh. Walaupun kerajaan telah membuat kemajuan dalam mendigitalkan perkhidmatan, kekurangan langkah keselamatan kata laluan asas—seperti garis panduan, CAPTCHA, dan meter kekuatan—menunjukkan anggaran rendah yang sistematik terhadap risiko siber. 16.7% laman web yang masih menggunakan HTTP amat membimbangkan, kerana ia mendedahkan kelayakan pengguna kepada pemintasan melalui serangan orang-di-tengah. Menurut laporan 2021 oleh Bank Dunia, negara membangun kehilangan anggaran 0.5% daripada KDNK setiap tahun akibat jenayah siber, angka yang boleh meningkat tanpa campur tangan. Penemuan ini sejajar dengan penyelidikan yang lebih luas oleh Herley dan van Oorschot (2012) mengenai ekonomi keselamatan kata laluan, yang berpendapat bahawa tingkah laku pengguna sangat dipengaruhi oleh reka bentuk sistem. Ketiadaan meter kekuatan dan garis panduan secara berkesan mengalihkan beban keselamatan kepada pengguna, yang sering kekurangan kepakaran. Analisis perbandingan dengan kajian serupa di India dan Pakistan menunjukkan bahawa Bangladesh ketinggalan dalam penggunaan CAPTCHA (55.6% berbanding 70% di India) tetapi mendahului dalam penggunaan HTTPS (83.3% berbanding 65% di Pakistan). Ini menunjukkan bahawa pelaburan infrastruktur sedang berlaku, tetapi ciri keselamatan berhadapan pengguna diabaikan. Untuk menambah baik, kerajaan harus mewajibkan piawaian kata laluan minimum, menguatkuasakan HTTPS merentas semua domain, dan mengintegrasikan CAPTCHA sebagai keperluan asas. Kos pelaksanaan adalah diabaikan berbanding potensi kerugian daripada pelanggaran.

12. Aplikasi dan Hala Tuju Masa Depan

Kerja masa depan harus memperluaskan set heuristik untuk merangkumi penggunaan pengesahan pelbagai faktor (MFA), algoritma hash kata laluan, dan amalan pengurusan sesi. Kajian membujur yang menjejaki perubahan dari semasa ke semasa akan membantu mengukur kesan campur tangan dasar. Selain itu, kajian berpusatkan pengguna mengenai tingkah laku kata laluan dalam kalangan rakyat Bangladesh boleh memaklumkan garis panduan reka bentuk yang lebih baik. Integrasi pengesahan biometrik dan sistem tanpa kata laluan (contohnya, WebAuthn) mewakili arah yang menjanjikan untuk meningkatkan keselamatan tanpa menjejaskan kebolehgunaan.

13. Rujukan

1. Herley, C., & van Oorschot, P. (2012). A research agenda acknowledging the persistence of passwords. IEEE Security & Privacy, 10(1), 28-36.
2. World Bank. (2021). Cybersecurity and Economic Development: A Global Perspective. Washington, DC.
3. Florencio, D., & Herley, C. (2007). A large-scale study of web password habits. Proceedings of the 16th International Conference on World Wide Web, 657-666.
4. Bonneau, J., et al. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy, 553-567.
5. Bangladesh Computer Council. (2020). National Cybersecurity Strategy 2020-2025. Dhaka.

14. Ulasan Pakar