1. Utangulizi na Mazingira

Licha ya utafiti wa miongo kadhaa juu ya mbinu mbadala za uthibitishaji, nywila za maandishi bado ndizo mpango mkuu wa uthibitishaji kwa huduma za mtandaoni kutokana na gharama yake ndogo, urahisi wa utekelezaji, na uzoefu wa watumiaji. Hata hivyo, nywila zinakabiliwa na udhaifu wa usalama ulioandikwa vizuri, hasa kutokana na "sababu ya kibinadamu." Watumiaji wanapambana na kuunda na kukumbuka nywila ngumu, za kipekee kwa akaunti nyingi, na kusababisha matumizi ya nywila kwa wingi na mazoea dhaifu ya uundaji wa nywila.

Meneja wa nywila (k.m., LastPass, 1Password) hupendekezwa mara kwa mara kama suluhisho la kiufundi kwa matatizo haya. Wanahidi kuhifadhi hati za siri kwa usalama, kujaza fomu za kuingia moja kwa moja, na kutoa nywila ngumu, za nasibu. Hata hivyo, kabla ya utafiti huu, kulikuwa na upungufu mkubwa wa ushahidi wa kimajaribio wa kiwango kikubwa, ndani ya mazingira halisi juu ya kama meneja wa nywila kweli wanatimiza ahadi yao ya kuboresha usalama wa nywila na kupunguza matumizi katika hali halisi za matumizi.

Utafiti huu unashughulikia pengo hili kwa kutoa utafiti wa kwanza kamili ambao unafuatilia moja kwa moja na kuchambua athari ya meneja wa nywila kwa mazoea halisi ya nywila za watumiaji.

2. Mbinu ya Utafiti

Utafiti ulitumia mbinu mchanganyiko ikichanganya utafiti wa kiwango kikubwa na ufuatiliaji ndani ya mazingira kupitia programu-jalizi maalum ya kivinjari ili kukamata tabia halisi ya nywila.

2.1 Urejeshaji wa Washiriki na Ukusanyaji wa Data

Urejeshaji wa awali ulifanywa kupitia utafiti wa mtandaoni uliolenga uundaji wa nywila na mikakati ya usimamizi, na kuvutia washiriki 476. Kutoka kwenye kundi hili, washiriki 170 walikubali awamu ya pili ya uvamizi zaidi: kusanikisha programu-jalizi ya kivinjari kwa ufuatiliaji usioingilia. Utaratibu huu wa hatua mbili ulihakikisha seti ya data ya watumiaji wenye hamu ambao njia zao halisi za kuingiza nywila (kujaza kiotomatiki kwa meneja dhidi ya kuingiza kwa mikono) zinaweza kurekodiwa kwa usahihi pamoja na nywila zenyewe.

2.2 Ufuatiliaji wa Programu-Jalizi ya Kivinjari

Uboreshaji muhimu wa kimbinu kuliko kazi za awali ulikuwa uundaji wa programu-jalizi ya kivinjari ambayo haikukamata tu heshi za nywila au vipimo, lakini pia iliweka lebo kwa kila tukio la kuingiza nywila na njia yake ya kuingiza:

  • Kujazwa kiotomatiki na meneja wa nywila
  • Kuchapishwa kwa mikono na mtumiaji
  • Kubandikwa kutoka kwenye ubao wa kunakili

Utofautishaji huu ni muhimu kwa kuhusisha sifa za nywila (nguvu, upekee) kwa ushawishi wa meneja dhidi ya tabia ya kibinadamu.

2.3 Ubunifu na Uchambuzi wa Utafiti

Utafiti ulikusanya data juu ya sifa za kijamii za washiriki, mitazamo ya usalama kwa ujumla, mikakati ya usimamizi wa nywila iliyoripotiwa na watumiaji wenyewe, na aina za meneja wa nywila walizotumia (k.m., iliyounganishwa na kivinjari, ya kujitegemea na/bila kizazi). Data hii ya ubora ililinganishwa na data ya kiasi ya programu-jalizi ili kujenga picha kamili ya mambo yanayoathiri.

Jumla ya Washiriki wa Utafiti

476

Washiriki wa Ufuatiliaji wa Programu-Jalizi

170

Maswali Muhimu ya Utafiti

2

3. Matokeo Muhimu na Matokeo

Uchambuzi wa data iliyokusanywa ulitoa matokeo kadhaa muhimu ambayo yanaweka kiwango cha athari halisi ya meneja wa nywila.

3.1 Uchambuzi wa Nguvu ya Nywila

Nywila zilizoingizwa au kutolewa na meneja wa nywila, kwa wastani, zilikuwa ngumu zaidi kuliko zile zilizoundwa na kuingizwa kwa mikono na watumiaji. Nguvu ilipimwa kwa kutumia vipimo vya msingi wa entropy na ukinzani dhidi ya mashambulizi ya nguvu. Hata hivyo, ufafanuzi muhimu ulionekana: faida hii ilionekana wazi zaidi kwa meneja ambao walijumuisha kipengele cha kutoa nywila. Meneja ambao walifanya kazi tu kama vyumba vya uhifadhi mara nyingi walikuwa na nywila dhaifu, zilizoundwa na watumiaji, na kutoa uboreshaji mdogo wa usalama.

3.2 Mifumo ya Matumizi ya Nywila

Utafiti uligundua kuwa meneja wa nywila hupunguza matumizi ya nywila, lakini si kwa wote. Watumiaji ambao walitumia meneja kikamilifu kutoa na kuhifadhi nywila za kipekee kwa kila tovuti walionyesha viwango vya chini vya matumizi. Kinyume chake, watumiaji ambao walitumia meneja tu kama uhifadhi rahisi wa nywila zao zilizopo, zilizoundwa na wao wenyewe, waliendelea kuonyesha viwango vya juu vya matumizi katika huduma tofauti. Jukumu la meneja kwa hivyo ni kudhibiti, sio kuondoa, tatizo la matumizi.

3.3 Ulinganisho wa Meneja dhidi ya Ingizo la Binadamu

Kwa kuainisha njia za kuingiza, utafiti unaweza kulinganisha matokeo moja kwa moja:

  • Zilizotolewa na Meneja & Zilizojazwa Kiotomatiki: Nguvu ya juu kabisa, upekee wa juu kabisa.
  • Zilizoundwa na Mtumiaji & Zilizohifadhiwa/Kujazwa Kiotomatiki na Meneja: Nguvu ya wastani, upekee unaobadilika (inategemea mkakati wa mtumiaji).
  • Zilizoundwa na Mtumiaji & Zilizoingizwa kwa Mikono: Nguvu ya chini kabisa, matumizi ya juu kabisa.

Mgawanyiko huu unaonyesha kuwa uwepo tu wa meneja ni muhimu kidogo kuliko jinsi inavyotumiwa.

Ufahamu Msingi

  • Meneja wa nywila wenye vizazi huboresha kwa kiasi kikubwa nguvu na upekee wa nywila.
  • Meneja bila vizazi mara nyingi hufanya kazi kama wawezeshaji wa kuhifadhi nywila dhaifu, zilizotumiwa tena.
  • Mkakati wa mtumiaji na kupitishwa kwa vipengele vya kizazi ndio viambatanishi vikuu vya faida ya usalama.
  • "Sababu ya kibinadamu" bado iko katikati; teknolojia pekee haiwezi kuhakikisha usalama bila matumizi sahihi.

4. Uchambuzi wa Kiufundi na Mfumo

4.1 Vipimo na Fomula za Nywila

Utafiti ulitumia vipimo vya kawaida vya usimbu fiche ili kutathmini nguvu ya nywila. Kipimo cha msingi kilikuwa entropy ya kukisia, ambayo inakadiria idadi ya wastani ya makisio yanayohitajika kwa shambulio bora.

Entropy $H$ ya nywila kutoka kwa chanzo $X$ na usambazaji wa uwezekano $P(x)$ inatolewa na: $$H(X) = -\sum_{x \in X} P(x) \log_2 P(x)$$ Kwa nywila iliyotolewa kwa nasibu ya urefu $L$ kutoka kwa seti ya herufi ya ukubwa $C$, entropy hurahisishwa kuwa: $$H = L \cdot \log_2(C)$$ Fomula hii ilitumika kulinganisha nywila zilizotolewa na meneja ($C$ kubwa, $P(x)$ ya nasibu) dhidi ya nywila zilizoundwa na watumiaji ($C$ ya ufanisi ya chini, $P(x)$ yenye upendeleo).

4.2 Mfano wa Mfumo wa Uchambuzi

Uchunguzi wa Kesi: Kutathmini Tukio la Kuingiza Nywila

Hali: Tukio la kuingia kwa `social-network.example.com` linalorekodiwa na programu-jalizi.

  1. Ukamataji wa Data: Programu-jalizi inarekodi: `{url: "social-network.example.com", entry_method: "auto_fill", password_hash: "abc123...", timestamp: "..."}`.
  2. Uainishaji wa Mbinu: `entry_method` imewekwa lebo kama `auto_fill`, ikionyesha matumizi ya meneja wa nywila.
  3. Hesabu ya Nguvu: Entropy ya nywila inahesabiwa. Ikiwa ni mfuatano wa nasibu kama `k8&!pL9@qW2`, entropy ni ya juu (~80 bits). Ikiwa ni `Summer2024!`, entropy inahesabiwa kulingana na mifumo inayotabirika, na kusababisha entropy ya ufanisi ya chini (~40 bits).
  4. Uangaliaji wa Upekee: Mfumo huangalia ikiwa heshi `abc123...` inaonekana kwenye hifadhidata kwa kikoa kingine chochote kwa mtumiaji huyo huyo. Ikiwa ndiyo, inawekwa alama kama iliyotumiwa tena.
  5. Uhusishaji: Nywila yenye entropy ya juu, ya kipekee inahusishwa na ushawishi chanya wa meneja wa nywila wenye kizazi. Nywila yenye entropy ya chini, iliyotumiwa tena inahusishwa na meneja iliyotumika tu kama uhifadhi wa tabia mbaya za watumiaji.

5. Matokeo ya Majaribio na Chati

Matokeo yalionyeshwa kwa picha ili kutofautisha wazi athari ya mikakati tofauti ya usimamizi wa nywila.

Chati 1: Nguvu ya Nywila (Entropy) kwa Njia ya Kuingiza
Chati ya mihimili ingeonyesha makundi matatu tofauti: 1) Nywila za Zilizotolewa na Meneja/Zilizojazwa Kiotomatiki zina entropy ya wastani ya juu kabisa. 2) Nywila za Zilizoundwa na Mtumiaji/Zilizohifadhiwa na Meneja zinaonyesha entropy ya wastani. 3) Nywila za Zilizoundwa na Mtumiaji/Zilizochapishwa kwa Mikono zina entropy ya chini kabisa. Pengo kati ya kundi la 1 na kundi la 3 ni kubwa, na kuthibitisha kwa macho faida ya nguvu ya matumizi sahihi ya meneja.

Chati 2: Kiwango cha Matumizi ya Nywila kwa Mkakati wa Mtumiaji
Chati ya mihimili iliyogawanywa ingelinganisha watumiaji. Kundi moja, "Watumiaji Wakamilifu wa Kizazi," linaonyesha asilimia ndogo sana ya akaunti zilizo na nywila zilizotumiwa tena (k.m., <10%). Kundi lingine, "Watumiaji Wasiostahiki wa Uhifadhi," linaonyesha kiwango cha juu cha matumizi, mara nyingi kinacholinganishwa na au hata kuzidi cha watumiaji ambao hawatumii meneja kabisa (k.m., >50%). Chati hii inasisitiza faida ya masharti ya meneja.

6. Uchambuzi Muhimu na Mtazamo wa Sekta

Ufahamu Msingi: Sekta ya usalama imekuwa ikiuza meneja wa nywila kama suluhisho la kudumu kwa zaidi ya muongo mmoja. Utafiti huu ni ukaguzi muhimu wa ukweli: zana hiyo ni bora tu kama mchakato wa kazi unaowezeshwa. Meneja wenye vizazi vilivyounganishwa ni vizidishi vikubwa vya nguvu kwa usalama; wale wasio na vizazi mara nyingi ni tu droo za takataka za kidijitali za nywila mbovu, na kwa uwezekano kuunda hisia potofu ya usalama. Tofauti halisi sio programu—ni kama inabadilisha tabia ya mtumiaji kutoka uundaji/uhifadhi hadi kugawa/kutoa.

Mtiririko wa Mantiki: Mantiki ya utafiti ni kamili. Badala ya kutegemea utafiti au masomo ya maabara, inakwenda moja kwa moja kwenye chanzo: matukio halisi ya kuingiza nywila katika mazingira halisi. Kwa kuweka lebo kwa njia ya kuingiza, inakata kwenye ukungu wa uhusiano/usababishi uliosumbua kazi za awali. Ugunduzi kwamba meneja wasio na kizazi wanaweza "kuzidisha matatizo yaliyopo" ni hitimisho la mantiki la mbinu hii—ikiwa unafanya iwe rahisi kuhifadhi na kutumia nywila dhaifu, unaweza kuongeza matumizi yake.

Nguvu na Kasoro: Nguvu kuu ni ukali wake wa kimbinu—ufuatiliaji ndani ya mazingira ndio kiwango cha dhahabu cha utafiti wa tabia ya usalama, sawa na mbinu za uchunguzi wa asili zinazopendekezwa na mashirika kama Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST) katika Miongozo yao ya Utambulisho wa Kidijitali. Kasoro, iliyokubaliwa na waandishi, ni upendeleo wa washiriki: watumiaji 170 wa programu-jalizi wana uwezekano wa kuwa na ufahamu mkubwa wa usalama kuliko wastani wa watu, na kwa uwezekano kuongeza athari chanya za meneja. Utafiti pia hauchunguzi kwa kina kwa nini watumiaji wanajiepusha na vizazi—je ni kutokuamini, ugumu, au ukosefu wa ufahamu?

Ufahamu Unaoweza Kutekelezwa: Kwa wakurugenzi wa bidhaa katika kampuni kama 1Password au Dashlane, agizo ni wazi: fanya kizazi kiwe njia ya chini ya upinzani ya kawaida, isiyoweza kuepukika. Pendekeza nywila ngimu kiotomatiki kwa kila usajili mpya. Kwa viongozi wa usalama wa IT, maana ya sera ni kutaka au kutoa tu meneja wa nywila wenye uwezo wa kutoa ulioidhinishwa. Kwa watafiti, mpaka unaofuata ni kuunganisha matokeo haya na miundo mingine ya uthibitishaji. Kama vile CycleGAN ilionyesha uhamishaji wa mtindo kati ya nyanja za picha, utafiti wa baadaye unaweza kuchunguza "uhamishaji wa tabia ya usalama," kwa kutumia wasaidizi wenye akili kusukuma watumiaji kutoka kwa mikakati dhaifu ya nywila hadi ngimu bila kuguswa. Enzi ya kukuza meneja wa nywila kama kategoria ya jumla imekwisha; lengo lazima libadilike hadi kukuza tabia maalum, za kutoa.

7. Matumizi ya Baadaye na Mwelekeo wa Utafiti

Utafiti huu unafungua njia kadhaa za kazi ya baadaye na uundaji wa programu:

  • Utoaji wa Nywila Unaoelewa Mazingira na Akili: Meneja wa baadaye wanaweza kutoa nywila zinazolinganisha nguvu na mahitaji maalum na historia ya uvunjaji wa tovuti lengwa, kwa uwezekano kutumia alama za hatari kutoka kwa hifadhidata kama Have I Been Pwned.
  • Uhamishaji bila Mguso na Kiolesura cha Kuunda Tabia: Kuunda zana zinazochambua kikamilifu vyumba vya uhifadhi vya nywila vya mtumiaji, kutambua hati za siri dhaifu na zilizotumiwa tena, na kuwaelekeza kupitia mchakato wa hatua kwa hatua wa kubadilisha na nywila zilizotolewa.
  • Unganishaji na Uthibitishaji bila Nywila na Uthibitishaji wa Sababu Nyingi (MFA): Utafiti juu ya jinsi meneja wa nywila wanaweza kutumika kama daraja kwa mustakabali halisi wa kutokuwa na nywila (k.m., FIDO2/WebAuthn) kwa kusimamia funguo za kuingia na kutumika kama sababu ya pili, kama ilivyopendekezwa katika mifumo kutoka kwa viwango vya ISO/IEC.
  • Masomo ya Muda Mrefu na ya Kitamaduni: Kupanua mbinu hii ya ndani ya mazingira kwa idadi kubwa zaidi, tofauti zaidi kwa muda mrefu ili kuelewa jinsi tabia za usimamizi wa nywila zinavyobadilika na kutofautiana katika tamaduni.
  • Ukaguzi wa Usalama wa Meneja: Kutumia kanuni zinazofanana za ufuatiliaji kukagua mazoea ya usalama na faragha ya nyongeza za meneja wa nywila zenyewe, wasiwasi unaokua katika mnyororo wa usambazaji.

8. Marejeo

  1. Lyastani, S. G., Schilling, M., Fahl, S., Bugiel, S., & Backes, M. (Mwaka). Studying the Impact of Managers on Password Strength and Reuse. [Jina la Mkutano/Jarida].
  2. Florêncio, D., & Herley, C. (2007). A large-scale study of web password habits. In Proceedings of the 16th international conference on World Wide Web.
  3. Das, A., Bonneau, J., Caesar, M., Borisov, N., & Wang, X. (2014). The tangled web of password reuse. In NDSS.
  4. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B).
  5. Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired image-to-image translation using cycle-consistent adversarial networks. In Proceedings of the IEEE international conference on computer vision (pp. 2223-2232).
  6. Ur, B., et al. (2016). Design and evaluation of a data-driven password meter. In Proceedings of the CHI Conference on Human Factors in Computing Systems.
  7. International Organization for Standardization (ISO). ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection.