Utafiti wa Mambo ya Usalama wa Nywila kwenye Tovuti za Serikali za Bangladesh

1. Utangulizi

Kwa uharakishaji wa kidijitali wa huduma za umma chini ya mpango wa 'Digital Bangladesh', Serikali ya Bangladesh imezindua tovuti nyingi kutoa huduma mtandaoni. Hata hivyo, usalama wa majukwaa haya, hasa mifumo ya nywila, unasalia kuwa wasiwasi mkubwa. Utafiti huu unachambua tovuti 36 za serikali za Bangladesh dhidi ya heuristics sita za usalama wa nywila ili kutathmini utayari wao dhidi ya vitisho vya mtandao.

2. Jedwali la Yaliyomo

• 1. Utangulizi
• 3. Usuli na Kazi Zinazohusiana
• 4. Mbinu
• 5. Matokeo na Uchambuzi
  • 5.1 Miongozo ya Ujenzi wa Nywila
  • 5.2 Utaratibu wa Kurejesha Nywila
  • 5.3 Matumizi ya CAPTCHA
  • 5.4 Maswali ya Usalama
  • 5.5 Matumizi ya HTTPS
  • 5.6 Kipimo cha Nguvu ya Nywila
• 6. Muhtasari wa Takwimu
• 7. Maarifa Muhimu
• 8. Maelezo ya Kiufundi na Uundaji wa Hisabati
• 9. Matokeo ya Majaribio na Maelezo ya Chati
• 10. Mfano wa Mfumo wa Uchambuzi
• 11. Uchambuzi wa Asili
• 12. Matumizi na Maelekezo ya Baadaye
• 13. Marejeleo
• 14. Maoni ya Mtaalamu

3. Usuli na Kazi Zinazohusiana

Nywila bado ndiyo njia inayotumika zaidi ya uthibitishaji licha ya udhaifu unaojulikana. Tafiti za awali zimeangazia kuwa sera dhaifu za nywila na ukosefu wa usimbaji fiche wa HTTPS ni matatizo ya kawaida katika lango za serikali duniani kote. Utafiti huu ni wa kwanza wa aina yake kuzingatia hasa tovuti za serikali za Bangladesh.

4. Mbinu

Tulichagua tovuti 36 za serikali za Bangladesh zinazotoa huduma za usajili na kuingia. Kila tovuti ilitathminiwa dhidi ya heuristics sita: miongozo ya ujenzi wa nywila, utaratibu wa kurejesha nywila, matumizi ya CAPTCHA, maswali ya usalama, matumizi ya HTTPS, na kipimo cha nguvu ya nywila. Data ilikusanywa kwa mikono na kuthibitishwa kwa njia tofauti.

5. Matokeo na Uchambuzi

5.1 Miongozo ya Ujenzi wa Nywila

Ni tovuti 12 tu kati ya 36 (33.3%) zilizotoa miongozo ya wazi ya ujenzi wa nywila. Tovuti 24 zilizobaki (66.7%) hazikutoa mwongozo wowote, na hivyo kusababisha uchaguzi dhaifu wa nywila.

5.2 Utaratibu wa Kurejesha Nywila

Tovuti 28 (77.8%) zilitoa urejeshaji wa nywila kupitia barua pepe, wakati tovuti 8 (22.2%) hazikuwa na utaratibu wowote wa urejeshaji au zilitegemea uingiliaji kati wa mikono.

5.3 Matumizi ya CAPTCHA

CAPTCHA ilitekelezwa kwenye tovuti 20 (55.6%). Tovuti 16 zilizobaki (44.4%) zilikosa utaratibu wowote wa kugundua roboti, na hivyo kuongeza uwezekano wa mashambulizi ya kiotomatiki.

5.4 Maswali ya Usalama

Ni tovuti 9 tu (25%) zilizotumia maswali ya usalama kwa ajili ya kurejesha nywila. Maswali mengi yalitabirika (kwa mfano, 'Jina la mnyama wako wa kipenzi ni nini?'), yakitoa usalama mdogo.

5.5 Matumizi ya HTTPS

Tovuti 30 (83.3%) zilitumia HTTPS, lakini tovuti 6 (16.7%) bado zilifanya kazi kwenye HTTP, zikisambaza vitambulisho kwa maandishi wazi.

5.6 Kipimo cha Nguvu ya Nywila

Ni tovuti 10 tu (27.8%) zilizotoa kipimo cha nguvu ya nywila kwa wakati halisi. Ukosefu wa maoni kama haya huchangia katika uteuzi dhaifu wa nywila.

6. Muhtasari wa Takwimu

7. Maarifa Muhimu

• Wengi wa tovuti hazina miongozo ya ujenzi wa nywila, na hivyo kusababisha nywila dhaifu.
• Matumizi ya CAPTCHA hayatoshi, na hivyo kuzifichua tovuti kwa mashambulizi ya kutumia nguvu na ya kiotomatiki.
• Matumizi ya HTTPS ni ya juu kiasi lakini si ya wote, na hivyo kuleta hatari za kukatiza data.
• Vipimo vya nguvu ya nywila havitumiki vya kutosha, na hivyo kupoteza fursa ya kuwaelekeza watumiaji.

8. Maelezo ya Kiufundi na Uundaji wa Hisabati

Entropy ya nywila $H$ inakokotolewa kama $H = L \cdot \log_2(N)$, ambapo $L$ ni urefu wa nywila na $N$ ni idadi ya herufi zinazowezekana. Kwa nywila ya urefu wa 8 ikitumia herufi 62 (a-z, A-Z, 0-9), entropy ni $H = 8 \cdot \log_2(62) \approx 47.6$ bits. Entropy ya chini ya bits 30 inapendekezwa kwa mifumo yenye hatari ndogo, wakati bits 50+ inapendekezwa kwa data nyeti.

9. Matokeo ya Majaribio na Maelezo ya Chati

Chati 1: Kiwango cha Kupitishwa kwa Heuristic - Chati ya pau inayoonyesha asilimia ya tovuti zinazotekeleza kila heuristic. Matumizi ya HTTPS yanaongoza kwa 83.3%, wakati maswali ya usalama yako nyuma kwa 25%. Chati inaonyesha wazi tofauti katika mazoea ya usalama.

Chati 2: Usambazaji wa Nguvu ya Nywila - Chati ya pai inayoonyesha kuwa 60% ya tovuti zinakubali nywila zenye urefu wa chini ya herufi 8, 30% zinahitaji herufi 8-12, na ni 10% tu zinazotekeleza herufi 12+.

10. Mfano wa Mfumo wa Uchambuzi

Uchunguzi Kifani: Tovuti X (Isiyojulikana)

• Miongozo ya Nywila: Hakuna iliyotolewa.
• Urejeshaji: Unategemea barua pepe, hakuna maswali ya usalama.
• CAPTCHA: Haijatekelezwa.
• HTTPS: Ndiyo.
• Kipimo cha Nguvu: Hapana.
• Kiwango cha Hatari: Kikubwa - inaweza kushambuliwa kwa nguvu na kwa udanganyifu.

11. Uchambuzi wa Asili

Utafiti huu unafichua pengo la kutia wasiwasi kati ya sera na utendaji katika usalama wa e-Serikali ya Bangladesh. Ingawa serikali imefanya maendeleo katika kuhudumia kidijitali, ukosefu wa hatua za msingi za usalama wa nywila—kama vile miongozo, CAPTCHA, na vipimo vya nguvu—unaonyesha kupuuzwa kwa utaratibu kwa hatari za mtandao. Asilimia 16.7 ya tovuti bado zinazotumia HTTP ni ya kutia wasiwasi hasa, kwani inafichua vitambulisho vya watumiaji kwa kukatiza kupitia mashambulizi ya mtu-katikati. Kulingana na ripoti ya 2021 ya Benki ya Dunia, nchi zinazoendelea hupoteza wastani wa 0.5% ya Pato la Taifa kila mwaka kutokana na uhalifu wa mtandao, takwimu ambayo inaweza kuongezeka bila hatua. Matokeo yanawiana na utafiti mpana wa Herley na van Oorschot (2012) kuhusu uchumi wa usalama wa nywila, ambao unahoji kuwa tabia ya mtumiaji inaathiriwa sana na muundo wa mfumo. Ukosefu wa vipimo vya nguvu na miongozo kwa ufanisi hubadilisha mzigo wa usalama kwa watumiaji, ambao mara nyingi hawana utaalamu. Uchambuzi linganishi na tafiti zinazofanana nchini India na Pakistan unaonyesha kuwa Bangladesh iko nyuma katika matumizi ya CAPTCHA (55.6% dhidi ya 70% India) lakini inaongoza katika matumizi ya HTTPS (83.3% dhidi ya 65% Pakistan). Hii inapendekeza kuwa uwekezaji wa miundombinu unafanyika, lakini vipengele vya usalama vinavyowakabili watumiaji vinapuuzwa. Ili kuboresha, serikali inapaswa kuagiza viwango vya chini vya nywila, kutekeleza HTTPS katika vikoa vyote, na kuunganisha CAPTCHA kama hitaji la msingi. Gharama ya utekelezaji ni ndogo ikilinganishwa na hasara zinazowezekana kutokana na uvunjaji.

12. Matumizi na Maelekezo ya Baadaye

Kazi za baadaye zinapaswa kupanua seti ya heuristic kujumuisha matumizi ya uthibitishaji wa mambo mengi (MFA), algoriti za hashing za nywila, na mazoea ya usimamizi wa vipindi. Tafiti za muda mrefu zinazofuatilia mabadiliko kwa wakati zinaweza kusaidia kupima athari za hatua za sera. Zaidi ya hayo, tafiti zinazozingatia mtumiaji kuhusu tabia ya nywila miongoni mwa raia wa Bangladesh zinaweza kutoa miongozo bora ya muundo. Ujumuishaji wa uthibitishaji wa kibayometriki na mifumo isiyo na nywila (kwa mfano, WebAuthn) inawakilisha mwelekeo wa kuahidi wa kuimarisha usalama bila kuathiri urahisi wa matumizi.

13. Marejeleo

1. Herley, C., & van Oorschot, P. (2012). A research agenda acknowledging the persistence of passwords. IEEE Security & Privacy, 10(1), 28-36.
2. World Bank. (2021). Cybersecurity and Economic Development: A Global Perspective. Washington, DC.
3. Florencio, D., & Herley, C. (2007). A large-scale study of web password habits. Proceedings of the 16th International Conference on World Wide Web, 657-666.
4. Bonneau, J., et al. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy, 553-567.
5. Bangladesh Computer Council. (2020). National Cybersecurity Strategy 2020-2025. Dhaka.

14. Maoni ya Mtaalamu