Chagua Lugha

Saikolojia ya Kukazana na ya Muda Mfupi: Uthibitishaji wa Nenosiri na Nenosiri la Kifungu kwa Kutumia Miundo ya Kibinafsi ya Mtu

Uchambuzi wa uthibitishaji wa nenosiri kupitia saikolojia ya utambuzi na isimu-saikolojia, kupendekeza mfano wa kujirejelea kwa usalama ulioimarishwa na kukumbukwa.
strongpassword.org | PDF Size: 0.2 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Saikolojia ya Kukazana na ya Muda Mfupi: Uthibitishaji wa Nenosiri na Nenosiri la Kifungu kwa Kutumia Miundo ya Kibinafsi ya Mtu
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Saikolojia ya Kukazana na ya Muda Mfupi: Uthibitishaji wa Nenosiri na Nenosiri la Kifungu kwa Kutumia Miundo ya Kibinafsi ya Mtu

Jedwali la Yaliyomo

1. Utangulizi

Usalama wa kompyuta kwa jadi umekuwa wa teknolojia au mfumo, na kusababisha suluhisho za busara za uthibitishaji wa mtumiaji, usambazaji wa funguo, na kumalizika kwa funguo. Hata hivyo, suluhisho hizi mara nyingi huleta matatizo mapya kwa watumiaji na wasimamizi. Vipimo vya kibayometriki, ingawa vinapata umaarufu, vinaleta changamoto kubwa za usalama—alama za vidole bandia zimeidhinishwa kwa kutumia nyenzo kama vile gundi, putty, cyanoacrylate, na lithografia ya picha. Bayometriki laini, kama vile mifumo ya kubonyeza vitufe, hutoa kubadilika lakini zinahitaji vipindi vya mafunzo na hutoa funguo sawa zinapobatilishwa. Utafiti huu unapendekeza kwamba nywila na vifungu vya nywila, vinapojumuishwa na saikolojia ya utambuzi na kijamii na isimu-saikolojia, hutoa mpango wa uthibitishaji unaoweza kubatilishwa, unaokumbukwa, na salama. Ubunifu muhimu ni ujumuishaji wa mtazamo wa mtumiaji wa Nafsi yake katika mchakato wa kuchagua nywila, kuimarisha sitiari ya siri iliyoshirikiwa kati ya mtumiaji na mashine.

2. Mbinu

Kufanikiwa kumthibitisha mtumiaji dhidi ya mfumo kwa jadi imekuwa eneo gumu lakini lenye tija la utafiti. Hapo awali, uthibitishaji wa mtumiaji ulilinda mashine za gharama kubwa za urithi. Leo, lengo limebadilika kulinda mifumo midogo, iliyogatuliwa kama vile kompyuta za kibinafsi, kompyuta za mkononi, PDA, na simu za rununu. Kuongezeka kwa kompyuta inayoenea na muunganisho ulioongezeka kumepanua kijiometri uso wa mashambulizi. Watumiaji, wanaosimamia akaunti nyingi, wanahisi kulemewa na sera za nywila. Kutoka kwa mtazamo wa nadharia ya habari, mifumo inayotegemea nywila inasambaratika chini ya mahitaji ya utambuzi. Uhusiano wa nyingi-kwa-mmoja kati ya malengo na watumiaji huwafanya watumiaji kuwa shabaha kubwa, hasa kutokana na kuenea kwa nywila 'zinazopendekezwa'. Utafiti huu unatumia mfano wa nadharia ya habari kuona uthibitishaji kama siri iliyoshirikiwa, iliyoimarishwa na kujirejelea kwa mtumiaji.

3. Ufahamu Mkuu: Athari ya Kujirejelea katika Uthibitishaji

Ufahamu mkuu wa karatasi hii ni kwamba athari ya kujirejelea—jambo la utambuzi lililothibitishwa vizuri ambapo habari inayohusiana na mtu mwenyewe inakumbukwa kwa urahisi zaidi—inaweza kutumika kuunda nywila zenye nguvu na zinazokumbukwa zaidi. Kwa kuruhusu watumiaji kuunda nywila kulingana na masimulizi ya kibinafsi, kumbukumbu, au dhana za nafsi, mfumo hubadilisha mfuatano wa bahati nasibu kuwa siri 'iliyoshikiliwa kwa nguvu'. Uwekezaji huu wa kisaikolojia huwafanya watumiaji kuwa na uwezekano mkubwa wa kulinda nywila na uwezekano mdogo wa kuiandika au kuishiriki. Karatasi inasema kwamba mbinu hii ni 'ya muda mfupi' kwa sababu nguvu ya nywila haiko tu katika muundo wake wa herufi bali katika maana yake ya kipekee, ya kibinafsi kwa mtumiaji, ambayo ni vigumu kwa mshambuliaji kuiga au kukisia.

4. Mtiririko wa Mantiki: Kutoka kwa Mzigo wa Habari hadi Usalama wa Utambuzi

Mtiririko wa mantiki wa karatasi unavutia. Inaanza kwa kutambua tatizo: mzigo wa habari kutoka kwa sera nyingi na ngumu za nywila husababisha mazoea duni ya usalama (kwa mfano, kutumia tena nywila, kuandika nywila). Kisha inakosoa suluhisho zilizopo: bayometriki ngumu zinaweza kughushiwa, bayometriki laini zinahitaji mafunzo na zinahatarisha funguo za baadaye. Karatasi kisha inapendekeza suluhisho: mfumo wa nywila unaotegemea saikolojia ya utambuzi. Hoja inaendelea kwa kuonyesha kwamba nywila za kujirejelea zinakumbukwa zaidi (kupunguza mzigo wa utambuzi) na ni salama zaidi (kwa sababu hazitabiriki kwa wageni). Hatua ya mwisho ni kuweka hili ndani ya nadharia ya habari, kuonyesha kwamba entropy ya nywila ya kujirejelea si tu kazi ya herufi zake bali ya muktadha wa kipekee wa kibinafsi, ambao ni aina ya 'habari ya faragha' ambayo mshambuliaji hawezi kuipata kwa urahisi.

5. Nguvu na Udhaifu: Tathmini Muhimu

Nguvu: Nguvu kuu ya karatasi ni mbinu yake ya taaluma mbalimbali, kuunganisha usalama wa kompyuta na saikolojia ya utambuzi na kijamii. Inatoa suluhisho linalozingatia binadamu kwa tatizo la binadamu, likienda zaidi ya marekebisho ya kiufundi tu. Dhana ya mfumo kama 'msiri' ni sitiari yenye nguvu ambayo inaweza kuboresha utii wa mtumiaji na hali ya usalama. Mfano wa nadharia ya habari unatoa mfumo madhubuti wa kuchambua mfumo uliopendekezwa.

Udhaifu: Karatasi ni ya kinadharia kwa kiasi fulani na haina uthibitishaji wa majaribio kwa kiwango kikubwa. 'Athari ya kujirejelea' imesomwa vizuri katika kumbukumbu, lakini matumizi yake kwa usalama wa nywila yanahitaji majaribio zaidi ya ulimwengu halisi. Kuna hatari kwamba watumiaji wanaweza kuchagua nywila ambazo ni rahisi kutabirika kulingana na sura yao ya umma (kwa mfano, wasifu wa mitandao ya kijamii). Karatasi haishughulikii kikamilifu asili ya 'muda mfupi' ya dhana ya nafsi—nini kinatokea wakati masimulizi ya nafsi ya mtumiaji yanabadilika? Mfumo lazima uwe imara kwa mabadiliko ya kibinafsi. Zaidi ya hayo, karatasi haitoi algoriti halisi au maelezo ya utekelezaji wa kuzalisha au kutathmini nywila kama hizo.

6. Maarifa Yanayoweza Kutekelezwa: Mapendekezo ya Vitendo

Kulingana na matokeo ya karatasi, maarifa kadhaa yanayoweza kutekelezwa yanajitokeza kwa wataalamu wa usalama na wabunifu wa mifumo:

  • Tekeleza Vichocheo vya Nenosiri la Kujirejelea: Badala ya mahitaji ya herufi za bahati nasibu, waongoze watumiaji kuunda nywila kulingana na hadithi za kibinafsi, kumbukumbu, au maadili. Kwa mfano, 'Ni kumbukumbu gani ya utotoni iliyokuunda kuwa wewe ulivyo leo?'
  • Changanya na Vifungu vya Nenosiri: Wahimize watumiaji kuunda vifungu vya nywila ambavyo ni masimulizi mafupi, ambayo ni rahisi kukumbuka na vigumu kuvunja kuliko mifuatano ya bahati nasibu.
  • Tumia Uthibitishaji Unaobadilika: Kwa programu za usalama wa juu, changanya nywila za kujirejelea na mambo mengine (kwa mfano, bayometriki za tabia) ili kuunda mfumo wa vipengele vingi ambao ni salama na rafiki kwa mtumiaji.
  • Elimisha Watumiaji: Wafundishe watumiaji dhana ya 'usalama wa utambuzi'—eleza kwa nini nywila za kujirejelea zina nguvu zaidi na jinsi ya kuziunda bila kufichua habari za kibinafsi.
  • Fanya Tafiti za Majaribio: Kabla ya utekelezaji kamili, fanya majaribio yaliyodhibitiwa kupima kukumbukwa na usalama wa nywila za kujirejelea ikilinganishwa na sera za jadi.

7. Maelezo ya Kiufundi na Mfumo wa Hisabati

Karatasi inatumia mfano wa nadharia ya habari kuhesabu usalama wa nywila za kujirejelea. Entropy $H$ ya nywila kwa jadi huhesabiwa kama $H = L \cdot \log_2(N)$, ambapo $L$ ni urefu na $N$ ni ukubwa wa seti ya herufi. Hata hivyo, karatasi inasema kwamba kwa nywila za kujirejelea, entropy halisi ni ya juu kwa sababu 'alfabeti' inajumuisha muktadha wa kipekee wa kibinafsi wa mtumiaji. Mfano unaweza kupanuliwa kama:

$$H_{total} = H_{char} + H_{self}$$

ambapo $H_{char}$ ni entropy inayotegemea herufi na $H_{self}$ ni entropy inayochangiwa na athari ya kujirejelea, ambayo ni kazi ya maarifa ya faragha ya mtumiaji. Karatasi inapendekeza kwamba $H_{self}$ inaweza kuigwa kama habari ya pamoja kati ya nywila na dhana ya nafsi ya mtumiaji, $I(Password; Self)$. Hii ni mchango mpya unaohesabu asili ya 'kushikiliwa kwa nguvu' ya siri.

8. Matokeo ya Majaribio na Maelezo ya Mchoro

Ingawa karatasi ni ya kinadharia kimsingi, inarejelea kazi za awali juu ya athari ya kujirejelea katika kumbukumbu. Maelezo ya mchoro ya mfumo uliopendekezwa ni kama ifuatavyo:

Kielelezo 1: Mtiririko wa Uthibitishaji wa Kujirejelea

Pembezo la Mtumiaji: "Mbwa wangu wa kwanza alikuwa golden retriever aliyeitwa Sunny."
    |
    v
Usindikaji wa Mfumo: 
    - Toa vipengele muhimu: "mbwa wa kwanza", "golden retriever", "Sunny"
    - Tumia mageuzi: "SunnyGoldenRetriever2021!"
    - Hifadhi heshi ya nywila iliyobadilishwa
    |
    v
Uthibitishaji: Mtumiaji anaingiza tena kifungu, mfumo unatumia mageuzi sawa, analinganisha heshi.

Matokeo Yanayotarajiwa (kutoka kwa fasihi ya saikolojia ya utambuzi): Tafiti juu ya athari ya kujirejelea (kwa mfano, Rogers, Kuiper, & Kirker, 1977) zinaonyesha kwamba habari ya kujirejelea inakumbukwa hadi 50% bora kuliko habari iliyochakatwa kisemantiki. Ikizingatiwa kwa nywila, hii inapendekeza kwamba watumiaji watakuwa na maombi machache zaidi ya kuweka upya nywila na watakuwa na uwezekano mdogo wa kuandika nywila zao.

9. Mfano wa Mfumo wa Uchambuzi

Fikiria mtumiaji, Alice, ambaye anahitaji kuunda nywila kwa akaunti yake ya barua pepe. Badala ya sera ya bahati nasibu, mfumo unamwomba aeleze thamani ya kibinafsi. Alice anaandika: "Nathamini uaminifu kuliko yote." Mfumo unabadilisha hii kuwa kifungu cha nywila: "UaminifuKulikoYote!" Kifungu hiki cha nywila kina urefu wa herufi 20, kinajumuisha herufi kubwa, ndogo, na herufi maalum, ikipa entropy ya herufi ya $H_{char} = 20 \cdot \log_2(72) \approx 20 \cdot 6.17 = 123.4$ bits. Hata hivyo, entropy ya kujirejelea $H_{self}$ ni ya juu zaidi kwa sababu mshambuliaji angehitaji kujua maadili ya kibinafsi ya Alice, ambayo hayapatikani kwa umma. Kwa hivyo, entropy ya jumla ni kubwa zaidi kuliko nywila ya bahati nasibu yenye herufi 20, na Alice ana uwezekano wa kuikumbuka kwa sababu ina maana kwake.

10. Matumizi na Maelekezo ya Baadaye

Kanuni zilizoainishwa katika karatasi hii zina matumizi mapana zaidi ya mifumo ya jadi ya nywila. Maelekezo ya baadaye ni pamoja na:

  • Ujumuishaji na Uthibitishaji wa Maarifa Sufuri: Nywila za kujirejelea zinaweza kutumika katika itifaki za uthibitishaji wa maarifa sufuri, ambapo mtumiaji anathibitisha ujuzi wa siri bila kuifichua.
  • Mifumo ya Usalama Inayobadilika: Mifumo inayorekebisha kwa nguvu mahitaji ya uthibitishaji kulingana na hali ya utambuzi ya mtumiaji au usikivu wa data inayofikiwa.
  • Maswali ya Usalama Yanayobinafsishwa: Kuhamia zaidi ya maswali ya usalama ya jumla (kwa mfano, 'Jina la msichana la mama yako ni nini?') hadi maswali ambayo ni ya kibinafsi kweli na yana uwezekano mdogo wa kukisiwa kutoka kwa rekodi za umma.
  • Kuingia kwa Siri Moja kwenye Mifumo Mbalimbali (SSO): Kutumia kifungu kimoja cha nywila cha kujirejelea kinachokumbukwa sana kama ufunguo mkuu wa huduma nyingi, kupunguza uchovu wa nywila.
  • Usaidizi wa AI katika Uzalishaji wa Nenosiri: Kutumia usindikaji wa lugha asilia kusaidia watumiaji kuunda nywila za kujirejelea ambazo zinakumbukwa na salama, huku wakiepuka mitego ya kawaida.

11. Uchambuzi wa Asili

Karatasi hii ya Pilson ni mwanzo wa mjadala wenye kuchochea na muhimu unaoacha mazungumzo yaliyochoka, yanayozingatia teknolojia kuhusu usalama wa nywila. Hoja kuu—kwamba tunapaswa kutumia athari ya kujirejelea kuunda siri 'zilizoshikiliwa kwa nguvu'—ni maridadi na yenye msingi wa kisaikolojia. Athari ya kujirejelea ni mojawapo ya matokeo thabiti zaidi katika saikolojia ya utambuzi (Symons & Johnson, 1997), na matumizi yake katika uthibitishaji ni wazo la kipaji. Hata hivyo, nguvu ya karatasi pia ni udhaifu wake. Ni mfumo wa dhana, si suluhisho kamili la uhandisi. Karatasi haina algoriti halisi ya kuzalisha na kuthibitisha nywila za kujirejelea, na haishughulikii suala muhimu la uwezo wa kupanuka. Je, mfumo unathibitishaje kuwa nywila ni 'ya kujirejelea' bila kuhifadhi masimulizi ya kibinafsi ya mtumiaji? Hii ni changamoto kubwa ya faragha na usalama.

Zaidi ya hayo, utegemezi wa karatasi kwenye nadharia ya habari, ingawa ni madhubuti, unaweza kuwa na matumaini kupita kiasi. Dhana kwamba $H_{self}$ haitegemei $H_{char}$ ina shaka. Kwa vitendo, watumiaji wanaweza kuchagua nywila za kujirejelea ambazo bado zinatabirika (kwa mfano, kutumia matukio ya kawaida ya maisha kama 'kuhitimu' au 'harusi'). Karatasi ingefaidika na mjadala wa kina zaidi wa asili ya 'muda mfupi' ya dhana ya nafsi. Kama ilivyobainishwa na Markus na Wurf (1987), dhana ya nafsi inabadilika na inategemea muktadha. Nenosiri linalotegemea 'thamani ya msingi' linaweza kuwa thabiti, lakini linalotegemea 'lengo la sasa' linaweza kubadilika mara kwa mara, na kusababisha kuweka upya nywila.

Licha ya udhaifu huu, mchango wa karatasi ni muhimu. Inafungua mwelekeo mpya wa utafiti: 'usalama wa utambuzi.' Hii inalingana na mwelekeo mpana katika mwingiliano wa binadamu na kompyuta na usalama unaotumika. Wito wa karatasi wa kuona mfumo kama 'msiri' ni kanuni yenye nguvu ya kubuni ambayo inaweza kubadilisha mitazamo ya watumiaji kuelekea usalama. Katika enzi ya vitisho vinavyoongezeka vya mtandao, mbinu hii inayozingatia binadamu si ya ubunifu tu—ni muhimu. Hatua inayofuata ni kwa watafiti kujenga juu ya mfumo huu, kufanya tafiti kubwa za watumiaji, na kuendeleza utekelezaji wa vitendo unaosawazisha usalama, kukumbukwa, na faragha.

12. Marejeleo

  • Pilson, C. S. (2021). Tightly-Held and Ephemeral Psychometrics: Password and Passphrase Authentication Utilizing User-Supplied Constructs of Self. arXiv preprint arXiv:1509.01662v1.
  • Rogers, T. B., Kuiper, N. A., & Kirker, W. S. (1977). Self-reference and the encoding of personal information. Journal of Personality and Social Psychology, 35(9), 677–688.
  • Symons, C. S., & Johnson, B. T. (1997). The self-reference effect in memory: A meta-analysis. Psychological Bulletin, 121(3), 371–394.
  • Markus, H., & Wurf, E. (1987). The dynamic self-concept: A social psychological perspective. Annual Review of Psychology, 38, 299–337.
  • Shannon, C. E. (1948). A mathematical theory of communication. The Bell System Technical Journal, 27(3), 379–423.
  • Adams, A., & Sasse, M. A. (1999). Users are not the enemy. Communications of the ACM, 42(12), 40–46.
  • Yan, J., Blackwell, A., Anderson, R., & Grant, A. (2004). Password memorability and security: Empirical results. IEEE Security & Privacy, 2(5), 25–31.