باور عمومی این است که گذرواژههای قوی و آشنا بودن کاربران با نشانیهای مخرب بهترین سد دفاعی در محافظت از نرمافزار و اطلاعات است. هرچند یک محقق حوزه فناوری اطلاعات یک تحلیل هزینه و فایده روی این عقیده رایج انجام داده است و این شایبه را مطرح کرده است که هزینههای مدیریت گذرواژهها از سود آن بیشتر است.
باور عمومی این است که گذرواژههای قوی و آشنا بودن کاربران با نشانیهای مخرب بهترین سد دفاعی در محافظت از نرمافزار و اطلاعات است. هرچند یک محقق حوزه فناوری اطلاعات یک تحلیل هزینه و فایده روی این عقیده رایج انجام داده است و این شایبه را مطرح کرده است که هزینههای مدیریت گذرواژهها از سود آن بیشتر است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نتیجه یک تحقیق توسط کورمک هرلی (Cormac Herley) از محققان شرکت مایکروسافت در مورد مزایای استفاده از گذرواژه قوی نشان میدهد که این کارکاربران را از متحمل شدن هزینه حملات سایبری به صورت مستقیم در امان نگاه میدارد، اما هزینه فوق العاده بیشتری را به صورت غیرمستقیم و در قالب زمانی که برای آموزش صرف میشود تحمیل میکند.
نیل روبنکینگ (Niel Rubenking) که تحقیق هرلی را روی وبلاگ خود منتشر کرد، استدلال وی را چنین تفسیر میکند: «کاربرانی که به توصیههای امنیتی اهمیت نمیدهند بیملاحظه یا ندانمکار نیستند، بلکه احتمالا به صورت ناخودآگاه متناسب با سطح اهمیت اطلاعات و نرمافزاری که با آن کار میکنند رفتار میکنند. توصیههای امنیتی پیچیده هستند و احتمالا بکار بستن آنها خیلی دشوار است.»
هرلی معتقد است که عامل مغفول مانده در ملاحظات و تحلیلهای امنیتی زمان است. شاید زمانی که از کاربران برای آموزش اصول امنیتی و توجیه آنان گرفته میشود با زمان و هزینهای که از طریق پیشگیری از حملات و آسیبهای امنیتی صرفهجویی میشود برابر یا حتی از آن بیشتر باشد.
در این صورت، آیا این همه صرف زمان و هزینه توجیهپذیر است؟ او چنین توضیح میدهد: «ما به تحلیل دقیقتر و بهتری از زیانی که متوجه کاربران است نیاز داریم. این حقیقت که وقتی کاربران مورد حمله سایبری قرار میگیرند، در درجه اول وقت را از دست میدهند، نه پول تا کنون به درستی مورد توجه قرار نگرفته است. چیزی هم که توصیههای متعدد امنیتی از کاربر میگیرد، همان زمان است.»
هرلی در ضمن توضیحاتش به این نکته اشاره میکند که هزینه آموزش متوجه کل یک جمعیت آماری مورد بحث است، اما منافع پیشگیری از حملات سایبری یا خنثیسازی آنها فقط در مورد بخش کوچکی از کاربران مصداق پیدا میکند که مورد حمله واقع میشوند. هزینه آموزشهای داده شده باید با نرخ کاربرانی که قربانی حملات امنیتی میشوند متناسب باشد.
روبنکین بخش دیگری از تحقیق هرلی را مورد توجه قرار میدهد که در آن مشخص شد که آموزش کاربران برای شناسایی لینکهای فیشینگ (phishing) به هیچ وجه مفید نیست و ارزش صرف وقت را ندارد. هرلی با انجام محاسباتی نشان میدهد که اگر این کار روزی یک دقیقه وقت هر نیروی کار آمریکایی را بگیرد، در یک سال برای اقتصاد آمریکا ۹/۱۵ میلیارد دلار هزینه در بر خواهد داشت.
به عبارت دیگر، آموزش به خاطر چیزی که وقوع آن چندان هم قطعی نیست، یا فقط برای بخش کوچکی از آموزشگیرندگان قطعی است، در هر ساعت ۶/۲ میلیارد دلار هزینه به اقتصاد این کشور تحمیل میکند.
روبنکینگ میگوید، هنوز گذرواژههای پیچیده و غیرقابل حدس زدن سهم عمدهای در تضمین امنیت اطلاعات کاربران دارند. او پیشنهاد میکند که عملیات انتخاب گذرواژه برای کاربران عادی، به کمک یک نرمافزار مدیریت گذرواژه، تا حد امکان مکانیزه شود.
به نظر هرلی: «توصیهها و آموزشهای امنیتی هزینهای را به کل سازمان تحمیل میکند، در صورتیکه بازگشت این هزینه توسط بخش کوچکی از کاربران که مورد حملات سایبری قرار میگیرند و البته به کمک آموزشهایی که دیدهاند آن را خنثی میکنند صورت میپذیرد.
وقتی نسبت این دو گروه کوچک باشد، کاستن از محتوای آموزشی به نحوی که ساعات صرف شده برای اینکار به میزان قابل توجیه برسد، بسیار دشوار خواهد شد. مثلا، نمیتوان از کاربران خواست در ۰۱/۰ درصد از وقت روزانه خود صرفهجویی کرده آنرا به گذراندن دورههای آموزشی در این زمینه اختصاص دهند.»