احراز هویت اساساً به معنای شناسایی یک کاربر برای ارائه دسترسی به سیستمها است.
به گزارش گرداب، identification یا تشخیص هویت یکی از تعابیری است که در حوزه امنیت سایبری زیاد به کار میرود. این اصطلاح اساسا به شناسایی یک کاربر اشاره دارد. برای مثال، اگر وارد بانک شوید و صندوقدار از شما دربارهی هویتتان سوال کند، برای شناسایی به گفته شما اکتفا میکند و شما را به اسم مدنظر میشناسد.
یا به عبارت دیگر، اگر خودتان به تازگی نام خود را به جایی ارائه کردهاید یا روی سیستمی کار میکنید و به تازگی نام کاربری خود را ارائه کردهاید، یعنی هویت شما شناسایی شده است. البته درک این نکته مهم است که شناسایی با احراز هویت تفاوت دارد. احراز هویت تنها زمانی اتفاق میافتد که شما به طور واقعی هویت خود را تأیید کنید؛ اما شناسایی میتواند مستقل از احراز هویت انجام شود. شما میتوانید هر هویتی را که میخواهید ادعا کنید و لزوما قرار نیست که بعدا به صورت واقعی آن را تأیید کنید. در نتیجه، شناسایی فقط به معنای ادعای یک هویت است؛ بنابراین پس از شناسایی، به احراز هویت نیاز داریم که طبق آن شما باید ثابت کنید واقعا همان شخصیتی هستید که ادعا میکنید.
احراز هویت و مکانیسمهای آن
این کار را میتوان از طریق مکانیسمهای مختلفی انجام داد. به عنوان مثال، میتوانید یک رمز عبور مخفی، یا یک الگوی مخفی را ارائه دهید. یا میتوانید نوعی دادهی بیومتریک بدهید؛ مثل اثر انگشت یا اسکن شبکیهی چشم. لطفا به خاطر داشته باشید که احراز هویت تنها زمانی انجام میشود که خودتان را شناسایی و یا معرفی کرده باشید؛ زیرا احراز هویت بر خلاف شناسایی هویت، یعنی تأیید هویت ادعا شدهی شما؛ بنابراین طبیعی است که اول باید یک هویت را ارائه کنید و بعد احراز هویت کنید.
و، اما چرا احراز هویت مهم است؟ زیرا «عدم انکار» را فراهم میکند. عدم انکار، اصطلاحی مهم در امنیت سایبری است و معنی آن این است که نمیتوانید ادعا کنید که این شما نبودید که برخی از اقدامات را در یک سیستم انجام دادهاید و این یعنی شما مسئول کاری هستید که انجام میدهید. بنابراین، به عنوان مثال، اگر شما هویت خود را ارائه دهید و با ارائهی رمز عبور آن را احراز هویت کنید و سپس وظایف خاصی را در یک سیستم انجام دهید، پس مسئولیت هر کاری که انجام میدهید، بر عهدهی شماست. بعدا نمیتوانید ادعا کنید که شخص دیگری مسئول آن کارها بوده است.
در واقع، به کمک همین مفهوم عدم انکار است که ما دقیقا میدانیم چه کسی چه کاری را انجام داده است. پس از احراز هویت مجوز برخی کارها داده میشود و شما یک کاربر قانونی هستید و اجازهی دسترسی به بخشهای مختلف سیستم را دارید. اما همهی کاربران از امتیازات یکسانی برخوردار نیستند. برخی از کاربران امتیازات بالاتر یا بیشتری دارند. به عنوان مثال، مدیر عامل یک شرکت به وضوح در مقایسه با یک کارمند معمولی از امتیازات و دسترسی بالاتری برخوردار است. به همین ترتیب هم یک مدیر شبکه ممکن است در مقایسه با یک کاربر معمولی، دسترسی گستردهتر یا عمیقتری به بخشهای مختلف سیستمهای پایگاه داده داشته باشد. این کار از طریق دریافت مجوز انجام میشود و اساسا سطح مجوز، میزان دسترسی شما را مشخص میکند.
و، اما چه چیز تعیین میکند که شما به عنوان یک کاربر به چه نوع دادهها، چه نوع سیستمها و چه نوع برنامههایی دسترسی دارید؟ این امر از طریق لیستهای کنترل دسترسی اعمال میشود که مشخص میکند هر کاربر چه نوع دسترسیهایی داشته باشد. برای مثال، این لیست تعیین میکند که فلان کاربر میتواند به این فایل در حالت فقط خواندن دسترسی داشته باشد. به یاد داشته باشید که همیشه مجوز تنها زمانی داده میشود که یک کاربر احراز هویت شده باشد.
بنابراین، آخرین مرحله پس از دریافت مجوز، مسئولیتپذیری است که اساسا به معنای مسئول بودن کاربر در قبال اقدامات خود است. اگرچه شما کاربر قانونی یک سیستم هستید و مجوز از پیش تعریف شده دارید، اما خوب است که دوباره بررسی کنید که هر کاربری آیا فعالیتی را انجام داده است که مجاز به انجام آن نبوده است یا خیر. این امر همیشه مخرب نیست. گاهی اوقات به طور ناخواسته، به کاربران امتیازاتی داده میشود که قرار نبوده آنها را داشته باشند. برای مثال، این مساله اغلب وقتی اتفاق میافتد که نقشها را در سازمان تغییر میدهید یا وقتی که در طول زمان امتیازات بیشتری به دست میآورید. بنابراین، اساسا ما به نوعی مکانیسم حسابرسی برای اطمینان از تخصیص و بهروزرسانی مناسب امتیازات و سطوح دسترسی نیاز داریم.
بیایید فرض کنیم رضا به بانک میرود و پشت باجه میگوید: «سلام، من اصغر هستم». اکنون، در این مرحله، اصغر فقط خودش را معرفی کرده است و بنابراین شناسایی او کامل نیست؛ زیرا هنوز در مورد احراز هویت او صحبتی به میان نیامده است. پس کارمند پشت پیشخوان، میگوید: «کارت ملّی لطفا». حالا اصغر کارت ملّی خود را میدهد و کارمند آن را تأیید میکند و میگوید: «متشکرم». در این مرحله، هویت اصغر برای سیستم احزار شده است. بنابراین، تفاوت بین شناسایی و احراز هویت در این است که هویت فقط به معنای ادعای چیزی است، در حالی که احراز هویت به معنای تأیید آن است و میتواند به روشهای مختلفی صورت پذیرد. ممکن است از کارت ملّی شما یا یک رمز عبور استفاده شود. بعد از این مرحله است که اصغر میتواند بگوید: «میشه ده هزار دلار برداشت کنم؟» و کارمند بانک میگوید «شما فقط پنج هزار دلار در روز میتوانید برداشت کنید». این همان چیزی است که ما به آن مجوز میگوییم. در حال حاضر، حتی با این که اصغر خود را شناسایی کرده و احراز هویت شده است، اما مجوز تعیین میکند که اصغر به چه کارکردها یا اموری دسترسی دارد؛ بنابراین اینجاست که مجوز وارد عمل میشود، کنترلها و دسترسیها را ایجاد میکند و اطمینان حاصل میکند که اصغر فقط میتواند عملیاتی را انجام دهد که مجوز آن را دارد.
پس یک بار دیگر: شناسایی زمانی است که یک سوژه، ادعای هویت کند. بنابراین، ادعاهایی مانند «من اصغر رضایی هستم» صرفا شناسایی است. در این مرحله شما هنوز احراز هویت نشدهاید و فقط ادعای هویت میکنید. اما احراز هویت به اثبات هویت اشاره دارد و این اثبات با ارائهی کارت شناسایی، رمز عبور یا مثلا یک دادهی بیومتریک انجام میشود.
مراحل مختلف چرخه تشخیص هویت
مراحل مختلف چرخهی تشخیص هویت، فرایندی است که به سازمانها کمک میکند تا تشخیص هویت را ساده کنند و فرآیند مدیریت دسترسی را انجام دهند. اولین قدم، تأمین است. در این مرحله حسابهای جدیدی ایجاد میکنیم و به آن حسابها امتیاز میدهیم. اما ما همچنین یک فرآیند بررسی نیز وجود دارد که در طی آن، دسترسیهای هر حساب به صورت دورهای مورد بررسی قرار میگیرد. این کار کمک میکند تا گاهی اوقات مشکلات جدی برجسته شوند. برای مثال، ممکن است حسابهایی را شناسایی کنیم که دیگر فعال نیستند و باید غیرفعال شوند. همچنین این کار به ما کمک میکند تا سینهخیز رفتن امتیازات را شناسایی کنیم. سینهخیز رفتن امتیاز زمانی اتفاق میافتد که یک فرد در یک سازمان به صورت عمودی به سمت بالا حرکت میکند و در طول زمان ممکن است امتیازات بیش از حدی جمع کند. فرض کنید شخصی به بخش منابع انسانی میپیوندد و بعدا به بخش شبکه میرود و مدیر شبکه میشود، اما همچنان امتیازات حساب منابع انسانی خود را حفظ میکند. این حالت سینهخیز رفتن امتیاز نامیده میشود و تنها در صورتی میتوان آن را شناسایی کرد که بررسیها و ممیزیهای دورهای حساب را انجام دهید.
آخرین مرحله، ابطال است. یعنی غیرفعال کردن حسابهای کارمندانی که آن شغل را ترک میکنند یا بازنشسته و یا اخراج میشوند. لازم به ذکر است که این امر با غیرفعال کردن حسابهای غیرفعال متفاوت است و ابطال یک گام بسیار مهم از منظر امنیت سایبری است؛ زیرا به خصوص اگر کارمندی دارید که از کار اخراج شده است و هنوز به حساب خود دسترسی دارد، ممکن است از این دسترسی برای حمله به شرکت استفاده کند یا باعث شود هر نوع آسیب دیگری رخ دهد. بنابراین، همیشه ایدهی خوبی است که به سرعت دسترسی به حسابهای کارمندانی که آن شغل را ترک میکنند یا بازنشسته و یا اخراج میشوند، لغو کنید.
شاخصههای احراز هویت
دستهبندیهای مختلفی از فاکتورهای احراز هویت وجود دارد و ما به ترتیب از ضعیفترین به قویترین، آنها را مطرح میکنیم. نوع اول: به یک رمز عبور یا پین مخفی کفایت میشود. این یک نوع احراز هویت است، اما طبیعتا خیلی عالی نیست؛ زیرا گاهی اوقات افراد رمز عبور و پینهای خود را برای افراد دیگر فاش میکنند. ممکن است آن را در جایی یادداشت کنند یا ممکن است به راحتی هک شود و غیره؛ بنابراین سراغ نوع بعدی میرویم کمی قویتر است. نوع دوم: پیامی حاوی رمز که به سیم کارت موبایل یا ایمیل فرد ارسال میشود. اما این هم اشکالاتی در پی دارد که باعث میشود به سراغ نوع سوم و قویترین فاکتور احراز هویت برویم که همان ویژگیهای زیستی فرد است؛ مانند الگوی شبکیهی چشم، اثر انگشت و یا .... اینها چیزهایی هستند که به هیچ وجه نمیتوان دزدید. برای مثال، هیچ کس نمیتواند شبکیهی چشم شما را بدزدد. حالا میخواهیم در مورد این فاکتورها با تفصیل بیشتری صحبت کنیم.
بیایید با فاکتور تأیید هویت نوع اول شروع کنیم: یک مثال معمولی از آن، رمز عبور است. اگر از این نوع فاکتور احراز هویت استفاده میکنید، چند نکتهی ایمنی وجود دارد که باید رعایت شود. به عنوان مثال، رمز عبور باید حداقل هشت کاراکتر داشته باشد. اگر خیلی کوتاه باشد به راحتی شکسته میشود. همچنین رمز عبور همیشه باید دارای حروف بزرگ و کوچک باشد و حداقل یک کاراکتر عددی داشته باشد. بنابراین، دلیل این که ما طول گذرواژه را افزایش میدهیم و حروف بزرگ و کوچک و اعداد را اضافه میکنیم، این است که تعداد احتمالات را افزایش دهیم تا شکستن آن از طریق نیروی برنامههای رمزشکن به طور تصاعدی دشوار شود. همچنین رمز عبور باید حداقل یک کاراکتر خاص داشته باشد. همیشه بهتر است عباراتی داشته باشید که به خاطر سپردن آنها برای شما راحتتر است، اما شکستن آنها دشوار است. مثلا «من سوپرمن را دوست دارم». این عبارتی است که به خاطر سپردن آن آسان و شکستنش بسیار سختتر است؛ زیرا در مقایسه با یک رمز عبور معمولی طول بیشتری دارد. حتی اگر یک جملهی معمولی بنویسید، شکستن آن بسیار سخت است؛ زیرا طولانی بودن رمز عبور، شکستن آن را به طور تصاعدی دشوار میکند. حواستان باشد که هرگز نباید از نامهای رایج مثل شهرها یا الگوهای رایج مانند ۱، ۲، ۳ یا الف، ب، پ استفاده کنید؛ اما همیشه نیز به یاد داشته باشید که نباید کاربران را مجبور به انتخاب رمزهای عبور بسیار پیچیده کرد. به عنوان مثال، اگر از کاربران خود بخواهید که رمزهای عبور حداقل ۱۲ کاراکتری داشته باشند که شامل حروف بزرگ، کوچک، عددی و کاراکترهای خاص و ... باشد، قطعا باید رمز عبوری ایجاد کنند که مشکل است و برای این که آن را فراموش نکنند، به احتمال زیاد آن را روی یک برچسب یادداشت میکنند و روی میز میچسبانند. عقل سلیم حکم میکند که ما همیشه امنیت را در مقایسه با پیچیدگی متعادل کنیم. پس قرار نیست رمز عبوری بسازیم که اجرای آن بیش از حد پیچیده باشد.
نوع دوم احراز هویت، احراز هویت از طریق چیزی است که شما نزد خود دارید و از نظر فیزیکی در اختیار شماست. این چیز میتواند نشان هویت شما، یک کارت هوشمند و سیمکارت تلفن همراه باشد که در آن پیامها را دریافت میکنید یا حتی میتواند یک برنامهی کاربردی مانند گوگل اتنتیکیتور (Google authenticator) باشد. تفاوت این نوع با نوع اول در این است که در نوع اول رمز عبور چیزی بود که شما میدانستید و در مغز شما ذخیره میشد؛ در حالی که در این نوع، رمز عبور چیزی است که شما باید از نظر فیزیکی آن را در اختیار داشته باشید.
و، اما نوع آخر، احراز هویت بیومتریک است و اشاره به ویژگیهای زیستی هر فرد دارد. اساسا ما انواع مختلفی از بیومتریک داریم. اولین مورد، اسکن شبکیه است که در صدر لیست قرار دارد؛ جون دقیقترین روش است و حتی میتواند با موفقیت بین دوقلوهای همسان تمایز قائل شود. بعدی، اسکن عنبیه است که به نظر مشابه با اسکن قرنیه است، اما در مقایسه با اسکن شبکیه دقت بسیار کمتری دارد. از طرفی، اسکن شبکیه کمی مشکل است؛ زیرا برای تشخیص درست باید چشم خود را به اسکنر نزدیک کنید و سپس یک پرتو نور وارد چشم شما میشود و به همین دلیل ممکن است این فرآیند برای بسیاری از کاربران ناراحتکننده باشد. در مقابل، اسکن عنبیه را میتوان از چند قدم دورتر انجام داد و اصلا ناراحت کننده نیست. مورد بعدی، اثر انگشت است. اگر ۴ انگشت یا بیشتر را اسکن کنید، نتایج شما در حدود نود و نه درصد دقیق خواهد بود. بعدی، اسکن کف دست است. این روش قبلا صرفا به خطوط کف دست شما اشاره داشت، اما اسکنرهای کف دست مدرن، میلیونها نقطه داده از رگهای کف دست شما را ضبط میکنند و میتوانند نتایج شگفتانگیز دقیقی تولید کنند. آخرین مورد الگوی صدای شماست که به اندازهی سایر انواع اسکنهای بیومتریک، مانند اسکن شبکیه، دقیق نیست.
در مورد احراز هویت بیومتریک، یک نکته هست که باید حتما در نظر گرفت. برخی از این ویژگیهای زیستی در طول زندگی شما ثابت هستند و برخی از آنها با افزایش سن تغییر میکنند. برای مثال، صدا و اثر انگشت شما با افزایش سن تغییر میکند. اگر واقعا خیلی پیر شوید، ممکن است اثر انگشت شروع به محو شدن کند. اما شبکیهی چشم چیزی است که در طول زندگی تغییری نمیکند؛ مگر این که یک مشکل پزشکی داشته باشید که طبعا میتواند بر هر یک از این بیومتریکها تأثیر بگذارد.
و، اما یک ابزار عالی در زرادخانهی متخصصان امنیت سایبری، احراز هویت چندعاملی است. اگر فقط از یک رمز عبور استفاده میکنید و نام کاربری و رمز عبور خود را برای ورود به سیستم میدهید، احراز هویت شما تکعاملی است؛ زیرا شما فقط از رمز عبور استفاده میکنید و این کار امنیت بسیار ضعیفی را فراهم میکند. کافی است رمز عبور شما به خطر بیفتد تا امنیت کل سیستم نقض شود. بنابراین، اگر از احراز هویت چندعاملی استفاده کنید که بیش از یک نوع احراز هویت را ترکیب میکند، امنیت افزایش مییابد. اکثرا نوع یک و دو را ترکیب میکنند. همانطور که گفته شد، در نوع یک مانند رمز عبور در ذهن شما ذخیره میشود و در نوع دو نیز رمز عبور از طریق ایمیل یا دریافت پیامک حاوی رمز دوم، در اختیار شما قرار میگیرد. روش کار به این صورت است: فرض کنید در حال ورود به یک سیستم هستید. ابتدا نام کاربری و رمز عبور خود را ارائه میدهید (نوع اول)، سپس اگر رمز عبور شما احراز هویت شود، سیستم یک پیام کوتاه ایجاد میکند و آن را به تلفن همراه شما ارسال میکند (نوع دوم). بعد باید کد تأییدی را که در پیامک خود دریافت میکنید، به سیستم ارائه دهید. این فرایند دو عامل را فراهم میکند و از این رو به آن احراز هویت چندعاملی میگویند.
روشی که در آن دو عامل را با هم ترکیب کنیم، احراز هویت دوعاملی (2FA) نامیده میشود و طبیعتا وقتی سه عامل را با هم ترکیب کنیم، احراز هویت سهعاملی (3FA) نامیده میشود.
مجوز و پاسخگویی در احراز هویت
همانطور که گفتیم مجوز تعیین میکند که چه کسی مجاز است چه کاری را انجام دهد. به عنوان مثال، در یک سیستم، شما میتوانید گروههای مختلفی از کاربران را ایجاد کنید. میتوانید گروهی از کاربران عادی داشته باشید که فقط میتوانند حساب خود را مشاهده کنند یا گروهی از مدیران داشته باشید که میتوانند حسابهای کاربری دیگران را مشاهده و حتی حذف کنند. با این حال، این دستهبندیها گسترده هستند. شما کاربران را به دستههای وسیعی تقسیم کردهاید و آن دستهها دارای امتیازات از پیش تعریف شده هستند. شما حتی میتوانید با مجوز خود دسترسی عمیقتری داشته باشید. برای مثال، میتوانید سطح دسترسی کاربران دیگر را ببینید. مثلا یک کاربر نمیتواند روی فایلی که فقط به آن دسترسی خواندن دارد، تغییری ایجاد کند.
و، اما پاسخگویی. این اصطلاح به ثبت فعالیتهای کاربر برای پاسخگویی اشاره دارد. به یاد داشته باشید که پاسخگویی تنها زمانی انجام میشود که شناسایی و احراز هویت کاربر صورت بگیرد؛ زیرا تنها در این صورت است که کاربر مسئول فعالیت خود شناخته میشود و نمیتواند مسئولیت خود را انکار کند. این کار از طریق ممیزی گزارشها و حسابها برای شناسایی هرگونه تخلف انجام میشود. در مورد مجوز باید یک نکتهی مهم را مد نظر قرار داد؛ به طور کلی شما همیشه باید حداقل مقدار داده یا اطلاعاتی را که یک فرد برای تکمیل کارش نیاز دارد، به او بدهید. این کار تضمین میکند که هر فرد حداقل امتیازی را که برای انجام وظایف شغلی به آن نیاز دارد، در اختیار داشته باشد. پس ایدهی اساسی در امنیت سایبری، ارائهی کمترین امتیاز است. به عنوان مثال، فرض کنید مدیری دارید که تقریبا به تمام بخشهای مختلف سیستم شما دسترسی دارد. او حتی میتواند حسابهای کاربری را ایجاد، اصلاح یا حذف کند و میتواند پایگاههای دادهی مختلف و زیادی را مدیریت کند. با این حال آیا او واقعا نیاز دارد که بتواند اطلاعات حقوق کارمندان را مشاهده کند؟ این سوال خیلی مهم است. شما فقط باید امتیازاتی به او بدهید که واقعا برای انجام کارش نیاز دارد. درواقع باید امتیازات را به حداقل محدود کنید. به همین ترتیب اگر کاربری دارید که برای انجام وظایف شغلی نیاز به خواندن فایل دارد، صرفا باید دسترسی فقط خواندن را به او بدهید و نه دسترسی خواندن و نوشتن؛ زیرا این نوع امتیازات اگر کنترل نشود، ممکن است مورد سوءاستفاده قرار گیرد و پیامدهای جدی و خطرناکی برای امنیت سایبری داشته باشد.
مفهوم مهم دیگر در سازمانها، سینهخیز رفتن امتیازات است. همانطور که گفتیم، این امر زمانی اتفاق میافتد که یک فرد در طول زمان با تغییر قانون یا زمانی که به صورت عمودی در سازمان حرکت میکند، امتیازات گوناگونی را جمع میکند. درست است که در حالت ایدهال، هر زمان که فردی مسئولیتهای جدیدی به دست میآورد، امتیازات جدیدی دریافت میکند؛ اما امتیازات قدیمی او باید بر اساس مسئولیت جدید بازنگری و لغو شود؛ هرچند این کار اغلب اتفاق نمیافتد. به طور مثال فرض کنید شما یک دستیار فروش دارید که مدیر شبکه و سپس مدیر امنیتی شده است، اما بدون این که نیازی در میان باشد، همچنان امتیازات دسترسی به سیستمهای فروش را حفظ کرده است. این امر معمولا به این دلیل اتفاق میافتد که سازمانها فرآیندهای پاسخگویی ندارند. مسئولیتپذیری اساسا به مسئول دانستن افراد در قبال اعمالشان اشاره دارد. این امر از طریق ممیزی گزارش، حسابرسی حساب و مفهوم جالب چرخش مناصب اعمال میشود. چرخش مناصب یعنی این که هر چند وقت یک بار افراد را در بین مناصب مختلف سازمان خود بچرخانید. مشکل اینجاست که وقتی کسی نقشی را برای مدت طولانی ایفا میکند، به سختی میتوان متوجه شد که دقیقا چگونه عمل میکند و آیا قوانین را زیر پا میگذارد یا خیر. اما زمانی که جایگاه افراد را هر چند وقت یکبار تغییر دهید، به کارمند جدید یا کارمندان دیگر اجازه میدهید تا به اقدامات قبلی خود توجه کنند. گاهی این کار به آشکار شدن مشکلات کمک میکند. دوباره تکرار میکنم تا به خاطر داشته باشید. پاسخگویی تنها در صورتی قابل اجراست که امکان انکار مسئولیت وجود نداشته باشد؛ یعنی کاربر باید شناسایی و احراز هویت را انجام داده باشد. تنها در این صورت است که میتوانیم مطمئن باشیم که این کاربر بهطور خاص فعالیتی را انجام داده است.
تعدادی از منابع اطلاعاتی وجود دارد که میتواند به فرآیند پاسخگویی کمک کند. به عنوان مثال، گزارشهای شبکه حاوی مسیریابها، سوئیچها و گزارشهای دیوار آتشین میتوانند فعالیتهای کاربر را نشان دهند. همچنین گزارشهای پایگاه اساسا پرس و جوهای ضبط شده، دسترسی به فایلها و هرگونه تغییر را ثبت و نظارت میکنند. به عنوان مثال، اگر بخشی از پایگاه داده حساس شما اصلاح یا حذف شده است، میتوانید به سادگی به گزارشهای پایگاه داده مراجعه کنید و ببینید که کدام کاربر آن تغییرات را ایجاد کرده است. به طور مشابه، لاگهای برنامه اساسا استثناها، خرابیها و ناهنجاریها را ثبت میکنند. بنابراین، اگر یک کاربر داخلی دارید که سعی میکند وب سرور شما را از کار بیندازد، قطعا ردپایی در لاگ برنامهها باقی خواهد گذاشت. علاوه بر این، گزارشهای سیستمی حاوی اطلاعات ثبت شده در ایستگاههای پایانی هستند و این به هر منبع استفاده شده یا هر برنامهی کاربردی اجرا شده اشاره دارد. حتی اگر کاربر برنامههایی را نصب کرده باشد که طبق خطمشی سازمان ممنوع اعلام شدهاند، این گزارش میتواند آن را نشان دهد.