بروس شنیر

 با وجودی که رمزهای عبور عموما ناامن هستند، اما آن ها به همین زودی ها از زندگی ما نمی روند. هر سال شما با رمزهای عبور بیشتری سر و کله می زنید و هر سال شکستن آن ها راحت تر و راحت تر می شود. به همین دلیل شما به یک استراتژی نیاز دارید
.

 

بهترین راه برای این که بگوییم چه رمز عبوری بهتر است این است که بگوییم چطور رمزهای عبور شکسته می شوند. یکی از راه های حمله به رمزهای عبور، حمله آفلاین حدس رمز است. براساس این سناریو، مهاجم فایل رمزگذاری شده رمز عبور را از جایی که کاربر نیاز دارد هویت خود را تایید کند، می دزدد. او نیاز دارد که این فایل رمزگذاری شده را به حالت عادی برگرداند تا با استفاده از رمز عبور آن، هویت خود را به عنوان هویت اصلی معرفی کند. او این کار را با حدس زدن رمزهای عبور انجام می دهد تا ببیند که آیا این رمزها درست هستند یا نه. او می تواند رمزها را با هر سرعتی که کامپیوترش بتواند آن ها را پردازش کند، حدس بزند. و او می تواند حمله را موازی کند و بلافاصله که رمز درست را وارد کرد، متوجه آن شود. بله، راه هایی برای مقابله با این حمله وجود دارد و به همین دلیل است که ما هم چنان می توانیم رمزهای 4 رقمی برای کارت های عابر بانکمان داشته باشیم، اما این روش درست شکستن رمز عبور است.

 

تعدادی نرم افزار تجاری وجود دارد که کار باز کردن رمز عبور را انجام می دهند و به اداره های پلیس فروخته شده است. در عین حال، ابزارهایی برای هک نیز وجود دارد که دقیقا همان کار را انجام می دهند و باید گفت که بسیار کارآمد هستند.

 

بازده شکستن رمزهای عبور وابسته به دو موضوع مستقل است: قدرت و راندمان.

 

قدرت به سادگی به معنای قدرت محاسبه است. از آنجایی که هر روز کامپیوترها سریع تر می شوند، توانایی امتحان رمزهای بیشتری را، در زمان کمتری می یابند. یک برنامه در تبلیغات خود عنوان کرده است که 8 میلیون رمز را در یک ثانیه مورد آزمون قرار می دهد. این برنامه های شکستن رمز ممکن است برای روزها بر روی چند ماشین و به طور هم زمان کار کنند. برای یک پرونده مهم پلیسی، ممکن است این روند تا ماه ها طول بکشد.

 

راندمان، به قدرت حدس زدن رمزهای عبور هوشمندانه گفته می شود. این که بخواهیم یک ترکیب 8 حرفی را از aaaaaaaa تا zzzzzzzz امتحان کنیم منطقی به نظر نمی رسد. این ترکیب شامل بیش از 200 میلیارد رمز عبور می شود که بسیاری از آنها بعید به نظر می رسند. کراکر های رمز عبور، عموما از عبارات ساده شروع می کنند.

 

یک پسورد معمولی شامل بخش اصلی به علاوه یک دنباله است. بخش اصلی رمز عبور الزاما یک کلمه از لغت نامه نیست، اما عموما چیزهایی هست که امکان تلفظ آن ها وجود دارد. دنباله یا یک پسوند است(در 90 درصد مواقع) یا یک پیشوند (در 10 درصد از رمزهای عبور). یک برنامه عبور از رمز که من با آن کار کردم، کار را با یک دیکشنری از 1000 رمز عبور مشهور مانند letmein، temp و 12345678 شروع می کرد و به همین روند ادامه می داد. سپس هر کدام از این رمزهای عبور را با 100 مورد از مشهورترین پسوندها مورد آزمون قرار می داد. این برنامه 25 درصد از رمزهای عبور را با استفاده از همین 100 هزار ترکیب شناسایی می کند.

 

کراکرهای رمزهای عبور از لغت نامه های مختلفی مانند، لغت نامه انگلیسی، نام ها، کلمات خارجی و … برای بخش اصلی رمز عبور و عدد دو رقمی، نشانه های یگانه و مانند آن برای بخش اضافه استفاده می کنند. آن ها دیکشنری ها را با حروف بزرگ مختلف و نشانه ها به جای حرف مانند $ به جای S یا @ به جای a و دیگر انواع ترکیب مورد استفاده قرار می دهند. این نوع از روش حدسی، دو سوم رمزهای عبور را آشکار می کند.

 

کراکرهای پیشرفته رمزهای عبور، از ترکیب کلمات مختلف در لغت نامه هایشان استفاده می کنند:

 

آن چیزی که در رابطه با هر سه نوع شکستن رمز عبور قابل توجه بود، نوع خروجی است که ارائه می دهند. آن ها رمزهای عبوری مانند “k1araj0hns0n,” “Sh1a-labe0uf,” “Apr!l221973,” “Qbesancon321,” “DG091101%,” “@Yourmom69,” “ilovetofunot,” “windermere2313,” “tmdmmj17 و “BandGeek2014.” را در خروجی خود آورده بودند. هم چنین در لیست آن ها کلمات ترکیبی مانند “all of the lights” ( در بسیاری از سایت ها می توانید از علامت فاصله در رمز عبور استفاده کنید) “i hate hackers,” “allineedislove,” “ilovemySister31,” “iloveyousomuch,” “Philippians4:13,” “Philippians4:6-7 و “qeadzcwrsfxv1331.” نیز به چشم می خورد.

 

به همین دلیل است که شیوه XKCD برای بازبینی رمز عبور که بارها نسبت به استفاده از آن تاکید شده است، کلماتی مانند “correcthorsebatterystaple” را به عنوان رمز عبور خوب، نمی شناسد. هکرها روش عبور از این نوع کلمات ترکیبی و جملات را پیدا کرده اند.

 

مهاجم، هر نوع اطلاعاتی که از قربانی در دست دارد را در برنامه عبور از رمز وارد می کند. یک مهاجم خوب، تمام نام های دفترچه تلفن فرد، تاریخ های خاص و هر نوع اطلاعات شخصی دیگری که از فرد داشته باشد را وارد می کند. کدهای پستی عموما دنباله های مشهوری هستند. اگر مهاجم بتواند، هارد درایو فرد را فهرست بندی می کند و با ساختن یک پوشه لغت نامه، تمام رشته های قابل چاپ، حتی از فایل هایی که پاک شده اند را جمع آوری می کند. اگر شما هرگز ایمیلی را حاوی رمز عبورتان ارسال کرده یا این که آن را در یک فایل غیر رمزگذاری شده ذخیره کرده اید، یا برنامه ای رمز عبور شما را در حافظه دستگاه ذخیره کرده است، این شیوه می تواند به آن رمز دست پیدا کند و روند دستیابی به رمز عبورتان را تسریع می کند.

 

سال گذشته، آرس تکنیکا، 16 هزار مورد پسورد رمزگذاری شده را به سه متخصص داد و از آن ها خواست که تا حد امکان رمزهای عبور بیشتری را بشکنند. برنده، طی چند ساعت 90 درصد رمزها را بازیابی کرد و بازنده تنها توانست 62 درصد از رمزها را بازیابی کند. این دقیقا همان روندی است که در سال های 2011 و 2007 هم مشاهده کردیم. اگر بخواهیم چیز تازه ای بگوییم، باید عنوان کنیم که چنین چیزهایی به شکل ساده ای سرعت گرفته اند و مردم از آن ها غافلند.

 

حدودا هر چیزی که قابل یادآوری باشد، قابل حدس زدن هم هست.

 

اما هنوز یک سیستم وجود دارد که کار می کند. در سال 2008 من طرح اشنایر را مطرح کردم:

 

اگر شما می خواهید رمز عبوری داشته باشید که حدس زدن آن سخت باشد، باید رمزی پیدا کنید که سیستم در شیوه های مختلفی که امتحان می کند، آن را جا بیاندازد. پیشنهاد من این است که یک جمله را انتخاب کنید و آن را به رمز عبورتان تغییر دهید. چیزهایی شبیه به This little piggy went to market می تواند به tlpWENT2m تغییر شکل پیدا کند. این رمز عبور نه کاراکتری، در لغت نامه هیچ هکری نیست. البته از این رمز عبور استفاده نکنید، چرا که من درباره آن نوشته ام. جمله خودتان را انتخاب کنید، چیزی که شخصی و برای شما باشد.

 

در ادامه چند نمونه می آورم.

 

WIw7,mstmsritt… = When I was seven, my sister threw my stuffed rabbit in the toilet.

 

Wow…doestcst = Wow, does that couch smell terrible.

 

Ltime@go-inag~faaa! = Long time ago in a galaxy not far away at all.

 

uTVM,TPw55:utvm,tpwstillsecure = Until this very moment, these passwords were still secure.

 

شما ایده را گرفتید. یک جمله قابل یادآوری شخصی را انتخاب کنید و آن را با مواردی خاص خودتان تغییر دهید و با اضافه و کم کردن چند جز، رمز عبوری طولانی و قابل اعتماد بسازید. البته باید سایت تمام آن علامت های غیر عددی را بپذیرد و طولانی بودن رمز عبور برایش اهمیتی نداشته باشد. در غیر این صورت، کار بسیار سخت تر خواهد بود.

 

راه بهتر انتخاب رمزهای تصادفی از حروف و علامت ها و ذخیره آن در یک برنامه مدیریت رمز مانند  Password Safe است. این نرم افزار بخشی برای پردازش رمزهای تصادفی دارد. تنها کافیست که تعداد حروف رمز عبور خود را انتخاب کنید – به طور مثال من 12 حرف برای رمز عبور انتخاب کردم – و برنامه رمزهایی مانند  y.)v_|.7)7Bl, B3h4_[%}kgv)  و QG6,FN4nFAm_  برای شما می سازد. برنامه امکان برداشت و کپی رمز را دارد، بنابراین شما آنچنان نیاز ندارید که این حروف را تایپ کنید. من برنامه Password Safe را برای ویندوز پیشنهاد می کنم، چرا که اولین نسخه از نرم افزار را خودم نوشتم و در حال حاضر مسئول این پروژه شخصی است که او را می شناسم و به امنیت برنامه اعتماد کامل دارم. برنامه های رابط کاربری برای استفاده Password Safe بر روی سیستم عامل های اپل وجود دارد، اما من با آن ها کاری ندارم. البته برنامه های مدیریت رمز عبور دیگری نیز در بازار موجود است که شما می توانید آن ها را خریداری و استفاده کنید.

 

این موارد شاید برای انتخاب رمز عبور بهتر به شما کمک کند:

 

1. هرگز از رمز عبوری که برایتان اهمیت دارد دو بار استفاده نکنید. حتی اگر رمز عبور قوی بوده باشد، شرکت می تواند به دلیل بی مبالاتی، آن را لو دهد. شما نمی خواهید که فردی که به رمز عبور یکی از حساب های کاربریتان دسترسی پیدا کرد، بتواند به دیگر حساب های شما نیز دسترسی پیدا کند.

 

2. خود را با به روز رسانی مداوم رمز عبورتان اذیت نکنید. سایت هایی که رمز عبورهای 90 روزه یا بیشتر می خواهند، بیش از این که کمک کنند، مضر هستند. در حالتی که فکر نمی کنید که رمز عبورتان در خطر لو رفتن است، آن را تغییر ندهید.

 

3. مراقب سوال امنیتی تان باشید. شما نمی خواهید راهی برای شکاندن رمز عبورتان بگذارید که از پیدا کردن رمز عبور راحت تر باشد. واقعا، عاقلانه آن است که از برنامه های مدیریت رمز عبور استفاده کنید. یا این که رمزهای عبورتان را بر روی یک تکه کاغذ بنویسید و آن را در جای امنی قرار دهید.

 

4. یک توصیه دیگر: اگر سایت از شما می خواهد که رمز دوم خود را فعال کنید(عموما از طریق ارسال پیامک به تلفن همراه) حتما این کار را انجام دهید. این یکی از بهترین روش ها برای حفظ امنیت است.

 

 

منبع
 https://www.schneier.com/essays/archives/2014/02/choosing_a_secure_pa.htm