کلمه عبورتان چقدر باید طولانی باشد؟

برای دهه‌ها کارشناسان امنیتی سعی کردن تا مردم را با الزام به ورود کلمات عبور با طول حداقل شش کاراکتر (معمولا هشت کاراکتر)، به علاوه حداقل یک حرف بزرگ، یک عدد، یک کاراکتر خاص (مثل @، #، یا !) به ساخت کلمات عبور قوی‌تر مجبور کنند. این رویکرد امروزه به عنوان یک شکست دیده می‌شود. بسیاری از مردم به سادگی یک نسخهٔ واضح از کلمه عبور قبلیشان ساختند. شکستن رمز «Letmein1!» برای یک رایانه به سادگی «letmein» است، هرچند که طولانی‌تر و پیچیده‌تر است.

این نشان می‌دهد عوامل مختلفی در تعیین میزان قدرت یک کلمه عبور دخیل هستند. طول یکی از آنهاست. در این مقاله، چند مفهوم که باید در زمان ساخت کلمه عبور در نظر بگیرید، به همراه چند راهنمایی برای اینکه چقدر باید رمز عبورتان طولانی باشد را توضیح می‌دهیم.

راه‌های شکستن یک کلمه عبور

اول، شما باید چیزی راجع به اینکه هکرها چطور رمزها را میدزدند بدانید. آدم‌های بد، معمولا با حملهٔ فرهنگ لغت (Dictionary Attack) شروع به تلاش برای شکستن یک کلمه عبور می‌کنند. یک حملهٔ فرهنگ لغت با یک دیتابیس بزرگ از کلمات، رمزهای واقعی درز کرده در اطلاعات لو رفته قبلی، نام‌ها به همراه ترکیب‌های معمولشان (مثل نام + نام خانوادگی + تاریخ) و تعویض‌ها (مثل @ به جای حرف a) کار می‌کند. برای اینکه یک ایده از نوع داده‌ای که هکر می‌تواند از یک درز رمز عبور بگیرد داشته باشید، این مطلب را ببینید.

اگر یک حملهٔ فرهنگ لغت شکست بخورد، هکر از یک حمله Brute-Force استفاده می‌کند. این نوع از حمله بسیار کندتر است چرا که رایانه به سراغ همهٔ انواع ممکنی که حروف می‌توانند کنار هم قرار بگیرند می‌رود و یک به یک آنها را امتحان می‌کند. بعضی از رایانه‌ها می‌توانند هزاران ملیون رمز در ثانیه را امتحان کنند.

در ذهن داشته باشید، هکرها معمولا تلاش نمی‌کنند که کلمه عبور شما را در صفحه ورود حساب آنلاین شما حدس بزنند. در مقابل، آنها معمولا برای یک حملهٔ فرهنگ لغت یا brute-force روی یک دیتابیس از کلمات عبور رمزنگاری شده که از سرورهای یک شرکت دزدیده‌اند استفاده می‌کنند. راه‌های مختلفی وجود دارد که شرکت‌ها کلمات عبور را رمزنگاری می‌کنند تا پروسهٔ حدس زدن رمز توسط هکر را کند کنند، که می‌تواند متن کلمه عبور شما را امن نگه دارد. اما بهتر است کلمه عبور خودتان را امن بسازید، به جای آنکه فقط به تلاش‌های امنیتی یک وبسایت اعتماد و اعتنا کنید.

چطور از یک حمله Brute-Force جلوگیری کنیم؟

دو راه وجود دارد که می‌توان با آنها Brute-Force کردن کلمه عبور را سخت‌تر کرد: کلمه عبور طولانی‌تر (با استفاده از کاراکترهای بیشتر)، و پیچیده‌تر کردن (با استفاده از انواع بیشتری از کاراکترها، مثل اعداد و حروف بزرگ). توجه کنید، در هر حال، طول بسیار موثرتر از پیچیدگی در جلوگیری از حمله Brute-Force است.

هر کاراکتر اضافه در کلمه عبور، میزان زمان مورد نیاز یک سوپرکامپیوتر برای حدس کلمه عبور شما را بسیار زیاد افزایش می‌دهد. حتی اگر شما فقط از حروف کوچک استفاده کرده باشید. اضافه کردن پیچیدگی نیز کمک می‌کند، چرا که میزان کاراکترهایی که رایانه باید چک کند را افزایش می‌دهد، ولی نه خیلی زیاد.

ماشین‌حساب‌های آنلاینی وجود دارند که ادعا می‌کنند می‌توانند به شما بگویند که چقدر طول می‌کشد که یک رایانه کلمه عبور شما را حدس بزند. این‌ها دقیق نیستند، چرا که عوامل دخیل بسیاری در این مساله وجود دارند، از جمله قدرت محاسباتی رایانه و نوع رمزنگاری استفاده شده. اما این‌ها می‌توانند به عنوان یک مرجع برای طول کلمه عبور در نظر گرفته شوند. یک کلمه عبور شش حرفی با حروف تصادفی و مخلوط در چند ثانیه شکسته می‌شود، در حالی که یک کلمه عبور ۱۰ حرفی فقط با حروف کوچک، چندین سال زمان لازم دارد.

چرا یک کلمه عبور طولانی همیشه بهتر نیست؟

حمله‌های Brute-Force کارا نیستند و می‌توانند با یک کلمه عبور طولانی، بسیار زمانبر شوند. به همین خاطر حملات فرهنگ لغت راه کاراتری برای شکستن کلمات عبور هستند. حملات فرهنگ لغت از ضعف‌های انسان‌ها مانند حافظه ضعیف و پیش‌بینی پذیری استفاده می‌کنند. نیاز به به خاطر سپردن کلمات عبور، ما را به سمت انتخاب کلمات عبور ساده می‌برند، که همچنین به سادگی قابل حدس زدن هستند.

با حملات فرهنگ لغت، طول می‌تواند یک مقیاس گمراه‌کننده برای قدرت کلمه عبور باشد. برای مثال، «F3rnand3zJ@nu@ry1983» به نظر می‌آید که می‌تواند یک کلمه عبور بسیار قوی باشد، چرا که شامل تعداد زیادی عدد، حروف بزرگ و حروف خاص است. اما این کلمه عبور احتمالا می‌تواند توسط یک حمله فرهنگ لغت به سرعت شکسته شود، چرا که شامل: فقط یک نام خانوادگی، یک ماه، و یک سال است. الگوریتم می‌تواند به سادگی برای تغییرات قابل پیش‌بینی حروف و علامت‌ها و حروف کوچک و بزرگ آماده باشد.

کلمه عبور شما باید چقدر طولانی باشد؟

طول کلمه عبور شما بستگی به این دارد که آیا دارید از یک سری حروف تصادفی استفاده می‌کنید یا از یک یا چند سری از کلمات.

اگر می‌خواهید که یک کلمه عبور امن با استفاده از یک سری از کلمات (یک «عبارت عبور») بسازید، بیشتر شرکت‌های امنیتی استفاده از حداقل چهار کلمه را پیشنهاد می‌کنند که خیلی پر کاربرد نیستند. با این حال، هرچه مردم بیشتری از عبارات عبور استفاده می‌کنند، هکرها نیز در شکستن آنها بهتر می‌شوند.

اگر از یک کلمه عبور با حروف تصادفی استفاده می‌کنید، حدود ۱۵ حرف باید آن را خارج از دسترس رایانه‌های امروزی قرار دهد. با این حال، ما استفاده از کلمات عبور با حروف تصادفی را پیشنهاد نمی‌کنیم، مگر آنکه از یک مدیر رمز عبور استفاده کنید، که می‌تواند در تولید و ذخیره امن آن‌ها به شما کمک کند. با این روش، شما نیاز ندارید تا آنها را به خاطر بسپارید یا آنها را بنویسید، و همچنین آنها برای هر حساب یکتا خواهند بود.

اگر از یک مدیر رمز عبور استفاده می‌کنید، ما استفاده از یک عبارت عبور طولانی به عنوان رمز عبور اصلی آن (Master Password) استفاده کنید و برای حساب‌های دیگرتان، از کلمات عبور طولانی و یکتای تصادفی برای هر حساب استفاده کنید، و تنظیمات پیش‌فرض برای طول و پیچیدگی را حفظ کنید (معمولا ۲۰ حرف، با چند عدد و حروف خاص).

این مطلب بخشی از یک سری درباره امنیت کلمه عبور است. منتظر ۱ پست دیگر با موضوعات «چطور یک کلمه عبور امن بسازیم» باشید.

لینک مطلب اصلی:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *