برای دههها کارشناسان امنیتی سعی کردن تا مردم را با الزام به ورود کلمات عبور با طول حداقل شش کاراکتر (معمولا هشت کاراکتر)، به علاوه حداقل یک حرف بزرگ، یک عدد، یک کاراکتر خاص (مثل @، #، یا !) به ساخت کلمات عبور قویتر مجبور کنند. این رویکرد امروزه به عنوان یک شکست دیده میشود. بسیاری از مردم به سادگی یک نسخهٔ واضح از کلمه عبور قبلیشان ساختند. شکستن رمز «Letmein1!» برای یک رایانه به سادگی «letmein» است، هرچند که طولانیتر و پیچیدهتر است.
این نشان میدهد عوامل مختلفی در تعیین میزان قدرت یک کلمه عبور دخیل هستند. طول یکی از آنهاست. در این مقاله، چند مفهوم که باید در زمان ساخت کلمه عبور در نظر بگیرید، به همراه چند راهنمایی برای اینکه چقدر باید رمز عبورتان طولانی باشد را توضیح میدهیم.
راههای شکستن یک کلمه عبور
اول، شما باید چیزی راجع به اینکه هکرها چطور رمزها را میدزدند بدانید. آدمهای بد، معمولا با حملهٔ فرهنگ لغت (Dictionary Attack) شروع به تلاش برای شکستن یک کلمه عبور میکنند. یک حملهٔ فرهنگ لغت با یک دیتابیس بزرگ از کلمات، رمزهای واقعی درز کرده در اطلاعات لو رفته قبلی، نامها به همراه ترکیبهای معمولشان (مثل نام + نام خانوادگی + تاریخ) و تعویضها (مثل @ به جای حرف a) کار میکند. برای اینکه یک ایده از نوع دادهای که هکر میتواند از یک درز رمز عبور بگیرد داشته باشید، این مطلب را ببینید.
اگر یک حملهٔ فرهنگ لغت شکست بخورد، هکر از یک حمله Brute-Force استفاده میکند. این نوع از حمله بسیار کندتر است چرا که رایانه به سراغ همهٔ انواع ممکنی که حروف میتوانند کنار هم قرار بگیرند میرود و یک به یک آنها را امتحان میکند. بعضی از رایانهها میتوانند هزاران ملیون رمز در ثانیه را امتحان کنند.
در ذهن داشته باشید، هکرها معمولا تلاش نمیکنند که کلمه عبور شما را در صفحه ورود حساب آنلاین شما حدس بزنند. در مقابل، آنها معمولا برای یک حملهٔ فرهنگ لغت یا brute-force روی یک دیتابیس از کلمات عبور رمزنگاری شده که از سرورهای یک شرکت دزدیدهاند استفاده میکنند. راههای مختلفی وجود دارد که شرکتها کلمات عبور را رمزنگاری میکنند تا پروسهٔ حدس زدن رمز توسط هکر را کند کنند، که میتواند متن کلمه عبور شما را امن نگه دارد. اما بهتر است کلمه عبور خودتان را امن بسازید، به جای آنکه فقط به تلاشهای امنیتی یک وبسایت اعتماد و اعتنا کنید.
چطور از یک حمله Brute-Force جلوگیری کنیم؟
دو راه وجود دارد که میتوان با آنها Brute-Force کردن کلمه عبور را سختتر کرد: کلمه عبور طولانیتر (با استفاده از کاراکترهای بیشتر)، و پیچیدهتر کردن (با استفاده از انواع بیشتری از کاراکترها، مثل اعداد و حروف بزرگ). توجه کنید، در هر حال، طول بسیار موثرتر از پیچیدگی در جلوگیری از حمله Brute-Force است.
هر کاراکتر اضافه در کلمه عبور، میزان زمان مورد نیاز یک سوپرکامپیوتر برای حدس کلمه عبور شما را بسیار زیاد افزایش میدهد. حتی اگر شما فقط از حروف کوچک استفاده کرده باشید. اضافه کردن پیچیدگی نیز کمک میکند، چرا که میزان کاراکترهایی که رایانه باید چک کند را افزایش میدهد، ولی نه خیلی زیاد.
ماشینحسابهای آنلاینی وجود دارند که ادعا میکنند میتوانند به شما بگویند که چقدر طول میکشد که یک رایانه کلمه عبور شما را حدس بزند. اینها دقیق نیستند، چرا که عوامل دخیل بسیاری در این مساله وجود دارند، از جمله قدرت محاسباتی رایانه و نوع رمزنگاری استفاده شده. اما اینها میتوانند به عنوان یک مرجع برای طول کلمه عبور در نظر گرفته شوند. یک کلمه عبور شش حرفی با حروف تصادفی و مخلوط در چند ثانیه شکسته میشود، در حالی که یک کلمه عبور ۱۰ حرفی فقط با حروف کوچک، چندین سال زمان لازم دارد.
چرا یک کلمه عبور طولانی همیشه بهتر نیست؟
حملههای Brute-Force کارا نیستند و میتوانند با یک کلمه عبور طولانی، بسیار زمانبر شوند. به همین خاطر حملات فرهنگ لغت راه کاراتری برای شکستن کلمات عبور هستند. حملات فرهنگ لغت از ضعفهای انسانها مانند حافظه ضعیف و پیشبینی پذیری استفاده میکنند. نیاز به به خاطر سپردن کلمات عبور، ما را به سمت انتخاب کلمات عبور ساده میبرند، که همچنین به سادگی قابل حدس زدن هستند.
با حملات فرهنگ لغت، طول میتواند یک مقیاس گمراهکننده برای قدرت کلمه عبور باشد. برای مثال، «F3rnand3zJ@nu@ry1983» به نظر میآید که میتواند یک کلمه عبور بسیار قوی باشد، چرا که شامل تعداد زیادی عدد، حروف بزرگ و حروف خاص است. اما این کلمه عبور احتمالا میتواند توسط یک حمله فرهنگ لغت به سرعت شکسته شود، چرا که شامل: فقط یک نام خانوادگی، یک ماه، و یک سال است. الگوریتم میتواند به سادگی برای تغییرات قابل پیشبینی حروف و علامتها و حروف کوچک و بزرگ آماده باشد.
کلمه عبور شما باید چقدر طولانی باشد؟
طول کلمه عبور شما بستگی به این دارد که آیا دارید از یک سری حروف تصادفی استفاده میکنید یا از یک یا چند سری از کلمات.
اگر میخواهید که یک کلمه عبور امن با استفاده از یک سری از کلمات (یک «عبارت عبور») بسازید، بیشتر شرکتهای امنیتی استفاده از حداقل چهار کلمه را پیشنهاد میکنند که خیلی پر کاربرد نیستند. با این حال، هرچه مردم بیشتری از عبارات عبور استفاده میکنند، هکرها نیز در شکستن آنها بهتر میشوند.
اگر از یک کلمه عبور با حروف تصادفی استفاده میکنید، حدود ۱۵ حرف باید آن را خارج از دسترس رایانههای امروزی قرار دهد. با این حال، ما استفاده از کلمات عبور با حروف تصادفی را پیشنهاد نمیکنیم، مگر آنکه از یک مدیر رمز عبور استفاده کنید، که میتواند در تولید و ذخیره امن آنها به شما کمک کند. با این روش، شما نیاز ندارید تا آنها را به خاطر بسپارید یا آنها را بنویسید، و همچنین آنها برای هر حساب یکتا خواهند بود.
اگر از یک مدیر رمز عبور استفاده میکنید، ما استفاده از یک عبارت عبور طولانی به عنوان رمز عبور اصلی آن (Master Password) استفاده کنید و برای حسابهای دیگرتان، از کلمات عبور طولانی و یکتای تصادفی برای هر حساب استفاده کنید، و تنظیمات پیشفرض برای طول و پیچیدگی را حفظ کنید (معمولا ۲۰ حرف، با چند عدد و حروف خاص).
این مطلب بخشی از یک سری درباره امنیت کلمه عبور است. منتظر ۱ پست دیگر با موضوعات «چطور یک کلمه عبور امن بسازیم» باشید.
لینک مطلب اصلی: