کلمه عبور در برابر عبارت عبور

بیاید یک بار برای همیشه دعوای بین کلمه عبور و عبارت عبور رو حل کنیم.

چند سال پیش، کاریکاتوریست معروف رندل مونرو که به XKCD هم شناخته میشه، یک کامیک با موضوع مقایسه کلمه عبور (Password) و عبارت عبور (Passphrase) منتشر کرد. این تصویر سعی می‌کنه که به صورت ریاضی و با استفاده از تئوری اطلاعات، نشون بده که کلمه عبور ضعیف‌تر از عبارت عبور هستند، و در عین حال به یاد داشتنشون هم سخت‌تره! به همین خاطر مردم از کلمه‌های عبور ساده‌تر استفاده می‌کنند و اونا رو روی کاغذ می‌نویسن یا چندین بار ازشون استفاده می‌کنن، و به همین خاطر، امنیت کلمه عبور رو ضعیف‌تر هم می‌کنند.

مونرو نتیجه میگیرد که: «بعد از ۲۰ سال تلاش، ما با موفقیت توانستیم به همه آموزش دهیم تا از کلمه عبوری استفاده کنند که به خاطر سپاریش برای انسان‌ها سخت، و حدس زدنش برای رایانه‌ها ساده است.»

بسیاری از مردم فکر می‌کنند یک کلمه عبور برای این ساخته شده تا آن‌ها را از کسی محافظت کند، که مستقیما آن‌ها را هدف قرار داده است. اما این معمولا روشی نیست که مردم هَک می‌شوند.

وقتی که شما یک حساب آنلاین درست می‌کنید، شرکت کلمه عبور شما را به صورت رمز شده در سرورهایش ذخیره می‌کند. اگر یک هکر دستش به دیتابیس کلمات‌عبور برسد، از آن به بعد دیگر مشکلش اجرای یک برنامهٔ حدس کلمه عبور روی لیست کلمات‌عبور است و دیدن رمزهایی که مچ می‌شوند. کامپیوترهایی هستند که می‌توانند صدها ملیون رمزعبور را در ثانیه حدس بزنند، بنابراین، شرکت‌ها معمولا از روش‌های رمزکردنی استفاده می‌کنند تا این پروسهٔ حدس زدن را کند کنند.

عبارت عبور چیست؟

با وجودی که همه می‌دانند کلمه عبور چیست، افراد کمتری راجع به عبارات عبور می‌دانند. یک عبارت نوعی کلمه عبور است که از یک دنباله از کلمات استفاده می‌کند که ممکن است با فاصله از هم جدا شده باشند یا نه (واقعا اهمیتی ندارد). «correcthorsebatterystaple» در کامیک یک عبارت عبور است. با وجودی که عبارات عبور معمولا حروف بیشتری از کلمات‌عبور دارند، عبارات عبور معمولا «اجزا» کمتری دارند (۴ کلمه به جای مثلا ۱۲ کاراکتر تصادفی). این باعث ساده‌تر شدن به خاطر سپاری آنها می‌شود، معمولا با استفاده از شگردهای به خاطر سپاری.

یک عبارت عبور امن‌تر است… گاهی اوقات

بعد از اینکه کامیک XKCD بیرون اومد، موجی از بحث آنلاین راجع به اینکه آیا این توصیه درست است یا نه شکل گرفت. بسیاری از بحث‌ها راجع به میزان آنتروپی که هر مثال داشت شکل گرفت. آنتروپی یک مفهوم در تئوری اطلاعات است که اساسا به میزان تصادفی بودنی که یک کلمه‌عبور دارد مرتبط است. عموما، هرچه میزان تصادفی بودن یک کلمه عبور بیشتر باشد، شکستن کلمه عبور سخت‌تر است. به همین دلیل کلمات عبور طولانی‌تر محبوب‌تر هستند، چرا که احتمالا «تصادفی بودن» بیشتری در خود دارند.

XKCD فرض کرده که حمله کننده می‌داند که کاربر عبارت عبور را با استفاده از چهار کلمهٔ پرکاربرد (از بین ۲۰۴۸ پر کاربردترین کلمات در این مورد) فرهنگ لغت به صورت تصادفی ساخته است. حتی با این وجود، عبارت عبور از آنتروپی بیشتری از کلمه عبور برخوردار است. فقط ۹۴ حالت مختلف برای هر کاراکتر در کلمه عبور وجود دارد، و این به معنای اطمینان کمتر است. بنابراین، از نظر ریاضی، یک عبارت عبور می‌تواند امن‌تر باشد.

اما نه همیشه، با طولانی کردن کلمه عبور، یا اضافه کردن کلمات به عبارت، می‌توانید آنتروپی را اضافه کنید. برای مثال، یک کلمه عبور ۲۰ حرفی، شامل حروف بزرگ و کوچک به صورت تصادفی خیلی امن‌تر از یک عبارت عبور ۴ کلمه‌ای با کلمات پر کاربرد است. چنین کلمه عبوری نمی‌تواند مورد حملهٔ فرهنگ لغت (Dictionary Attack) قرار بگیرد، بنابراین، باید Brute-Force شود، که برای رایانه‌های مدرن، ملیون‌ها سال طول می‌کشد تا این کار را انجام دهند.

قانون کاربرد AviD

اما استدلال XKCD فقط درباره ریاضیات نیست. راجع به نحوه ساخت امن‌ترین سیستم ممکن با علم به ضعف‌های انسان است.

دهه‌ها، توصیه کارشناسان امنیتی این بود که کلمات عبور خود را مداما تغییر دهیم و از اعداد، حروف بزرگ و حروف خاص نیز استفاده کنیم. اما ما انسان‌ها در ساخت تصادفی بودن خیلی بد هستیم، و در به خاطر سپردن چیزها نیز بد هستیم. بنابراین، ناچارا مردم از کلمات ساده، اسم‌ها، تاریخ‌های تولد، سخنان معروف، تعویض حروف با کاراکترهای مشابه در کلمات استفاده کردند. هکرها می‌توانند این نوع کلمات عبور را در چند ثانیه بشکنند.

در یک تلاش برای امن کردن سیستم‌ها، شیوع این توصیه در واقعیت سیستم‌ها را غیرامن‌تر کرد. یا همانطور که کاربر AviD، در سایت Stack Exchange به خوبی گفته است: «امنیت در ازای کارایی، به ضرر امنیت است». به عبارت دیگر، اگر استفاده از «سیستم امن» شما ساده نیست، مردم از آن استفاده نخواهند کرد، و فواید امنیتی آن را نادیده می‌گیرند. (این در واقع قاعده کلی‌ای بود که باعث ایجاد پروتن‌میل شد)

توصیه ما درباره دعوای کلمه عبور و عبارت عبور

هر دوی کلمات عبور و عبارات عبور می‌توانند امن باشند، و اگر شما از یک مدیر رمزعبور استفاده می‌کنید، تفاوت‌های امنیتی و کارایی عبارات و کلمات عبور برایتان خیلی زیاد نیست. با این حال، اگر می‌خواهید در یک جا یک یک کلمه عبور استفاده کنید که باید آن را به خاطر بسپارید، به خاطر دلایل کاربردی، ما استفاده از عبارت عبور را پیشنهاد می‌کنیم.

وقتی شما از عبارات عبور استفاده می‌کنید، در ذهن داشته باشید که:

  • چهار کلمه کافیست. پنج کلمه بهترست.
  • از بین کلمات بسیار پرکاربرد، و از گفتارهای معروف استفاده نکنید. کلمات باید تا جای ممکن تصادفی باشند.
  • از یک عبارت عبور منحصر به فرد برای هر حساب کاربری استفاده کنید. با این کار، اگر یکی از عبارات عبور شما درز پیدا کند، بقیه حساب‌های کاربریتان امن خواهند ماند.

این مطلب بخشی از یک سری درباره امنیت کلمه عبور است. منتظر ۲ پست دیگر با موضوعات «چطور یک کلمه عبور امن بسازیم» و «کلمه عبورتان چقدر باید طولانی باشد» باشید.

لینک مطلب اصلی:

Let’s settle the password vs. passphrase debate once and for all

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *