پل هاسکل-داولند, نویسنده ارائه

هزاران سال است که از رمزهای عبور به عنوان ابزاری برای شناسایی خود به دیگران و در چند وقت اخیر ، به رایانه استفاده می شود. این یک مفهوم ساده است - اطلاعات مشترکی است که بین افراد مخفی نگه داشته می شود و برای "اثبات" هویت استفاده می شود.

رمزهای عبور در زمینه فناوری اطلاعات در دهه 1960 ظهور کرد با رایانه رایانه ها - رایانه های بزرگ با مرکزیت با "ترمینال" از راه دور برای دسترسی کاربر. آنها اکنون برای همه چیز از پین وارد شده توسط خودپرداز ، تا ورود به سیستم رایانه ها و وب سایت های مختلف استفاده می شوند.

اما چرا ما باید هویت خود را به سیستم هایی که به آنها دسترسی داریم "اثبات" کنیم؟ و چرا درست کردن رمزهای عبور بسیار سخت است؟

چه چیزی رمز ورود خوبی ایجاد می کند؟

تا حدوداً اخیراً ، یک گذرواژه خوب ممکن است یک کلمه یا عبارت از شش تا هشت کاراکتر باشد. اما اکنون دستورالعمل های حداقل طول را داریم. این به دلیل "آنتروپی" است.

هنگام صحبت در مورد رمزهای عبور ، آنتروپی عبارت است از اندازه گیری قابل پیش بینی بودن. ریاضیات مربوط به این مسئله پیچیده نیست ، اما بیایید با یک سنجش ساده تر آن را بررسی کنیم: تعداد رمزهای عبور ممکن ، که بعضاً به آنها "فضای رمز" گفته می شود.

اگر یک رمز عبور با یک کاراکتر فقط شامل یک حرف کوچک باشد ، فقط 26 رمز عبور ممکن است ("a" تا "z"). با درج حروف بزرگ ، ما فضای گذرواژه خود را به 52 گذرواژه بالقوه افزایش می دهیم.

با افزایش طول و افزودن سایر نویسه ها ، فضای رمز عبور همچنان در حال گسترش است.

طولانی تر یا پیچیده تر ساختن رمز عبور ، فضای "فضای گذرواژه" را بسیار افزایش می دهد. فضای رمز عبور بیشتر به معنای رمز عبور امن تر است.

با نگاهی به شکلهای بالا ، درک اینکه چرا ما به استفاده از رمزهای عبور طولانی با حروف بزرگ ، کوچک ، اعداد و علائم ترغیب شده ایم ، آسان است. هرچه رمز عبور پیچیده تر باشد ، برای حدس زدن آن تلاش بیشتری لازم است.

با این حال ، مشکل بسته به پیچیدگی رمز عبور این است که کامپیوترها در تکرار وظایف - از جمله حدس زدن رمزهای عبور - بسیار کارآمد هستند.

سال گذشته ، الف رکورد ثبت شد برای رایانه ای که سعی در تولید هر گذرواژه قابل تصور دارد. به سرعت سریعتر از 100,000,000,000 حدس زدن در ثانیه دست یافت.

با استفاده از این قدرت محاسباتی ، مجرمان اینترنتی می توانند با بمباران سیستم های خود با بیشترین ترکیب کلمه عبور ، در روندی به نام سیستم ها را هک کنند. حملات وحشیانه.

و با فناوری مبتنی بر ابر ، حدس زدن رمز عبور هشت کاراکتر را می توان در کمتر از 12 دقیقه بدست آورد و هزینه آن نیز 25 دلار است.

همچنین ، از آنجا که رمزهای عبور تقریباً همیشه برای دسترسی به داده های حساس یا سیستم های مهم مورد استفاده قرار می گیرند ، این امر مجرمان اینترنتی را بر آن می دارد تا به طور فعال آنها را جستجو کنند. همچنین این یک بازار سودآور آنلاین برای فروش رمزهای عبور است که برخی از آنها همراه با آدرس ایمیل و / یا نام کاربری هستند.

شما می توانید تقریباً 600 میلیون گذرواژه را فقط با 14 دلار استرالیا بصورت آنلاین خریداری کنید!

رمزهای عبور چگونه در وب سایت ها ذخیره می شوند؟

رمزهای عبور وب سایت معمولاً با استفاده از الگوریتمی ریاضی به نام محافظت شده ذخیره می شوند حس کردن. رمز عبور هش شده قابل شناسایی نیست و نمی تواند دوباره به رمز عبور تبدیل شود (یک روند غیر قابل برگشت).

هنگامی که می خواهید وارد سیستم شوید ، رمز عبوری که وارد می کنید با همان روند هش می شود و با نسخه ذخیره شده در سایت مقایسه می شود. این فرآیند با هر بار ورود به سیستم تکرار می شود.

به عنوان مثال ، هنگام استفاده از الگوریتم هش SHA0 به رمز ورود "Pa $$ w02726rd" مقدار "40d378f716981e4321c60d3ba325a6ed4a1c" داده می شود. امتحان کنید خودت.

هنگامی که با پرونده ای پر از رمزهای عبور هش شده مواجه می شوید ، می توان از حمله بی رحمانه استفاده کرد و هر ترکیبی از کاراکترها را برای طیف وسیعی از طول رمز عبور امتحان کرد. این امر به چنان روال متداول تبدیل شده است که وب سایت هایی وجود دارند که گذرواژه های رایج را در کنار مقدار هش شده (محاسبه شده) خود لیست می کنند. می توانید به راحتی هش را جستجو کنید تا رمز عبور مربوطه را فاش کنید.

سرقت و فروش لیست گذرواژه ها اکنون بسیار رایج است ، الف وب سایت اختصاصی - haveibeenpwned.com - برای کمک به کاربران در بررسی اینکه آیا حساب های آنها "در طبیعت" است ، در دسترس است. این افزایش یافته است و شامل بیش از 10 میلیارد جزئیات حساب است.

اگر آدرس ایمیل شما در این سایت ذکر شده باشد ، باید گذرواژه شناسایی شده و همچنین سایتهای دیگری را که از همان اعتبارنامه استفاده می کنید تغییر دهید.

آیا پیچیدگی بیشتر راه حل است؟

شما فکر می کنید با این همه نقض رمز عبور روزانه ، ما شیوه های انتخاب رمز عبور خود را بهبود می بخشیم. متاسفانه سالانه سال گذشته بررسی رمز عبور SplashData در طی پنج سال تغییر کمی نشان داده است.

بررسی سالانه رمز عبور SplashData 2019 رایج ترین رمزهای عبور از 2015 تا 2019 را نشان داد.

با افزایش قابلیت های محاسباتی ، به نظر می رسد راه حل افزایش پیچیدگی باشد. اما به عنوان انسان ، ما در یادآوری رمزهای عبور بسیار پیچیده مهارت نداریم (و انگیزه ای هم برای آنها نداریم).

ما همچنین از نقطه ای عبور کرده ایم که فقط از دو یا سه سیستم نیاز به رمز عبور استفاده می کنیم. اکنون دسترسی به سایت های متعدد معمول است که هرکدام از آنها به رمز عبور احتیاج دارند (غالباً با طول و پیچیدگی های مختلف). بررسی اخیر نشان می دهد که به طور متوسط 70-80 رمز عبور برای هر نفر.

خبر خوب این است که ابزارهایی برای پرداختن به این مسائل وجود دارد. اکنون اکثر رایانه ها از ذخیره رمز عبور یا در سیستم عامل یا مرورگر وب پشتیبانی می کنند ، معمولاً این گزینه برای به اشتراک گذاشتن اطلاعات ذخیره شده در چندین دستگاه وجود دارد.

به عنوان مثال می توان به نمونه های اپل اشاره کرد iCloud Keychain و قابلیت ذخیره رمزهای عبور در Internet Explorer ، Chrome و Firefox (هر چند کمتر قابل اعتماد).

مدیران رمز عبور مانند KeePassXC می تواند به کاربران در تولید رمزهای عبور پیچیده و طولانی کمک کرده و آنها را در مکانی امن برای مکان های مورد نیاز ذخیره کند.

اگرچه این مکان هنوز هم باید محافظت شود (معمولاً با "رمزعبور اصلی" طولانی) ، با استفاده از یک مدیر رمز عبور به شما امکان می دهد برای هر وب سایتی که بازدید می کنید یک رمز عبور منحصر به فرد و پیچیده داشته باشید.

این از سرقت رمز عبور از یک وب سایت آسیب پذیر جلوگیری نمی کند. اما اگر آن را به سرقت ببرید ، دیگر نگران تغییر رمز عبور مشابه در سایر سایت های خود نخواهید بود.

البته در این راه حل ها آسیب پذیری هایی نیز وجود دارد ، اما شاید این یک داستان برای یک روز دیگر باشد.

درباره نویسنده

Paul Haskell-Dowland ، دانشیار (محاسبات و امنیت) ، ادیت کوان دانشگاه و برایانا اوشیا ، مدرس ، هک اخلاقی و دفاع ، ادیت کوان دانشگاه

این مقاله از مجله منتشر شده است گفتگو تحت مجوز Creative Commons دفعات بازدید: مقاله.