بنابراین فکر می‌کنید رمزهای عبور اینترنتی شما امن هستند؟

: By پاول هسکل-داولند و بریانا اوشی

پاول هاسکل-داولند, نویسنده ارائه

رمزهای عبور هزاران سال است که به عنوان وسیله‌ای برای شناسایی خود به دیگران و در دوران اخیر، به رایانه‌ها استفاده می‌شوند. این یک مفهوم ساده است - یک قطعه اطلاعات مشترک که بین افراد مخفی نگه داشته می‌شود و برای «اثبات» هویت استفاده می‌شود.

رمزهای عبور در زمینه فناوری اطلاعات در دهه 1960 ظهور کرد با رایانه رایانه‌ها - رایانه‌های بزرگ مرکزی با «پایانه‌های» از راه دور برای دسترسی کاربر. اکنون آنها برای همه چیز از پینی که در دستگاه خودپرداز وارد می‌کنیم گرفته تا ورود به رایانه‌ها و وب‌سایت‌های مختلف استفاده می‌شوند.

اما چرا باید هویت خود را به سیستم‌هایی که به آنها دسترسی داریم «اثبات» کنیم؟ و چرا درست حدس زدن رمزهای عبور اینقدر سخت است؟

چه چیزی یک رمز عبور خوب را می‌سازد؟

تا همین اواخر، یک رمز عبور خوب ممکن بود کلمه یا عبارتی با حداقل شش تا هشت کاراکتر باشد. اما اکنون ما دستورالعمل‌هایی برای حداقل طول رمز عبور داریم. این به دلیل «آنتروپی» است.

وقتی در مورد رمزهای عبور صحبت می‌کنیم، آنتروپی ... معیار پیش‌بینی‌پذیریمحاسبات ریاضی پشت این موضوع پیچیده نیست، اما بیایید آن را با یک معیار ساده‌تر بررسی کنیم: تعداد رمزهای عبور ممکن، که گاهی اوقات به عنوان «فضای رمز عبور» شناخته می‌شود.

اگر یک رمز عبور تک کاراکتری فقط شامل یک حرف کوچک باشد، فقط ۲۶ رمز عبور ممکن وجود دارد ("a" تا "z"). با اضافه کردن حروف بزرگ، فضای رمز عبور خود را به ۵۲ رمز عبور بالقوه افزایش می‌دهیم.

با افزایش طول رمز عبور و اضافه شدن انواع کاراکترهای دیگر، فضای آن همچنان در حال گسترش است.

طولانی‌تر یا پیچیده‌تر کردن رمز عبور، «فضای خالی برای رمز عبور» بالقوه را به میزان زیادی افزایش می‌دهد. فضای بیشتر برای رمز عبور به معنای رمز عبور ایمن‌تر است.

طولانی‌تر یا پیچیده‌تر کردن رمز عبور، «فضای رمز عبور» بالقوه را به میزان زیادی افزایش می‌دهد. (بنابراین فکر می‌کنید رمزهای عبور اینترنتی شما امن هستند)

با نگاهی به شکل‌های بالا، به راحتی می‌توان فهمید که چرا ما را به استفاده از رمزهای عبور طولانی با حروف بزرگ و کوچک، اعداد و نمادها تشویق می‌کنند. هرچه رمز عبور پیچیده‌تر باشد، برای حدس زدن آن به تلاش بیشتری نیاز است.

با این حال، مشکل وابستگی به پیچیدگی رمز عبور این است که کامپیوترها در انجام وظایف تکراری - از جمله حدس زدن رمزهای عبور - بسیار کارآمد هستند.

سال گذشته ، الف رکورد ثبت شد برای کامپیوتری که سعی در تولید هر رمز عبور قابل تصوری دارد. این روش به سرعتی بالاتر از ۱۰۰،۰۰۰،۰۰۰،۰۰۰ حدس در ثانیه دست یافت.

با بهره‌گیری از این قدرت محاسباتی، مجرمان سایبری می‌توانند با بمباران سیستم‌ها با بیشترین تعداد ترکیب رمز عبور ممکن، در فرآیندی به نام ...، به سیستم‌ها نفوذ کنند. حملات وحشیانه.

و با فناوری مبتنی بر ابر، حدس زدن یک رمز عبور هشت کاراکتری می‌تواند در کمتر از ۱۲ دقیقه و با هزینه‌ای معادل ۲۵ دلار آمریکا انجام شود.

من کمی ریاضی حل کردم.
با استفاده از نمونه‌های AWS صفحه ۳ برای محاسبه هزینه، و با فرض اینکه مهاجم ۲۵ دلار دارد:

رمز عبور ۸ کاراکتری شما احتمالاً در ۱۲ دقیقه یا کمتر کرک خواهد شد.
— TechByTom (@techbytom) 14 فوریه، 2019

همچنین، از آنجا که رمزهای عبور تقریباً همیشه برای دسترسی به داده‌های حساس یا سیستم‌های مهم استفاده می‌شوند، این امر مجرمان سایبری را ترغیب می‌کند تا به طور فعال به دنبال آنها باشند. همچنین این امر یک بازار آنلاین پرسود برای فروش رمزهای عبور ایجاد می‌کند که برخی از آنها با آدرس‌های ایمیل و/یا نام‌های کاربری همراه هستند.

شما می‌توانید تقریباً ۶۰۰ میلیون رمز عبور را فقط با ۱۴ دلار استرالیا به صورت آنلاین خریداری کنید!

رمزهای عبور در وب‌سایت‌ها چگونه ذخیره می‌شوند؟

رمزهای عبور وب‌سایت‌ها معمولاً با استفاده از یک الگوریتم ریاضی به نام ... به صورت محافظت‌شده ذخیره می‌شوند. حس کردنرمز عبور هش شده غیرقابل تشخیص است و نمی‌توان آن را به رمز عبور قبلی تبدیل کرد (یک فرآیند برگشت‌ناپذیر).

وقتی سعی می‌کنید وارد سیستم شوید، رمز عبوری که وارد می‌کنید با استفاده از همان فرآیند هش می‌شود و با نسخه ذخیره شده در سایت مقایسه می‌شود. این فرآیند هر بار که وارد سیستم می‌شوید تکرار می‌شود.

برای مثال، رمز عبور «Pa$$w0rd» هنگام محاسبه با استفاده از الگوریتم هشینگ SHA1، مقدار «02726d40f378e716981c4321d60ba3a325ed6a4c» را دریافت می‌کند. آن را امتحان کنید خودت.

وقتی با فایلی پر از رمزهای عبور هش شده مواجه می‌شوید، می‌توانید از یک حمله جستجوی فراگیر (brute force attack) استفاده کنید و هر ترکیبی از کاراکترها را برای طیف وسیعی از طول رمزهای عبور امتحان کنید. این کار به قدری رایج شده است که وب‌سایت‌هایی وجود دارند که رمزهای عبور رایج را در کنار مقدار هش شده (محاسبه شده) آنها فهرست می‌کنند. می‌توانید به سادگی هش را جستجو کنید تا رمز عبور مربوطه را پیدا کنید.

سرقت و فروش فهرست‌های رمز عبور اکنون بسیار رایج شده است، وب سایت اختصاصی - haveibeenpwned.com — برای کمک به کاربران در بررسی اینکه آیا حساب‌هایشان «در دسترس» است یا خیر، در دسترس است. این سرویس شامل بیش از ۱۰ میلیارد جزئیات حساب می‌شود.

اگر آدرس ایمیل شما در این سایت ذکر شده است، قطعاً باید رمز عبور شناسایی شده را تغییر دهید، و همچنین در هر سایت دیگری که از همان اعتبارنامه استفاده می‌کنید.

آیا پیچیدگی بیشتر، راه حل است؟

شاید فکر کنید با این همه رخنه امنیتی که روزانه در رمز عبور رخ می‌دهد، ما شیوه‌های انتخاب رمز عبور خود را بهبود بخشیده‌ایم. متأسفانه، گزارش سالانه سال گذشته نظرسنجی رمز عبور SplashData در طول پنج سال تغییر کمی نشان داده است.

بررسی سالانه رمز عبور SplashData در سال ۲۰۱۹، رایج‌ترین رمزهای عبور از سال ۲۰۱۵ تا ۲۰۱۹ را نشان داد.

با افزایش قابلیت‌های محاسباتی، به نظر می‌رسد راه‌حل، افزایش پیچیدگی باشد. اما ما به عنوان انسان، در به خاطر سپردن رمزهای عبور بسیار پیچیده مهارت (یا انگیزه) نداریم.

ما همچنین از نقطه‌ای عبور کرده‌ایم که فقط از دو یا سه سیستم که به رمز عبور نیاز دارند استفاده می‌کنیم. اکنون دسترسی به سایت‌های متعدد که هر کدام به رمز عبور نیاز دارند (اغلب با طول و پیچیدگی متفاوت) امری عادی است. یک بررسی اخیر نشان می‌دهد که به طور متوسط، ۷۰-۸۰ رمز عبور برای هر نفر.

خبر خوب این است که ابزارهایی برای رسیدگی به این مشکلات وجود دارد. اکثر رایانه‌ها اکنون از ذخیره‌سازی رمز عبور در سیستم عامل یا مرورگر وب پشتیبانی می‌کنند، معمولاً با این گزینه که اطلاعات ذخیره شده را بین چندین دستگاه به اشتراک بگذارند.

به عنوان مثال می‌توان به محصولات اپل اشاره کرد. iCloud Keychain و قابلیت ذخیره رمزهای عبور در اینترنت اکسپلورر، کروم و فایرفاکس (اگرچه کمتر قابل اعتماد).

مدیران رمز عبور مانند KeePassXC می‌تواند به کاربران کمک کند تا رمزهای عبور طولانی و پیچیده تولید کنند و آنها را در مکانی امن برای مواقع ضروری ذخیره کنند.

اگرچه این مکان هنوز نیاز به محافظت دارد (معمولاً با یک «رمز عبور اصلی» طولانی)، استفاده از یک مدیر رمز عبور به شما امکان می‌دهد برای هر وب‌سایتی که بازدید می‌کنید، یک رمز عبور منحصر به فرد و پیچیده داشته باشید.

این کار مانع از سرقت رمز عبور از یک وب‌سایت آسیب‌پذیر نمی‌شود. اما اگر به سرقت برود، دیگر لازم نیست نگران تغییر همان رمز عبور در تمام سایت‌های دیگر خود باشید.

البته در این راه‌حل‌ها نیز آسیب‌پذیری‌هایی وجود دارد، اما شاید این داستان برای روز دیگری باشد.

درباره نویسنده

پاول هاسکل-داولند، معاون رئیس (محاسبات و امنیت)، ادیت کوان دانشگاه و بریانا اوشی، مدرس هک و دفاع اخلاقی، ادیت کوان دانشگاه

این مقاله از مجله منتشر شده است گفتگو تحت مجوز Creative Commons دفعات بازدید: مقاله.

شکستن

ممنون از بازدید شما InnerSelf.com، جایی که وجود دارد 20,000 + مقالات تغییر دهنده زندگی که «نگرش‌های جدید و امکانات جدید» را ترویج می‌دهند. همه مقالات به ... ترجمه شده‌اند. بیش از 30 زبان. اشتراک به مجله InnerSelf که به صورت هفتگی منتشر می‌شود، و الهام روزانه ماری تی راسل. مجله InnerSelf از سال ۱۹۸۵ منتشر شده است.