سیستمها مثل خانههایمان هستند
در دوران جاهلیتم، یکبار یکی از اساتید فناوری اطلاعات (دکتر عیسیزاده) حرف جالبی در مورد امنیت اینترنت و کامپیوتر زد که بیشتر اوقات به یادش می افتم (اصولا خیلی کم پیش میاد که نکته مهمی در دانشگاهها گفته بشه!). ایشون گفتن: تصور کنید فضای اینترنت، فضای یک شهری هست و کامپیوترها، خونههای شما هستند، با این وجود که این خونهها فعلا در و پنجره و قفل مناسبی ندارند و جمعیت دزدهای شهر در حال افزایشه، خب بعنوان یک شهروند عادی چه کاری برای حفظ امنیت خانه انجام میدهید؟!...
(دکتر عیسی زاده هرکجا هستند، سلامت باشند، چقدر مرد نازنینی بود- یکبار سرکلاسش سرتق بازی درآوردم، چیزی نگفت بهم. اگر من بودم، دانشجویی مثل خودم از در نه، از پنجره مینداختم بیرون.)
داستان ساده هک پسوردها و رمزهای عبوری
در بیشتر مواقع، هکرها در عرض چند ساعت یا چند روز موفق به کشف رمزهای عبوری کاربران میشوند، رمزهای عبوری که بسیار ساده هستند! اگر هم پسورد، کمی چالشی تر انتخاب شود، ممکن است هکرها روزها یا حتی هفته ها تلاش کنند تا کلمات عبور واقعی را بدست آورند.
این پسوردها کشف میشوند، چون اکثرشان از یک الگوی تکراری پیروی میکنند. رمزهایی که به طور تصادفی انتخاب نمیشوند. مردم معمولا پسوردی را انتخاب میکنند که سریع بخاطر بیاورند. مانند: سال تولد، نام پدر یا مادر، همسر یا از یک رشته کارکترهای تکراری استفاده میکنند، مثل zxcvbnm.
این الگوهای تکراری پسورد امن نیستند و برای امنیت کاربران و فضای مجازی، یک مشکل جدی هست. چون این نوع رمزهای عبور، در برابر حملات سایبری از نوع حملات dictionary attacks (حملات لغتنامهای یا حملات دیکشنری یا حملات لیست ورد) بسیار آسیبپذیر هستند.
در حملات دیکشنری، لیست کلمه عبورهای متداول - با توجه به میزان و تکرار استفاده از آنها - جمع آوری و طبقه بندی می شوند. مهاجمان با استفاده از این لیستهای کلمات عبوری، پسورد کاربران را کرک میکنند. این روش در اکثر مواقع جوابگو هست. چون همانطور که اشاره کردم، مردم، اکثرا کلمات ساده و سرراست، نام خانوادگی، نام های اول و جملات کوتاه را انتخاب می کنند.
در زیر ۲۵ پسورد تکراری و رایج که اکثر مردم استفاده میکنند، لیست شدهاند. توجه کنید این پسوردها از یک پایگاه دادهای که ۵۰۰۰۰۰۰ (پنج میلیون) رمز عبور داشته، فاش شده است و توسط یکی از آنالیزورها(SplashData) مورد بررسی قرار گرفته است.
1. 123456
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. letmein
8. 1234567
9. football
10. iloveyou
11. admin
12. welcome
13. monkey
14. login
15. abc123
16. starwars
17. 123123
18. dragon
19. passw0rd
20. master
21. hello
22. freedom
23. whatever
24. qazwsx
25. trustno1
اگر از رمزهای عبور بالا یا iloveyou استفاده می کنید! اصلا کار هوشمندانهای نیست و جزو پسورد امن نیست! البته، لیست ها با توجه به کشور یا استانها و زبان محلی که جمع می شوند، میتواند متفاوت باشد، ولی آنچه که از لیست بالا مشخص است، اکثرا از یک الگو و کلمات تکراری استفاده میکنیم.
برای رمزهای عبور چهار رقمی (رمز عبور گوشیهای موبایل یا پین کد سیم کارت) وضعیت پسوردها بدتر است.
در سال ۲۰۱۳ وب سایت DataGenetics گزارش داد که بیشترین استفاده از دنبالههای چهار رقمی، گزینه های 1234 (۱۱ درصدکاربران) و پس از آن 1111 (6 درصد) و 0000 ( 2 درصد) هستند و کمترین رمز عبور چهار رقمی 8068 بود. خب حالا پسوردتون ۸۰۶۸ نکنین، قطعا الان وضعیت تغییر کرده. این سایت، بر اساس مجموعه ای از ۳.۴ میلیون کلمه عبورچهار رقمی آمار داده بود.
20 سری رمزهای عبوری عبارتند از:
1234؛ 1111؛ 0000؛ 1212؛ 7777؛ 1004؛ 2000؛ 4444؛ 2222؛ 6969؛ 9999؛ 3333؛ 5555؛ 6666؛ 1122؛ 1313؛ 8888؛ 4321؛ 2001؛ 1010
میبینید که حتی بدون حمله دیکشنری هم میشود به بیشترین گوشیهای موبایل دسترسی پیدا کرد.
بعضی از افراد رمزهایی را انتخاب کنند که دارای ساختار مشخصی هستند، مانند: A1=B2=C3 AwX2AwX2 یا O0o.lli. یا با ترکیب چندین رشته ساده مانند پسورد 123 با johnABC0000 رمزگذاری میکنند. این الگو هم دیگر بدردبخور نیست و جزو پسورد سخت بشمار نمیرود و اینکه این روزها الگوها حتی کار را برای هکرها راحتتر هم میکند.
خب پس چیکار کنیم؟ چگونه پسورد بسازیم؟ واقعیت اینکه بهتر است از ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترها استفاده کنیم و این کاراکترها بهتر است الگویی نداشته باشند.
اگر هم یک پسورد قوی نیاز دارید، چون کار و بارتون حساسه ادامه داستان پیشنهاد میدم دنبال کنید:
چگونه پسورد بسازیم؟ | ساخت هش
سرورهای اینترنتی به جای ذخیره رمزهای مشتری، پسوردها را بشکل دنبالهای از کاراکترها درمیاورند و ذخیره میکنند چرا؟! برای امنیت. اگر سرور هک شد، پسوردها لو نروند.
این روزها استفاده از "اثر انگشت" برای رمزهای عبور یکی از بهترین راهکارهای ممکن هست. چون سرور اثر انگشت شما را گرفته و اصطلاحا هش کرده و به دنباله ای از کاراکترهای نامفهوم تبدیل میکند. دنباله هایی که از آن نمیشود به متن یا اثر انگشت شما دسترسی پیدا کرد.(انگشتمونم که همیشه همراهمونه!)
این هش کردن یک فرایند رمزنگاری پیچیده ای داره (برای من که پیچیدست) و این توضیحات بسیار ساده هستن و فقط جهت آشنایی گفتم. پس سعی کنیم برای سیستمهای حساس از اثر انگشت بعنوان پسور امن استفاده کنیم و مراقب انگشتانمان باشیم!
در زیر میتونید یک اثر انگشت هش شده ببینید که معنایی ندارد.
02C532E7418CD1B57961A1B0
90DB6EC37B3C58380AC0E6877
F3B6155C974647E
(از تابع هش SHA256 استفاده شده است.)
از اذیت کردن سایتها حین ثبت نام ناراحت نشوید | آیا از نرم افزار ساخت پسورد استفاده کنیم؟
حتما برای شما هم پیش آمده، می خواهید در یک سایتی ثبت نام کنید و قسمت ثبت نام سایت، پسورد پیشنهادی شما را بارها رد میکند. چرا؟! مشخصه! چون از کلمات ساده و الگوهای تکراری استفاده میکنید. پس بهتره ناراحت نشوید و به حرف سایت گوش داده و گذرواژه قویتر بدون الگوی تکراری استفاده کنید. برای امنیت خودتان بهتر است.
گاهی اوقات وب سایتها خودشان دست به کار میشوند و انواع پسورد سخت پیشنهاد میدهند. بهتر اینکه به اون پسوردها و کلا، نرم افزار ساخت پسورد هم اعتمادی نکنید، چند تا مقاله در مورد لو رفتن تابع و الگوریتمهای این نوع از سیستمهای رمزنگاری، منتشر شده که نشان میداد این پسوردها همچین هم تصادفی نیستند و از الگوهای تکراری پیروی می کنند. والله اعلم
در عصر اینترنتی ما، علم تنظیم رمز و پسورد ورود همچنان در حال تکامل هستند. شاید همین روشهایی که بالا پیشنهاد دادم، بعد مدتی جزو انواع پسورد سخت نباشد(زمان نوشتن مطلب سال ۲۰۲۰ است).
همین طور جنگ به تمام معنایی بین ادم بدها و ادم خوب های شهر اینترنتی درگرفته و هر روز شکل جدید و تکنیک های نویی برای هم رو می کنند. پس ما بعنوان شهروندان این شهر اینترنتی، بهتر است که در مورد امنیت خانه اینترنتی خودمان حساس باشیم. کلیدهای پیچیدهتری بسازیم و از دزدگیرهای بهتری استفاده کنیم و در و پنجره ها را محکم کنیم.
پیشنهاد شما برای افزایش امنیت در فضای مجازی چیه؟ واقعا چگونه پسورد بسازیم؟ آیا اعتمادی به نم افزار ساخت پسورد هست؟ خوشحال میشم نظر و پیشنهاد خودتون قسمت دیدگاه لایف هک بنویسید.
دیدگاهها
هیچ نظری هنوز ثبت نشده است.