شکستن رمزعبور‍‌های 8 کاراکتری در زمان کوتاه

شکستن گذرواژه‌های 8 کاراکتری در کوتاه‌ترین زمان

پس از اعلام سرقت 620 میلیون هویت‌نامه اینترنتی و عرضه آن برای فروش در بازار دارک وب، به نظر می‌رسد اکنون فرصت مناسبی برای بررسی دوباره امنیت گذرواژه‌هاست.

امروزه هکرها راه‌های زیادی در اختیار دارند که بتوانند به گذرواژه حساب کاربری بقیه دست پیدا کنند. مثل استفاده از ابزارها و اپلیکیشن‌های بازیابی گذرواژه (مانند HashCat که طراحی متن باز دارد و به صورت رایگان عرضه شده است) که می‌توانند به راحتی رمزهای هش شده 8 کاراکتری ویندوز NTLM را در زمان کوتاهی بشکند.

با وجود این که NT LAN Manager  یا NTLM یک پروتکل احراز هویت قدیمی است ( این پروتکل در ویندوز ۲۰۰۰ با Kerberos جایگزین شده‌است که امنیت بیشتری را در سیستم‌های شبکه‌ای فراهم می‌آورد) اما همچنان توسط مایکروسافت پشتیبانی می‌‏شود و کماکان به‌صورت گسترده مورد استفاده قرار می‌‏گیرد.

یکی از محققان امنیتی در سال 2011 ثابت کرد که یک رمزعبور هشت کاراکتری (53بیتی) را می‌توان در طی 44 روز و بوسیله حملات جستجوی فراگیر(نوعی روش کشف رمز در کامپیوتر و شبکه) یا با استفاده از روش‌های کارت گرافیکی پیشرفته و جداول رنگین کمان (جدولی از پیش محاسبه شده به منظور معکوس کردن توابع رمزنگاری و Hash) در مدت 14 ثانیه به راحتی کشف کرد.

عمر رمزهای 8 کاراکتری به سر رسید!

یکی از هکرها به تازگی طی توئیتی اعلام کرد که تاریخ مصرف گذرواژه‌های هشت کاراکتری به سر رسیده است. ولی در بسیاری از شبکه‌های اجتماعی و سایت‌های اعتباری هنوز هم حداقل طول قابل قبول برای گذرواژه 8 کاراکتر در نظر گرفته شده است.

آمار شکستن گذرواژه نشان می‌دهد که یک رمز هشت کاراکتری هرچقدر هم  پیچیده باشد با به کارگیری سیستم‌های سخت افزاری مناسب، در زمانی کمتر از 2.5 ساعت به راحتی شکسته می‌شود.

الگوریتم‌های حرفه‌ای هش برای شکستن رمز عبور کمی زمانبر هستند ولی هکرها برای رمزگشایی رمز‌های هش شده و کوتاه می توانند با پرداخت هزینه‌ای اندک ابزار لازم برای انجام این کار دسترسی پیدا کنند.

عدم الزام کاربران به انتخاب رمز عبور طولانی

در بسیاری از سرویس‌های آنلاین مثل سرویس‌های ایمیل google، microsoft وyahoo  حداقل تعداد قابل قبول برای انتخاب گذرواژه 8 کلمه و در سایت‌های facebook، twitter وLinkedIn  حداقل 6 کلمه است. متاسفانه این مسئله حتی در آخرین دستورالعمل موسسه ملی استاندارد و فناوری(NIST) هم رعایت نشده و حداقل تعداد لازم برای گذرواژه 8 کلمه در نظر گرفته شده است. 

سهولت بخاطر سپاری رمز عبور؛ ریسک کاهش امنیت

از آنجاییکه بخاطر سپاری یک گذرواژه پیچیده و طولانی (ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نمادها) بسیار مشکل است، در نتیجه کاربران برای بخاطر سپاری بهتر رمز عبور خود آنرا تا حد امکان کوتاه انتخاب می‌کنند. ولی همانطور که گفته شد این کار اصلا از نظر امنیتی توصیه نمی‌شود. حالا باید دید در این شرایط بهترین راه حل کدام است.

راهکارهای انتخاب گذرواژه مناسب و امن

هکر ناشناسی که نخواست نامش فاش شود به کاربران توصیه کرده است که از یک عبارت پنج کلمه‌ای رندوم مانند پسورد فرضی "correct horse battery staple" استفاده کنند، زیرا هک کردن آن ۵۵۰ سال طول می کشد. این اظهارات توسط متخصصان امنیت کامپیوتر نیز تایید شده است.

در مقاله انتخاب گذرواژه مناسب و نگهداری از آن راهکارهای مفیدی برای ایجاد یک رمز عبور که هم پیچیده و هم قابل بخاطر سپاری باشد، آموزش داده شده است.

استفاده از برنامه‌های مدیریت گذرواژه

تکنیک دیگری که برای بهبود امنیت گذرواژه پیشنهاد می‌شود استفاده از برنامه‌های مدیریت گذرواژه است. همچنین فعال کردن احراز هویت دو مرحله‌ای در سایت‌ها یا نرم افزارهایی که از این روش امنیتی پشتیبانی می‌کنند هم یکی از راه‌های بسیار مفید برای بالا بردن امنیت حساب کاربری است.

برنامه‌هایی نظیر 1Password ابزارهایی برای مدیریت گذرواژه هستند که از الگوریتم هش Bcrypt بهره می‌برند، این الگوریتم رمزنگاری قوی دسترسی به رمز عبور واقعی کاربران را برای هکرها بسیار سخت می‌کند.

نرم‌افزار مدیریت گذرواژه 1Password می‎تواند تمامی پسوردهای یک کاربر را ذخیره کند و در نتیجه استفاده از این برنامه کاربران را از حفظ کردن رمزعبور بی نیاز می‌کند. این برنامه همچنین به کاربران کمک می‌کند تا رمز عبورهای تصادفی و بسیار پیچیده تولید کنند.

درباره آریس

آریس خدمات خود را در زمینه‌های مشاوره، طراحی و راه‌اندازی مراکز داده، تولید محصولات نرم‌افزاری مبتنی بر تکنولوژی‌های متن‌باز و مشاوره نرم‌افزار به مشتریان خود عرضه می‌دارد. امروزه شرکت آریس ارایه دهنده محصولات و خدمات مختلفی است و مشتریان آن را سازمان‌ها و شرکت‌های بزرگ و کوچک تشکیل می‌دهند. 

ارتباط با آریس

 تهران، یوسف آباد، بالاتر از میدان سلماس، خیابان۱۰/۱، پلاک ۵۰، واحد ۳

کد پستی ۱۴۳۱۷۶۳۱۶۵

  ۸۸۰۲۴۶۸۰ (۰۲۱)

  info@arissystem.com