شکسته شدن ۸۷ میلیون رمز عبور در کمتر از یک دقیقه !
۱۰٪ از لیست رمزهای عبور تجزیهوتحلیل شده، در کمتر از یک دقیقه با بروت فورس شکسته شده است که با ترکیب این حمله با الگوریتم حدس هوشمند، این میزان به ۴۵٪ افزایش مییابد.
به گزارش دنده6 : تنها با صرف چند دلار، کمی زمان و الگوریتم هوشمند حدس brute-force (بروت فورس یا حمله جستجوی فراگیر)، میتوان درزمانی بهمراتب کمتر از چیزی که تصور میکنید به اکثر رمزهای عبور دستیافت.
طبق تحلیل جدید کارشناسان کسپراسکای، ۵۹% از ۱۹۳ میلیون رمز عبور فعلی در کمتر از ۶۰ دقیقه و ۴۵% در کمتر از ۶۰ ثانیه شکسته و فاش میشوند.
اساس و پایه حمله بروت فورس (حمله جستجوی فراگیر) بر این است که فرد هکر، تمام ترکیبهای ممکن را تکرار میکند تا درنهایت به رمز عبور موردنظر دست بیابد. آنتونوف در اینباره گفته: «الگوریتمهای حدس هوشمند، بر روی مجموعه دادههای رمزهای عبور آموزش داده میشوند تا بسامد ترکیبهای کاراکترهای مختلف را محاسبه کنند؛ آنها ابتدا از رایجترین ترکیبها شروع کرده و بعد به سراغ نادرترینها انتخابها میروند.»
ترکیب بروت فورس و حدس هوشمند برای دسترسی به رمزهای عبور
حمله brute-force به دلیل ساده بودنش، بسیار محبوب است؛ اما این حمله در الگوریتمهای شکستن رمزهای عبور، آنقدرها موفق نیست. با در نظر داشتن این نکته که اکثر رمزهای عبور مورداستفاده روزانه، ویژگیهای مشابهی دارند که شامل ترکیب تاریخها، نامها، واژههای فرهنگ لغت و حروف پشت سرهم روی صفحهکلید میشود، افزودن این دیدگاهها به ترکیب حدس زدن رمزهای عبور، سرعت کار را بهشدت بالا میبرد.
مطالعه کسپراسکای حکایت از آن دارد که درصد رمزهای عبور قابل شکستن در هر بازه زمانی با استفاده از هر روش، آنقدرها سخت نیست. ۱۰٪ از لیست رمزهای عبور تجزیهوتحلیل شده، در کمتر از یک دقیقه با بروت فورس شکسته شده است که با ترکیب این حمله با الگوریتم حدس هوشمند، این میزان به ۴۵٪ افزایش مییابد.
با افزایش زمان از یک دقیقه به یک ساعت، موفقیت بروت فورس در یک ساعت ۲۰% بوده و موفقیت ترکیبی دو گزینه به ۵۹% میرسد.
مزیت الگوریتم حدس هوشمند
ازآنجاییکه انسانها، به عادتهایشان زندهاند، عموم ما در ساخت و طراحی رمز عبور بسیار ضعیف عمل میکنیم. در حقیقت رمزهای عبوری که برای خودمان انتخاب میکنیم، بهندرت تصادفی هستند و اکثر ما به هنگام انتخاب یک رمز عبور به سراغ همان چیزهایی میرویم که الگوریتمهای حدس هوشمند برای تشخیص و شناساییشان طراحیشدهاند: نامها و عبارات رایج، تاریخهای مهم شخصی و تاریخی و الگوها.
برای اینکه تصوری از میزان قابل پیشبینی بودن رمزهای عبور به شما بدهیم، یکی از کانالهای یوتیوب، از بیش از دویست هزار نفر خواست تا یک عدد تصادفی بین ۱ تا ۱۰۰ انتخاب کنند. اکثر افراد به سمت مجموعه کوچکی از اعداد رفتند: ۷، ۳۷، ۴۲، ۶۹، ۷۳ و ۷۷. حتی وقتی قرار است که یکرشته عدد تصادفی انتخاب کنیم، باز هم اکثر مردم برای انتخاب عدد مدنظرشان به سمت مرکز صفحهکلیدشان میروند.
لازم به ذکر است که حتی استفاده از p@ssw۰rd بهجای رمز عبور، اصلاً باعث کاهش سرعت الگوریتم نمیشود.
تقویت حسابها در برابر حمله الگوریتم حدس هوشمند
کمپانی کسپراسکای، این استراتژیها را برای تعیین و استفاده از رمز عبور توصیه میکند:
- ایجاد رمز عبورهای قوی و تصادفی با استفاده از password manager
- عدم استفاده از یک رمز عبور مشخص و معین در سایتها، اکانتها و سرویسهای متعدد؛ چرا که در صورت هک شدن یک اکانت، امکان دسترسی به دیگر اکانتهایتان هم فراهم خواهد شد.
- اگر نمیخواهید از Password Manager استفاده کنید، بهجای استفاده از کلمههای فرهنگ لغت یا ترکیبهای عددی برای رمز عبور، به سراغ رمز عبورهای mnemonic passphrases (دنبالهای از کلمات که بهعنوان یک مکانیسم پشتیبان و بازیابی کیف پولهای رمزنگاری عمل میکنند) بروید.
- رمزهای عبورتان را در مرورگرهای وب ذخیره نکنید.
- از Password Manager محافظتشده توسط رمز عبور اصلی قوی استفاده کنید.
- احراز هویت دومرحلهای برای همه حسابهایی که از آن پشتیبانی میکنند را فعال کرده و مورداستفاده قرار دهید.