وقتی گذرواژهها بلای جان کاربران میشوند
پس از شنیدن اخبار مختلف راجع به انتخاب گذرواژههای غیرایمن از سوی کاربران، حال نوبت به فناوریهای رمزگشایی از گذرواژهها رسیده تا در کانون توجه قرار بگیرند.
پس از شنیدن اخبار مختلف راجع به انتخاب گذرواژههای غیرایمن از سوی کاربران، حال نوبت به فناوریهای رمزگشایی از گذرواژهها رسیده تا در کانون توجه قرار بگیرند. امروزه حتی گذرواژهها تصادفی و بهظاهر قوی هم به راحتی شکسته میشوند. تکنیکهای فعلی کشف گذرواژهها مبتنی برا قدرت پردازشی بسیار ارزانی هستند که کارتهای گرافیک قدرتمند در اختیار نفوذگران قرار میدهند. این قدرت پردازشی میتواند در هر ساعت تریلیونها محاسبه برای پیدا کردن گذرواژهی شما انجام دهد.
فهرست گذرواژههای رمزنگاریشدهای که اخیراً از وبگاه امنیتی Stratfor ربوده شد حاوی بیش از ۶۳۰ هزار گذرواژه بود که به صورت تصادفی و با استفاده از ۸ کاراکتر متشکل از حروف و اعداد ساخته شده بود. جالب است بدانید که نفوذگران در کمتر از ۲۴ ساعت موفق به رمزگشایی از این گذرواژهها شدند. به گفتهی استیو توماس، مدیر PwnedList عدم استفاده از salt در رمزنگاری گذرواژهها یکی از دلایل اصلی این سرعت خیرهکنندهی نفوذگران است.
به گفتهی توماس «نفوذگران هیچوقت تا بدین حد کارشان راحت نبوده است... آنها امروزه میتوانند در هر ثانیه ۲۳ میلیارد گذرواژه را تخمین بزنند و بدین ترتیب فقط کافی است تا تعداد قابلتوجهی گذرواژهی hashشده و یا به اصطلاح درهمریخته به دستشان بیفتد. رمزگشایی از این گذرواژهها چند ساعت بیشتر زمان نخواهد برد.»
در پنج سال اخیر، سه عامل باعث دگرگونی شگرف شکستن گذرواژهها شده است. در حالی که نرمافزارهای بازیابی گذرواژهها توانستهاند با استفاده از قدرت کارتهای گرافیک، به توانایی پردازشی بینظیری دست یابند، کاربران همچنان سعی میکنند تا از طریق روشهای قدیمی گذرواژههایی ایجاد کنند که در عین امنیت قابل حفظ کردن هم باشند. وبگاههایی مانند LinkedIn، Stratfor و حتی Sony باعث شده تا میلیونها گذرواژهی درهمریخته در اختیار کسانی قرار گیرد که میتوانند با تحلیل آنها به الگوهای انتخاب گذرواژه در میان کاربران دست یابند.
این مسأله به گفتهی اولگا کوکشارووا سخنگوی شرکت ElcomSoft که در زمینهی بازیابی گذرواژهها فعالیت میکند میتواند تهدیدی جدی را برای کاربران ایجاد نماید. از نظر وی کشف الگوهای انتخاب رمز از سوی کاربران به ایجاد فهرستهای دقیقتر برای استفاده در برنامههای شکستن گذرواژه کمک میکند؛ این امکان در کنار قدرت پردازشی عظیمی که در اختیار نفوذگران قرار دارد و نیز شیوههای جدید حملات لغتنامهای میتواند احتمال شکستن گذرواژهها را تا حدود زیادی افزایش دهد.
در سالهای اخیر سرعت پردازش گذرواژهها از سوی نفوذگران افزایش شگفتانگیزی داشته است. برای مثال نرمافزار oclHashcat-plus در رایانهای با پردازندهی مرکزی تکهستهای و تنها یک کارت گرافیک معمولی میتواند بی صدهاهزار تا دهها میلیارد ترکیب را در ثانیه پردازش نماید. میزان دقیق پردازش گذرواژهها به شیوهی درهمریختگی گذرواژهها بستگی دارد.
رابرت گراهام مدیر شرکت Errata Security هم بر این باور است که «فناوری مورداستفاده در کارتهای گرافیکی و بهویژه توانایی آنها در انجام پردازشهای موازی یکی از دلایل این افزایش سرعت است. در حال حاضر کارت گرافیک بسیار قدرمند Radeon 7970 قادر است تا در هر ثانیه بیش از یک میلیارد گذرواژهی مبتنی بر الگوریتمهای شناختهشده تولید نماید.
البته اینکه آیا افزایش سرعت به تنهایی میتواند تهدیدی را متوجه کاربران کند داستان دیگری است. به گفتهی کوکشارووا نفوذگران معمولاً ترجیح میدهند تا به جای صرف زمان و انرژی برای کشف گذرواژهها از طریق حملهی لغتنامهای، بر روی حملات فیشینگ و مهندسی اجتماعی تمرکز کنند که راهی بسیار سادهتر به حساب میآید.
با وجود این کاربران میتوانند تنها با انجام چند کار ساده گذرواژههای خود را امن کرده وبرای همیشه امکان شکستن آنها از سوی نفوذگران را منتفی نمایند.
نخستین کار این است که کاربران از انتخاب گذرواژههای متشکل از کلمهها و اصطلاحات رایج باید خودداری نمایند. حتی اگر چند حرف این کلمات و اصطلاحات با اعداد جایگزین شوند باز هم احتمال کشف آنها زیاد است و نفوذگران همیشه در اولین قدم به سراغ این گذرواژهها میروند.
همچنین به گفتهی رابرت گراهام معمولاً انتخاب گذرواژههای بسیار امن خیلی کمتر از آنچیزی که کاربران فکر میکنند اهمیت دارد. چرا که وبگاههای مهمی همچون بانکها و سرویسهای رایانامه معمولاً به شکلی نفوذناپذیر طراحی میشوند. اما عاملی که ممکن است امنیت کاربران در این وبگاهها را به خطر بیندازد استفاده از یک گذرواژهی مشترک در چندین وبگاه است. بدین ترتیب نفوذگران کافی است تا به گذرواژهی کاربر در یک وبگاه آسیبپذیر دست یافته و آن را به راحتی برای نفوذ به سایر حسابهای وی مورد استفاده قرار دهند. بنابراین استفاده از یک گذرواژهی جداگانه برای هر وبگاه امری بسیار ضروری است.
به گفتهی گراهام بهترین راه استفاده از نرمافزارهای مدیریت گذرواژه است؛ این نرمافزارها میتوانند گذرواژههای تصادفی تولید کنند و نیاز به وارد کردن هربارهی گذروازهها را به حداقل کاهش دهند. البته از نظر وی همچنان اکثریت گذروازهها ضعیف بوده و برای شکستنشان به چند میلیارد محاسبه، که فقط به چند محاسبه در ثانیه نیاز است.
