مطالب پربازدید

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

انتشار شده در تاریخ 1392/07/29 - 18:48

وقتی گذرواژه‌ها بلای جان کاربران می‌شوند

پس از شنیدن اخبار مختلف راجع به انتخاب گذرواژه‌های غیرایمن از سوی کاربران، حال نوبت به فناوری‌های رمزگشایی از گذرواژه‌ها رسیده تا در کانون توجه قرار بگیرند.

پس از شنیدن اخبار مختلف راجع به انتخاب گذرواژه‌های غیرایمن از سوی کاربران، حال نوبت به فناوری‌های رمزگشایی از گذرواژه‌ها رسیده تا در کانون توجه قرار بگیرند. امروزه حتی گذرواژه‌ها تصادفی و به‌ظاهر قوی هم به راحتی شکسته می‌شوند. تکنیک‌های فعلی کشف گذرواژه‌ها مبتنی برا قدرت پردازشی بسیار ارزانی هستند که کارت‌های گرافیک قدرتمند در اختیار نفوذگران قرار می‌دهند. این قدرت پردازشی می‌تواند در هر ساعت تریلیون‌ها محاسبه برای پیدا کردن گذرواژه‌ی شما انجام دهد.

فهرست گذرواژه‌های رمزنگاری‌شده‌ای که اخیراً از وب‌گاه امنیتی Stratfor ربوده شد حاوی بیش از ۶۳۰ هزار گذرواژه‌ بود که به صورت تصادفی و با استفاده از ۸ کاراکتر متشکل از حروف و اعداد ساخته شده بود. جالب است بدانید که نفوذگران در کمتر از ۲۴ ساعت موفق به رمزگشایی از این گذرواژه‌ها شدند. به گفته‌ی استیو توماس، مدیر PwnedList عدم استفاده از salt در رمزنگاری گذرواژه‌ها یکی از دلایل اصلی این سرعت خیره‌کننده‌ی نفوذگران است.

به گفته‌ی توماس «نفوذگران هیچ‌وقت تا بدین حد کارشان راحت نبوده است... آن‌ها امروزه می‌توانند در هر ثانیه ۲۳ میلیارد گذرواژه را تخمین بزنند و بدین ترتیب فقط کافی است تا تعداد قابل‌توجهی گذرواژه‌ی hash‌شده و یا به اصطلاح درهم‌ریخته به دست‌شان بیفتد. رمزگشایی از این گذرواژه‌ها چند ساعت بیشتر زمان نخواهد برد.»

در پنج سال اخیر، سه عامل باعث دگرگونی شگرف شکستن گذرواژه‌ها شده است. در حالی که نرم‌افزارهای بازیابی گذرواژه‌ها توانسته‌اند با استفاده از قدرت کارت‌های گرافیک، به توانایی پردازشی بی‌نظیری دست یابند، کاربران همچنان سعی می‌کنند تا از طریق روش‌های قدیمی گذرواژه‌هایی ایجاد کنند که در عین امنیت قابل حفظ کردن هم باشند. وب‌گاه‌هایی مانند LinkedIn، Stratfor و حتی Sony باعث شده تا میلیون‌ها گذرواژه‌ی درهم‌ریخته در اختیار کسانی قرار گیرد که می‌توانند با تحلیل آن‌ها به الگوهای انتخاب گذرواژه در میان کاربران دست یابند.

این مسأله به گفته‌ی اولگا کوکشارووا سخنگوی شرکت ElcomSoft که در زمینه‌ی بازیابی گذرواژه‌‌ها فعالیت می‌کند می‌تواند تهدیدی جدی را برای کاربران ایجاد نماید. از نظر وی کشف الگوهای انتخاب رمز از سوی کاربران به ایجاد فهرست‌های دقیق‌تر برای استفاده در برنامه‌های شکستن گذرواژه کمک می‌کند؛ این امکان در کنار قدرت پردازشی عظیمی که در اختیار نفوذگران قرار دارد و نیز شیوه‌های جدید حملات لغت‌نامه‌ای می‌تواند احتمال شکستن گذرواژه‌ها را تا حدود زیادی افزایش دهد.

در سال‌های اخیر سرعت پردازش گذرواژه‌ها از سوی نفوذگران افزایش شگفت‌انگیزی داشته است. برای مثال نرم‌افزار oclHashcat-plus در رایانه‌ای با پردازنده‌ی مرکزی تک‌هسته‌ای و تنها یک کارت گرافیک معمولی می‌تواند بی صدهاهزار تا ده‌ها میلیارد ترکیب را در ثانیه پردازش نماید. میزان دقیق پردازش گذرواژه‌ها به شیوه‌ی درهم‌ریختگی گذرواژه‌ها بستگی دارد.

رابرت گراهام مدیر شرکت Errata Security هم بر این باور است که «فناوری‌ مورداستفاده در کارت‌های گرافیکی و به‌ویژه توانایی آن‌ها در انجام پردازش‌های موازی یکی از دلایل این افزایش سرعت است. در حال حاضر کارت گرافیک بسیار قدرمند Radeon 7970 قادر است تا در هر ثانیه بیش از یک میلیارد گذرواژه‌ی مبتنی بر الگوریتم‌های شناخته‌شده تولید نماید.

البته اینکه آیا افزایش سرعت به تنهایی می‌تواند تهدیدی را متوجه کاربران کند داستان دیگری است. به گفته‌ی کوکشارووا نفوذگران معمولاً ترجیح می‌دهند تا به جای صرف زمان و انرژی برای کشف گذرواژه‌ها از طریق حمله‌ی لغتنامه‌ای، بر روی حملات فیشینگ و مهندسی اجتماعی تمرکز کنند که راهی بسیار ساده‌تر به حساب می‌آید.

با وجود این کاربران می‌توانند تنها با انجام چند کار ساده گذرواژه‌های خود را امن کرده وبرای همیشه امکان شکستن آن‌ها از سوی نفوذگران را منتفی نمایند.

نخستین کار این است که کاربران از انتخاب گذرواژه‌های متشکل از کلمه‌ها و اصطلاحات رایج باید خودداری نمایند. حتی اگر چند حرف این کلمات و اصطلاحات با اعداد جایگزین شوند باز هم احتمال کشف آن‌ها زیاد است و نفوذگران همیشه در اولین قدم به سراغ این گذرواژه‌ها می‌روند.

همچنین به گفته‌ی رابرت گراهام معمولاً انتخاب گذرواژه‌های بسیار امن خیلی کمتر از آن‌چیزی که کاربران فکر می‌کنند اهمیت دارد. چرا که وب‌گاه‌های مهمی همچون بانک‌ها و سرویس‌های رایانامه معمولاً به شکلی نفوذناپذیر طراحی می‌شوند. اما عاملی که ممکن است امنیت کاربران در این وب‌گاه‌ها را به خطر بیندازد استفاده از یک گذرواژه‌ی مشترک در چندین وب‌گاه است. بدین ترتیب نفوذگران کافی است تا به گذرواژه‌ی کاربر در یک وب‌گاه آسیب‌پذیر دست یافته و آن را به راحتی برای نفوذ به سایر حساب‌های وی مورد استفاده قرار دهند. بنابراین استفاده از یک گذرواژه‌ی جداگانه برای هر وب‌گاه امری بسیار ضروری است.

به گفته‌ی گراهام بهترین راه استفاده از نرم‌افزارهای مدیریت گذرواژه است؛ این نرم‌افزارها می‌توانند گذرواژه‌های تصادفی تولید کنند و نیاز به وارد کردن هرباره‌ی گذروازه‌ها را به حداقل کاهش دهند. البته از نظر وی همچنان اکثریت گذروازه‌ها ضعیف بوده و برای شکستن‌شان به چند میلیارد محاسبه، که فقط به چند محاسبه در ثانیه نیاز است.