مطالب پربازدید

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/03/28 - 09:08- تروریسم سایبری

اعتراف منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده

منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده اعتراف کردند.

1404/03/27 - 20:40- آسیا

حمله سایبری به بانک سپه

هکرهای گنجشک درنده(گروهی منتسب به آمریکا) مدعی حمله سایبری به بانک سپه شدند.

انتشار شده در تاریخ 1392/07/29 - 18:48

وقتی گذرواژه‌ها بلای جان کاربران می‌شوند

پس از شنیدن اخبار مختلف راجع به انتخاب گذرواژه‌های غیرایمن از سوی کاربران، حال نوبت به فناوری‌های رمزگشایی از گذرواژه‌ها رسیده تا در کانون توجه قرار بگیرند.

پس از شنیدن اخبار مختلف راجع به انتخاب گذرواژه‌های غیرایمن از سوی کاربران، حال نوبت به فناوری‌های رمزگشایی از گذرواژه‌ها رسیده تا در کانون توجه قرار بگیرند. امروزه حتی گذرواژه‌ها تصادفی و به‌ظاهر قوی هم به راحتی شکسته می‌شوند. تکنیک‌های فعلی کشف گذرواژه‌ها مبتنی برا قدرت پردازشی بسیار ارزانی هستند که کارت‌های گرافیک قدرتمند در اختیار نفوذگران قرار می‌دهند. این قدرت پردازشی می‌تواند در هر ساعت تریلیون‌ها محاسبه برای پیدا کردن گذرواژه‌ی شما انجام دهد.

فهرست گذرواژه‌های رمزنگاری‌شده‌ای که اخیراً از وب‌گاه امنیتی Stratfor ربوده شد حاوی بیش از ۶۳۰ هزار گذرواژه‌ بود که به صورت تصادفی و با استفاده از ۸ کاراکتر متشکل از حروف و اعداد ساخته شده بود. جالب است بدانید که نفوذگران در کمتر از ۲۴ ساعت موفق به رمزگشایی از این گذرواژه‌ها شدند. به گفته‌ی استیو توماس، مدیر PwnedList عدم استفاده از salt در رمزنگاری گذرواژه‌ها یکی از دلایل اصلی این سرعت خیره‌کننده‌ی نفوذگران است.

به گفته‌ی توماس «نفوذگران هیچ‌وقت تا بدین حد کارشان راحت نبوده است... آن‌ها امروزه می‌توانند در هر ثانیه ۲۳ میلیارد گذرواژه را تخمین بزنند و بدین ترتیب فقط کافی است تا تعداد قابل‌توجهی گذرواژه‌ی hash‌شده و یا به اصطلاح درهم‌ریخته به دست‌شان بیفتد. رمزگشایی از این گذرواژه‌ها چند ساعت بیشتر زمان نخواهد برد.»

در پنج سال اخیر، سه عامل باعث دگرگونی شگرف شکستن گذرواژه‌ها شده است. در حالی که نرم‌افزارهای بازیابی گذرواژه‌ها توانسته‌اند با استفاده از قدرت کارت‌های گرافیک، به توانایی پردازشی بی‌نظیری دست یابند، کاربران همچنان سعی می‌کنند تا از طریق روش‌های قدیمی گذرواژه‌هایی ایجاد کنند که در عین امنیت قابل حفظ کردن هم باشند. وب‌گاه‌هایی مانند LinkedIn، Stratfor و حتی Sony باعث شده تا میلیون‌ها گذرواژه‌ی درهم‌ریخته در اختیار کسانی قرار گیرد که می‌توانند با تحلیل آن‌ها به الگوهای انتخاب گذرواژه در میان کاربران دست یابند.

این مسأله به گفته‌ی اولگا کوکشارووا سخنگوی شرکت ElcomSoft که در زمینه‌ی بازیابی گذرواژه‌‌ها فعالیت می‌کند می‌تواند تهدیدی جدی را برای کاربران ایجاد نماید. از نظر وی کشف الگوهای انتخاب رمز از سوی کاربران به ایجاد فهرست‌های دقیق‌تر برای استفاده در برنامه‌های شکستن گذرواژه کمک می‌کند؛ این امکان در کنار قدرت پردازشی عظیمی که در اختیار نفوذگران قرار دارد و نیز شیوه‌های جدید حملات لغت‌نامه‌ای می‌تواند احتمال شکستن گذرواژه‌ها را تا حدود زیادی افزایش دهد.

در سال‌های اخیر سرعت پردازش گذرواژه‌ها از سوی نفوذگران افزایش شگفت‌انگیزی داشته است. برای مثال نرم‌افزار oclHashcat-plus در رایانه‌ای با پردازنده‌ی مرکزی تک‌هسته‌ای و تنها یک کارت گرافیک معمولی می‌تواند بی صدهاهزار تا ده‌ها میلیارد ترکیب را در ثانیه پردازش نماید. میزان دقیق پردازش گذرواژه‌ها به شیوه‌ی درهم‌ریختگی گذرواژه‌ها بستگی دارد.

رابرت گراهام مدیر شرکت Errata Security هم بر این باور است که «فناوری‌ مورداستفاده در کارت‌های گرافیکی و به‌ویژه توانایی آن‌ها در انجام پردازش‌های موازی یکی از دلایل این افزایش سرعت است. در حال حاضر کارت گرافیک بسیار قدرمند Radeon 7970 قادر است تا در هر ثانیه بیش از یک میلیارد گذرواژه‌ی مبتنی بر الگوریتم‌های شناخته‌شده تولید نماید.

البته اینکه آیا افزایش سرعت به تنهایی می‌تواند تهدیدی را متوجه کاربران کند داستان دیگری است. به گفته‌ی کوکشارووا نفوذگران معمولاً ترجیح می‌دهند تا به جای صرف زمان و انرژی برای کشف گذرواژه‌ها از طریق حمله‌ی لغتنامه‌ای، بر روی حملات فیشینگ و مهندسی اجتماعی تمرکز کنند که راهی بسیار ساده‌تر به حساب می‌آید.

با وجود این کاربران می‌توانند تنها با انجام چند کار ساده گذرواژه‌های خود را امن کرده وبرای همیشه امکان شکستن آن‌ها از سوی نفوذگران را منتفی نمایند.

نخستین کار این است که کاربران از انتخاب گذرواژه‌های متشکل از کلمه‌ها و اصطلاحات رایج باید خودداری نمایند. حتی اگر چند حرف این کلمات و اصطلاحات با اعداد جایگزین شوند باز هم احتمال کشف آن‌ها زیاد است و نفوذگران همیشه در اولین قدم به سراغ این گذرواژه‌ها می‌روند.

همچنین به گفته‌ی رابرت گراهام معمولاً انتخاب گذرواژه‌های بسیار امن خیلی کمتر از آن‌چیزی که کاربران فکر می‌کنند اهمیت دارد. چرا که وب‌گاه‌های مهمی همچون بانک‌ها و سرویس‌های رایانامه معمولاً به شکلی نفوذناپذیر طراحی می‌شوند. اما عاملی که ممکن است امنیت کاربران در این وب‌گاه‌ها را به خطر بیندازد استفاده از یک گذرواژه‌ی مشترک در چندین وب‌گاه است. بدین ترتیب نفوذگران کافی است تا به گذرواژه‌ی کاربر در یک وب‌گاه آسیب‌پذیر دست یافته و آن را به راحتی برای نفوذ به سایر حساب‌های وی مورد استفاده قرار دهند. بنابراین استفاده از یک گذرواژه‌ی جداگانه برای هر وب‌گاه امری بسیار ضروری است.

به گفته‌ی گراهام بهترین راه استفاده از نرم‌افزارهای مدیریت گذرواژه است؛ این نرم‌افزارها می‌توانند گذرواژه‌های تصادفی تولید کنند و نیاز به وارد کردن هرباره‌ی گذروازه‌ها را به حداقل کاهش دهند. البته از نظر وی همچنان اکثریت گذروازه‌ها ضعیف بوده و برای شکستن‌شان به چند میلیارد محاسبه، که فقط به چند محاسبه در ثانیه نیاز است.