نحوه ایجاد و به خاطر سپردن رمز عبور قوی

2024 نویسنده: Malcolm Clapton | [email protected]. آخرین اصلاح شده: 2023-12-17 03:54

بهترین راه برای ایجاد رمز عبور که هیچ کس نتواند آن را شکست دهد.

اکثر مهاجمان با روش های پیچیده سرقت رمز عبور خود را خسته نمی کنند. آنها ترکیبات آسان برای حدس زدن را انتخاب می کنند. حدود 1٪ از همه رمزهای عبور موجود می تواند با چهار بار تلاش بی رحمانه باشد.

چه طور ممکنه؟ بسیار ساده. شما چهار ترکیب رایج در جهان را امتحان کنید: رمز عبور، 123456، 12345678، qwerty. پس از چنین عبوری، به طور متوسط، 1٪ از تمام "سینه" باز می شود.

فرض کنید شما جزو آن 99 درصد کاربرانی هستید که رمز عبور آنها چندان ساده نیست. با این حال، عملکرد نرم افزارهای هک مدرن باید در نظر گرفته شود.

برنامه John the Ripper رایگان و رایگان در دسترس میلیون ها رمز عبور در ثانیه را تأیید می کند. برخی از نمونه‌های نرم‌افزار تجاری تخصصی ظرفیت ۲.۸ میلیارد رمز عبور در ثانیه را دارند.

در ابتدا، برنامه های کرک کردن لیستی از رایج ترین ترکیبات آماری را اجرا می کنند و سپس به فرهنگ لغت کامل مراجعه می کنند. با گذشت زمان، روند گذرواژه کاربران ممکن است کمی تغییر کند، و این تغییرات زمانی که چنین لیست هایی به روز می شوند، لحاظ می شوند.

با گذشت زمان، انواع سرویس های وب و برنامه های کاربردی تصمیم گرفتند به زور رمزهای عبور ایجاد شده توسط کاربران را پیچیده کنند. الزاماتی اضافه شده است که بر اساس آن رمز عبور باید حداقل طول مشخصی داشته باشد، حاوی اعداد، حروف بزرگ و کاراکترهای خاص باشد. برخی از سرویس‌ها آنقدر این موضوع را جدی گرفتند که یافتن رمز عبوری که سیستم می‌پذیرد، کار بسیار طولانی و خسته‌کننده‌ای طول می‌کشد.

مشکل اصلی این است که تقریباً هر کاربری یک رمز عبور واقعی تولید نمی کند، بلکه فقط سعی می کند الزامات سیستم را برای ترکیب رمز عبور به حداقل برساند.

نتیجه رمزهای عبور مانند password1، password123، Password، PassWoRd، رمز عبور است! و شمشیر p @ غیر قابل پیش بینی.

تصور کنید باید رمز عبور مرد عنکبوتی خود را دوباره بسازید. به احتمال زیاد شبیه $ pider_Man1 خواهد بود. اصل؟ هزاران نفر با استفاده از الگوریتم مشابه یا بسیار مشابه آن را تغییر خواهند داد.

اگر کراکر این حداقل الزامات را بداند، وضعیت فقط بدتر می شود. به همین دلیل است که الزام تحمیل شده برای افزایش پیچیدگی رمزهای عبور همیشه بهترین امنیت را فراهم نمی کند و اغلب احساس کاذب افزایش امنیت را ایجاد می کند.

هرچه به خاطر سپردن رمز عبور آسان تر باشد، احتمال اینکه در دیکشنری های کرکر قرار گیرد بیشتر می شود. در نتیجه، معلوم می شود که یک رمز عبور واقعا قوی به سادگی غیرممکن است که به خاطر بسپارید، به این معنی که باید در جایی تعمیر شود.

به گفته کارشناسان، حتی در این عصر دیجیتال، مردم همچنان می توانند به یک تکه کاغذ که رمزهای عبور روی آن نوشته شده است اعتماد کنند. راحت است که چنین ورق را در مکانی پنهان از چشمان کنجکاو نگه دارید، به عنوان مثال، در کیف پول یا کیف پول.

با این حال، برگه رمز عبور مشکل را حل نمی کند. رمزهای عبور طولانی نه تنها به خاطر سپردن، بلکه وارد کردن آنها نیز دشوار است. این وضعیت توسط صفحه کلید مجازی دستگاه های تلفن همراه تشدید می شود.

بسیاری از کاربران در تعامل با ده ها سرویس و سایت، رشته ای از رمزهای عبور یکسان را پشت سر می گذارند. آنها سعی می کنند از رمز عبور یکسانی برای هر سایت استفاده کنند و کاملاً خطرات را نادیده بگیرند.

در این مورد، برخی از سایت ها به عنوان پرستار عمل می کنند و ترکیب را مجبور می کنند پیچیده شود. در نتیجه، کاربر به سادگی نمی تواند به یاد بیاورد که چگونه باید رمز عبور استاندارد خود را برای این سایت تغییر دهد.

مقیاس مشکل در سال 2009 به طور کامل درک شد. سپس به دلیل یک حفره امنیتی، هکر موفق شد پایگاه داده ورود و رمز عبور RockYou.com، شرکتی که بازی ها را در فیس بوک منتشر می کند، به سرقت ببرد. مهاجم پایگاه داده را در دسترس عموم قرار داد. در مجموع، شامل 32.5 میلیون ورودی با نام کاربری و رمز عبور به حساب ها بود. افشاگری‌هایی پیش از این اتفاق افتاده است، اما مقیاس این رویداد خاص تصویر کامل را نشان می‌دهد.

محبوب ترین رمز عبور در RockYou.com 123456 بود که تقریباً 291000 نفر از آن استفاده کردند. مردان زیر 30 سال بیشتر مضامین جنسی و ابتذال را ترجیح می دهند. افراد مسن از هر دو جنس اغلب هنگام انتخاب رمز عبور به حوزه خاصی از فرهنگ روی می آورند. مثلا Epsilon793 چندان گزینه بدی به نظر نمی رسد، فقط این ترکیب در Star Trek بود. 8675309 هفت رقمی بارها ظاهر شد زیرا این عدد در یکی از آهنگ های تامی توتون وجود داشت.

در واقع ایجاد یک رمز عبور قوی کار ساده ای است، کافی است ترکیبی از کاراکترهای تصادفی بسازید.

شما نمی توانید یک ترکیب کاملاً تصادفی از نظر ریاضی در ذهن خود ایجاد کنید، اما مجبور نیستید. خدمات ویژه ای وجود دارد که ترکیبات واقعا تصادفی را ایجاد می کند. به عنوان مثال، می تواند پسوردهایی مانند زیر ایجاد کند:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

این یک راه حل ساده و زیبا است، به خصوص برای کسانی که از یک مدیر برای ذخیره رمز عبور استفاده می کنند.

متأسفانه، اکثر کاربران همچنان از رمزهای عبور ساده و ضعیف استفاده می کنند، حتی قانون «گذرواژه های مختلف برای هر سایت» را نادیده می گیرند. برای آنها راحتی مهمتر از ایمنی است.

موقعیت هایی که در آن امنیت رمز عبور به خطر می افتد را می توان به 3 دسته کلی تقسیم کرد:

• تصادفی ، که در آن شخصی که می شناسید با تکیه بر اطلاعاتی که در مورد شما می داند در تلاش است رمز عبور را پیدا کند. اغلب، چنین ترقه ای فقط می خواهد حقه بازی کند، چیزی در مورد شما بیابد یا به هم ریخته باشد.
• حملات دسته جمعی زمانی که مطلقاً هر کاربر خدمات خاصی می تواند قربانی شود. در این مورد از نرم افزارهای تخصصی استفاده می شود. برای حمله، سایت هایی با حداقل امنیت انتخاب می شوند که به شما امکان می دهد در مدت زمان کوتاهی گزینه های رمز عبور را به طور مکرر وارد کنید.
• عمدی که ترکیبی از دریافت نکات (مانند مورد اول) و استفاده از نرم افزارهای تخصصی (مانند یک حمله جمعی) است. این در مورد تلاش برای به دست آوردن اطلاعات واقعا ارزشمند است. فقط یک رمز عبور تصادفی به اندازه کافی طولانی به محافظت از خود کمک می کند، انتخاب آن به زمان قابل مقایسه با طول عمر شما نیاز دارد.

همانطور که می بینید، مطلقاً هر کسی می تواند قربانی شود. عباراتی مانند "رمز عبور من دزدیده نمی شود، زیرا هیچ کس به من نیاز ندارد" مرتبط نیست، زیرا شما می توانید به طور تصادفی، تصادفی، بدون هیچ دلیل واضحی در موقعیت مشابهی قرار بگیرید.

محافظت از رمز عبور برای کسانی که اطلاعات ارزشمندی دارند، با یک تجارت مرتبط هستند یا به دلایل مالی با کسی درگیر هستند (به عنوان مثال، تقسیم دارایی در فرآیند طلاق، رقابت در تجارت) حتی جدی تر است.

در سال 2009، توییتر (در درک کل سرویس) تنها به این دلیل هک شد که مدیر از کلمه شادی به عنوان رمز عبور استفاده کرد. هکر آن را برداشت و در وب سایت دیجیتال گانگستر منتشر کرد که منجر به ربودن حساب های اوباما، بریتنی اسپیرز، فیس بوک و فاکس نیوز شد.

کلمات اختصاری

مانند هر جنبه دیگری از زندگی، ما همیشه باید بین حداکثر ایمنی و حداکثر راحتی سازشی پیدا کنیم. چگونه یک حد وسط پیدا کنیم؟ چه استراتژی برای تولید رمزهای عبور به شما امکان می دهد ترکیب های قوی ایجاد کنید که به راحتی قابل یادآوری باشند؟

در حال حاضر، بهترین ترکیب از قابلیت اطمینان و راحتی، تبدیل یک عبارت یا عبارت به رمز عبور است.

مجموعه ای از کلماتی که همیشه به خاطر می آورید انتخاب می شود و ترکیبی از حروف اول هر کلمه به عنوان رمز عبور استفاده می شود. مثلا May the force be with you تبدیل به متفبویی می شود.

با این حال، از آنجایی که از معروف ترین آنها به عنوان عبارات اولیه استفاده می شود، برنامه ها در نهایت این کلمات اختصاری را در لیست خود دریافت خواهند کرد. در واقع، مخفف فقط شامل حروف است، و بنابراین از نظر عینی کمتر از ترکیب تصادفی کاراکترها قابل اعتماد است.

انتخاب عبارت مناسب به شما کمک می کند تا از شر اولین مشکل خلاص شوید. چرا یک عبارت معروف جهان را به رمز عبور مخفف تبدیل کنیم؟ احتمالاً برخی از جوک ها و گفته هایی را که فقط در میان حلقه نزدیک شما مرتبط است به یاد دارید.فرض کنید عبارت بسیار جذابی را از یک بارمن در یک مؤسسه محلی شنیده اید. از آن استفاده کنید.

با این حال، رمز عبور مخفف ایجاد شده بعید است منحصر به فرد باشد. مشکل کلمات اختصاری این است که عبارات مختلف را می توان از کلماتی تشکیل داد که با حروف یکسان و در یک دنباله شروع می شوند. از نظر آماری، در زبان های مختلف، تعداد حروف خاصی به عنوان ابتدای کلمه افزایش یافته است. برنامه‌ها این عوامل را در نظر می‌گیرند و کارایی کلمات اختصاری در نسخه اصلی کاهش می‌یابد.

راه معکوس

راه برون رفت می تواند برعکس راه نسل باشد. شما یک رمز عبور کاملا تصادفی در random.org ایجاد می کنید و سپس کاراکترهای آن را به یک عبارت به یاد ماندنی معنادار تبدیل می کنید.

اغلب، سرویس‌ها و سایت‌ها رمزهای عبور موقتی را در اختیار کاربران قرار می‌دهند که همان ترکیب‌های کاملاً تصادفی هستند. شما می خواهید آنها را تغییر دهید، زیرا نمی توانید آنها را به خاطر بسپارید، اما فقط نگاه دقیق تری بیندازید و واضح می شود: نیازی به به خاطر سپردن رمز عبور ندارید. برای مثال، بیایید گزینه دیگری را از random.org در نظر بگیریم - RPM8t4ka.

اگرچه بی معنی به نظر می رسد، اما مغز ما قادر است الگوها و مطابقت های خاصی را حتی در چنین هرج و مرج پیدا کند. برای شروع، می توانید متوجه شوید که سه حرف اول در آن بزرگ و سه حرف بعدی کوچک هستند. 8 دو برابر است (به انگلیسی دو بار - t) 4. کمی به این رمز عبور نگاه کنید، مطمئناً ارتباط خود را با مجموعه پیشنهادی حروف و اعداد خواهید یافت.

اگر می توانید مجموعه ای از کلمات مزخرف را حفظ کنید، از آن استفاده کنید. اجازه دهید رمز عبور به دور در دقیقه تبدیل شود. هر تبدیلی که مغز شما در آن بهتر باشد انجام خواهد شد.

رمز عبور تصادفی استاندارد طلایی در امنیت اطلاعات است. این، طبق تعریف، بهتر از هر رمز عبور ساخته شده توسط انسان است.

عیب کلمات اختصاری این است که با گذشت زمان، گسترش چنین تکنیکی کارایی آن را کاهش می دهد و روش معکوس به همان اندازه قابل اعتماد باقی می ماند، حتی اگر همه مردم روی زمین از آن برای هزار سال استفاده کنند.

یک رمز عبور تصادفی در لیست ترکیب‌های محبوب گنجانده نمی‌شود و مهاجمی که از روش حمله انبوه استفاده می‌کند فقط چنین رمز عبوری را به زور اعمال می‌کند.

بیایید یک رمز عبور تصادفی ساده انتخاب کنیم که حروف بزرگ و اعداد را در نظر می گیرد - این 62 کاراکتر ممکن برای هر موقعیت است. اگر رمز عبور را فقط 8 رقمی کنیم، 62 ^ 8 = 218 تریلیون گزینه دریافت می کنیم.

حتی اگر تعداد تلاش ها در یک بازه زمانی مشخص محدود نباشد، تجاری ترین نرم افزار تخصصی با ظرفیت 2.8 میلیارد رمز عبور در ثانیه به طور متوسط 22 ساعت برای یافتن ترکیب مناسب تلاش می کند. برای اطمینان، ما فقط 1 کاراکتر اضافی به چنین رمز عبور اضافه می کنیم - و شکستن آن سال ها طول می کشد.

رمز عبور تصادفی آسیب ناپذیر نیست، زیرا ممکن است به سرقت رود. گزینه ها بسیار زیاد هستند، از خواندن ورودی صفحه کلید گرفته تا داشتن دوربین روی شانه.

یک هکر می تواند به خود سرویس ضربه بزند و داده ها را مستقیماً از سرورهای آن دریافت کند. در این شرایط هیچ چیز به کاربر بستگی ندارد.

یک پایه قابل اعتماد

بنابراین، به موضوع اصلی رسیدیم. تاکتیک های رمز عبور تصادفی برای استفاده در زندگی واقعی چیست؟ از نقطه نظر تعادل قابلیت اطمینان و راحتی، "فلسفه یک رمز عبور قوی" به خوبی خود را نشان خواهد داد.

اصل این است که شما از همان مبنای استفاده می کنید - یک رمز عبور فوق العاده قوی (تنوعات آن) در سرویس ها و سایت هایی که برای شما مهم هستند.

یک ترکیب طولانی و دشوار را برای همه به خاطر بسپار.

نیک بری، مشاور امنیت اطلاعات، اجازه می دهد که این اصل اعمال شود، مشروط بر اینکه رمز عبور به خوبی محافظت شود.

وجود بدافزار در رایانه ای که رمز عبور را از آن وارد می کنید مجاز نیست. استفاده از رمز عبور مشابه برای سایت های کم اهمیت و سرگرم کننده مجاز نیست - رمزهای عبور ساده تر برای آنها کافی است، زیرا هک کردن یک حساب در اینجا هیچ عواقب کشنده ای در پی نخواهد داشت.

واضح است که پایگاه قابل اعتماد باید به نحوی برای هر سایت تغییر کند.به عنوان یک گزینه ساده، می توانید یک حرف را به ابتدا اضافه کنید که نام سایت یا سرویس را به پایان می رساند. اگر به آن رمز عبور تصادفی RPM8t4ka برگردیم، برای مجوز فیس بوک به kRPM8t4ka تبدیل می شود.

مهاجم با دیدن چنین رمز عبوری، نمی تواند بفهمد رمز عبور حساب بانکی شما چگونه ایجاد می شود. اگر شخصی به دو یا چند رمز عبور شما که از این طریق ایجاد شده است دسترسی پیدا کند، مشکلات شروع می شود.

سوال مخفی

برخی از ربایندگان رمز عبور را به کلی نادیده می گیرند. آنها از طرف صاحب حساب عمل می کنند و موقعیتی را شبیه سازی می کنند که رمز عبور خود را فراموش کرده اید و می خواهید با یک سوال مخفی آن را بازیابی کنید. در این سناریو، او می تواند رمز عبور را به دلخواه تغییر دهد و مالک واقعی دسترسی به حساب خود را از دست خواهد داد.

در سال 2008، شخصی به ایمیل سارا پیلین، فرماندار آلاسکا، و در آن زمان نامزد ریاست جمهوری نیز دسترسی پیدا کرد. سارق به این سوال مخفیانه پاسخ داد: "کجا با شوهرت آشنا شدی؟"

پس از 4 سال، میت رامنی که در آن زمان نامزد ریاست جمهوری آمریکا نیز بود، چندین حساب کاربری خود را در سرویس های مختلف از دست داد. شخصی به یک سوال محرمانه در مورد نام حیوان خانگی میت رامنی پاسخ داد.

شما قبلاً موضوع را حدس زده اید.

شما نمی توانید از داده های عمومی و به راحتی حدس زده به عنوان یک پرسش و پاسخ مخفی استفاده کنید.

سوال حتی این نیست که این اطلاعات را می توان با دقت در اینترنت یا از نزدیکان فرد جستجو کرد. پاسخ به سوالات به سبک "نام حیوان"، "تیم هاکی مورد علاقه" و غیره کاملاً از فرهنگ لغت مربوطه گزینه های محبوب انتخاب شده است.

به عنوان یک گزینه موقت، می توانید از تاکتیک پوچ بودن پاسخ استفاده کنید. به بیان ساده، پاسخ نباید ربطی به سوال پنهانی داشته باشد. نام دخترانه مادر؟ دیفن هیدرامین نام حیوان خانگی؟ 1991.

با این حال، چنین تکنیکی، در صورت فراگیر شدن، در برنامه های مربوطه مورد توجه قرار می گیرد. پاسخ‌های پوچ اغلب کلیشه‌ای هستند، یعنی برخی از عبارات بسیار بیشتر از عبارات دیگر مواجه می‌شوند.

در واقع استفاده از پاسخ های واقعی ایرادی ندارد، فقط باید سوال را هوشمندانه انتخاب کنید. اگر سوال غیر استاندارد است و پاسخ آن فقط برای شما شناخته شده است و پس از سه بار تلاش نمی توان حدس زد، پس همه چیز درست است. مزیت راستگو بودن این است که به مرور زمان آن را فراموش نمی کنید.

پین

شماره شناسایی شخصی (PIN) یک قفل ارزان قیمت است که پول ما به آن سپرده می شود. هیچ کس زحمت ایجاد ترکیبی مطمئن تر از حداقل این چهار عدد را نمی دهد.

حالا بس کن همین الان. در حال حاضر، بدون خواندن پاراگراف بعدی، سعی کنید محبوب ترین پین را حدس بزنید. آماده؟

نیک بری تخمین می زند که 11 درصد از جمعیت ایالات متحده از 1234 به عنوان پین استفاده می کنند (جایی که می توانند خودشان آن را تغییر دهند).

هکرها به کدهای پین توجهی نمی کنند زیرا این کد بدون حضور فیزیکی کارت بی فایده است (این می تواند تا حدودی کوتاه بودن کد را توجیه کند).

بری فهرستی از رمزهای عبور چهار رقمی را که پس از افشای اطلاعات در شبکه ظاهر شد، گرفت. شخصی که از رمز عبور 1967 استفاده می کند احتمالاً آن را به دلیلی انتخاب کرده است. دومین پین محبوب 1111 است و 6 درصد از مردم این کد را ترجیح می دهند. در رتبه سوم 0000 (2%) است.

فرض کنید شخصی که این اطلاعات را می داند یک کارت بانکی در دست دارد. سه بار تلاش برای مسدود کردن کارت. ریاضیات ساده نشان می دهد که اگر این شخص 1234، 1111 و 0000 را به ترتیب وارد کند، 19٪ احتمال دارد که پین خود را حدس بزند.

احتمالاً به همین دلیل است که اکثریت قریب به اتفاق بانک‌ها برای کارت‌های پلاستیکی صادر شده خود پین کد اختصاص می‌دهند.

با این حال، بسیاری از مردم از گوشی‌های هوشمند با کد پین محافظت می‌کنند و در اینجا رتبه‌بندی محبوبیت زیر اعمال می‌شود: 1234، 1111، 0000، 1212، 7777، 1004، 2000، 4444، 2222، 6969، 9999، 35638، 35638، ، 4321، 2001، 1010.

اغلب، پین نشان دهنده یک سال (سال تولد یا تاریخ تاریخی) است.

بسیاری از مردم دوست دارند پین ها را به شکل جفت اعداد تکرار شونده بسازند (علاوه بر این، جفت هایی که اعداد اول و دوم با یک تفاوت دارند بسیار محبوب هستند).

صفحه کلیدهای عددی دستگاه های تلفن همراه ترکیباتی مانند 2580 را در بالا نمایش می دهند - برای تایپ آن کافی است یک گذر مستقیم از بالا به پایین در مرکز ایجاد کنید.

در کره، عدد 1004 با کلمه "فرشته" همخوان است که این ترکیب را در آنجا بسیار محبوب می کند.

نتیجه

1. به random.org بروید و 5-10 رمز عبور نامزد را در آنجا ایجاد کنید.
2. رمز عبوری را انتخاب کنید که بتوانید آن را به یک عبارت به یاد ماندنی تبدیل کنید.
3. از این عبارت برای به خاطر سپردن رمز عبور خود استفاده کنید.