چگونه هکرها کلمات عبور ضعیف شما را شناسایی می کنند؟

  • 1389/1/30
  • محمدرضا ارجمندی
  • 4


آقای جان پوزادزیدز(Pozadzides)کارشناس استانداردهای اینترنت ، مدیر عامل شرکت اینترنتی  آزمایشگاهای iFusion ، و وبلاگ نویس می گوید دو چیز مهم در مورد رمز امنیتی کاربران اینترنت می داند  در واقع او دقیقا می داند که چگونه کلمات عبور ضعیف کاربران اینترنت را هک کند.

یادتان باشد هدف از این مقاله هک کردن کلمه عبور ضعیف کاربران دیگر نیست بلکه هدف،کمک به شما در درک بهتر امنیت پسورد های شما و آشنایی با ایجاد امنیت برای آنهاست.

ادامه مقاله به قلم او:

اگر شما من را به تلاش برای کرک رمز عبور خود دعوت میکنید ، شما از کسی خواسته اید این کار را بکند که  بارها و بارها انجام داده درست به تعداد بازدید شما از صفحات مختلف وب! حدس می زنید پیدا کردن کلمات عبور شما برای من چه قدر طول می کشد؟!

ملاحظه کنید! در اینجا من لیست 10تایی خودم را آوردم. من می توانم بیشتر این اطلاعات را بسیار ساده تر از آنچه فکر می کنید بدست بیاورم، سپس من می توانم  به ایمیل شما ، کامپیوتر ، بانکداری آنلاین شما و … دسترسی داشته باشم. بالاخره و در اکثر موارد ، اگر من به یکی از کلمات عبور دسترسی پیدا کنم،احتمالا بقیه کلمات رو هم دارم( کلمات عبور مشابه اند)

1-نام کوچک شریک (یا همسرتان) ، فرزند شما ، و یا نام حیوان خانگی تان ، و احتمالا عدد 0 یا 1 بعد از نام(زیرا وب سایتها همیشه شما را مجبور به استفاده اعداد در نام عبور می کنند.اینطور نیست؟)

2-4 رقم آخری شماره امنیت اجتماعی خود (یا شناسنامه یا کارت ملی)

3-اعداد 123 یا 1234 یا 123456.

4-خود کلمه “رمز” یا معادل انگلیسی آن”password”

5-نام شهر یا روستای شما ، نام کالج یا مدرسه یا دانشگاهتان، نام تیم فوتبال مورد علاقه تان.

6-تاریخ تولد  شما ، همسرتان یا فرزندتان.

7-نام “خدا” یا “god”.

8-“letmein” یا معادلش”بگذار وارد شوم”.

9-“پول” یا “money”.

10-“عشق” یا “love”.

به زبان آمار ، احتمالا این 10 مورد حدود 20 ٪ از کلمات عبور شما خوانندگان را پوشش خواهد داد. اما نگران نباشید. اگر جز این گروه نیستیدمن آن را تا دقایقی دیگر کشف خواهم کرد….

هکرها ، و  منجمله من در زمان کشف پسورد شما به مسائل اخلاقی یا افشای اطلاعات خصوصی شما نمی اندیشیم و ابزار های زیادی برای دسترسی به اطلاعات خصوصی شما در اختیار داریم. و عامل اصلی در ایمن ماندن اطلاعات شما، یا درز ان به بیرون ، رمز عبوری است که  شما انتخاب می کنید (جالب اینجاست که مردم بهترین محافظت را از چیزی می کنندکه کمترین اهمیت را دارد!)

یکی از ساده ترین راهها برای به دست آوردن دسترسی به اطلاعات شما از طریق استفاده از (Brute Force Attack) است. این روش به این صورت است که  یک هکر با استفاده از یک قطعه خاص از نرم افزار آماده شده مختص این منظور تلاش می کند برای ورود به سایتی خاص با استفاده از رمز ورود شما. وب سایت Insecure.org لیست 10 تایی از مهم ترین نرم افزار های رایگان کشف کلمه عبور را لیست کرده که در اینجا می توانید انها را ببینید.

بنابراین ، چگونه کسی با استفاده از این فرایند می تواند امنیت شخصی شما را نقض کند؟  به سادگی. به منطق من توجه کنید :

-شما احتمالا کلمه عبور یکسان برای بسیاری از موارد استفاده می کنید،بله؟

-برخی سایت هایی که شما به انها دسترسی  داریداز قبیل سایت بانک یا محل کار شما احتمالا امنیت شبکه مجازی بسیار مناسب و معقولی دارند ،بنابراین من قصد و توان حمله به آنها  را ندارم.

-با این حال ، سایت های دیگری مانند Hallmark  ارائه دهنده کارت های تبریک ایمیلی ، یا مثلا فروم آنلاین که مکررا با آن سر وکار دارید و یا سایتهای تجارت و خرید الکترونیکی که شما از انها خرید می کنید ممکن است از امنیت کافی برخوردار نباشند بنابراین شکار خوبی برای هکر ها هستند.

-بنابراین ، اکنون همه کاری که  ما باید انجام دهیم استفاده از Brutus ، wwwhack ، یا THC Hydra بر روی سرور آن سایت با ویژگی و امکان ساخت 10,000 (یا 100,000، هر مقدار که شما را راضی می کند!) نام کاربری مختلف و رمزهای عبور با سرعت زیاد است

-زمانی که ما چند جفت رمز ورود + کلمه کاربری ساختیم پس از آن میتوانیم برگردیدیم و آنها  را در سایت های  مورد نظر تست کنیم.

-اما صبر کنید… چگونه من و هکرها می دانیم که شما از کدام بانک استفاده می کنید و شناسه کاربری شما برای ورود به سایتهای متداول شما چیست؟ خیلی ساد!اطلاعاتی از این دست به صورت  کوکی ها در کش مرورگر شما ذخیره می شود (این نوشته را بخوانید تا راه حل رفع این درز امنیتی را بدانید.)

و این کار با چه سرعتی می تواند انجام پذیرد؟ خوب، این کار بستگی به سه چیز اصلی دارد:طول و پیچیدگی رمز عبور خود ، سرعت کامپیوتر هکر ، و سرعت اینترنت هکر.

با این فرض منطقی که هکر ارتباط اینترنت و کامپیوتر سریعی داشته باشد در زیر برآورد مقدار زمان لازم برای کشف کلمه عبور بر اساس تمامی ترکیبات ممکن از اعداد یا کارکتر های به دست آمده، آورده شده. بعد از پیدا کردن کاراکترها ییا اعدا مسئله تنها زمان است که یا کامپیوتر موفق به لیست کردن تمامی حالتهای ممکن می شود یا آنقدر این عمل طول می کشد که کامپیوتر را هکر خاموش می کند چون بی نتیجه است!

به اختلاف زمان میان کشف کلمه عبوری که تنها از کاراکترهای(حروف الفبایی)کوچک استفاده کرده با کلمه ای که از تمامی کاراکتر ها(حروف کوچک ،بزرگ و کاراکترهای خاص مانند@#$%^&*)استفاده کرده توجه کنید!.مثال: افزودن تنها یک حرف بزرگ به جای کوچک و  یک کارکتر ستاره به جای یکی از حروف کوچک زمان کشف رمز 8 کاراکتری را از 2.4 روز به 2.1 قرن افزایش می دهد!

به یاد داشته باشید ، این ارقام فقط برای کامپیوترهای متوسط بوده، و با این فرض بدست آمده که هکرها از هیچ فرهنگ لغت  برای حذف کلمات بی معنی برای کشف پسورد استفاده نکنند. اگر  به طور مثال از دیکشنری گوگل استفاده کنند 1000 بار سریعتر از اعداد بالا می توانید به کشف رمز بپردازند.

حالا ، من هکر می توانم  با صرف ساعت ها و ساعت ها با دانستن انواع روش های امنیتی به کشف رمز شما پرداخته خود را و به طور کلی زندگی را برای شما پر از بدبختی کنم! — اما 95 ٪ از کسانی که با این روش زندگی خود را به خطر انداختنه اند رمز عبور خود را ضعیف انتخاب کرده اند. پس چرا با انتخاب یک رمز عبور قوی به تنهایی از خودتان محافظت نمی کنید تاشب ها راحت بخوابید؟!

باورکنید! ، درک می کنم نیاز به انتخاب رمز عبوری دارید که به یاد ماندنی باشد. اما اگر شما قصد انجام این کار را دارید چه طور است چیزی انتخاب کنیدکه هیچ کس تا حالا حدسش هم نزده یا کلمه یا اصطلاح رایجی نیست.

برخی نکات برای کلمه عبور مناسب و قوی :

1-به طور تصادفی اعداد شبیه حروف را جایگزین آنها کنید.مثلا حرف o با ‘0’ جایگزین شود ، و یا حتی بهتر با ‘@’ یا ‘*’. (مثال: modelTford بهm0d3ltf0rd)

2-تصادفی در رمز خود بعضی حروف را بزرگ تایپ کنید (به عنوان مثال — Mod3lTF0rd)

3-می توانید چیزی را  انتخاب کنیدکه شما وقتی جوان تر بودید به آن دلبسته بودید ، اما نام آن را انتخاب نکنید!چون هر رمز نامی با یک دیکشنری به علاوه یک برنامه ساده brute force attack به سادگی شکست می خورد.

4-شاید نام جایی را  که دوست دارید ، و یا نام یک ماشین خاص ، یک جاذبه گردشگری از تعطیلات ، یا رستوران های مورد علاقه.

5-شما واقعا نیاز به ترکیبات مختلف نام کاربری / کلمه عبور برای همه موارد استفاده دارید. به یاد داشته باشید روش هکرها این است که با کشف یکی از رمز ها به شکل استاندارد رمز های عبور شما دست یابند. ، این روش  کار نمی کند اگر شما در همه جا از یک رمز عبور استفاده نکنید.

6-از آنجا که به خاطر داشتن تعداد فراوان کلمات عبور دشوار است ، توصیه میکنم کاربران ویندوز از برنامه Roboform استفاده کنند. این برنامه همه کلمات عبور شما را در قالب رمزگذاری شده ذخیره و به شما اجازه دسترسی به همه را  تنها با یک رمز عبور که شما برای برنامه تعریف می کنید می دهد. علاوه بر این برنامه به صورت خودکار فرم ها را در صفحات وب پر کرده و شما حتی می توانید لیست رمز ورود خود را در کامپیوتر جبیی،تلفن همراه،یا حافظه قابل حمل همراه خود داشته باشید. اگر دوست دارید آن را بدون نیاز به حرکت در وب سایت و در این مقاله دانلود کنید اینهم لینک دانلود مستقیم. (توجه داشته باشید : هکرهای حرفه ای عاشق برنامه متن باز KeePass برای این وظیفه هستند، در حالی که دیگر از برنامه مبتنی بر مرورگر LastPass.استفاده می کنند.)

7-کاربران مکینتاش از Password1 می توانید استفاده کنید. این برنامه اساسا چیزی شبیه برنامه Roboform است که مختص کاربران مک بوده به و حتی برنامه مختص گوشی آیفون را هم دارد ، بنابراین شما می توانید رمزها را همراه با خود داشته باشید.

8-در آخر هنگامی که شما با تفکر رمز عبوری را انتخاب کردید، سعی کنید از برنامه مایکروسافت مختص تست امنیت رمز عبور(Microsoft’s password strength tester)برای مشخص کردن قدرت رمز عبور خود استفاده کنید.

بنا به درخواست شما یک فیلم کوتاه برای برنامه RoboForm آماده کردم که می توانید اینجا آن را مشاهده نمایید.

مطلب دیگری که باید به خاطر داشته باشید این است که برخی از کلمات عبور شما فکر می کنید پیش پا افتاده اند در واقع بسیار هم مهم اند! برای مثال ، برخی از مردم فکر می کنند که رمز عبور صندوق ایمیلشان مهم نست زیرا “من هیچ چیز مهمی در آن ندارم.” خوب ، این صندوق ایمیل احتمالا به حساب آنلاین بانکی شما متصل است. اگر من نتوانم وارد حساب بانکی خود شوم برای مثال رمز ورود خود را فراموش کرده باشم به بانک اعلام می کنم و بانک هم یک رمز ورود جدید به ایمیل من می فرستد. حالا باز هم فکر می کنید دانستن رمز ورود ایمیل شما برای هکرها آسیبی به شما نمی زند؟

اغلب اوقات مردم دلیل می آورند که  تمام کلمات عبور شان را  بر روی کامپیوتر خود در خانه ، جایی که به دلیل نصب دیوار های آتش(فایروال ها)امن است ذخیره کرده اند.. البته که آنها هرگز نگران تغییر رمز پیش فرض کامپیوتر خود نیستند پس هکری می تواند نزدیک خانه ما پارک کرده، با استفاده از لپ تاپ خود به شبکه های بی سیم محلی نفوذ کرده و سپس سعی کنید کلمه عبورشما را از لیست بدست آمده پیدا کرده  و آن وقت است که مصیبت تازه شروع می شود!

من می دانم که هر روز افرادی  مقالاتی را می نویسند که بیش از حد ما را برای پیدا کردن راههای مبارزه با هکرها و جلوگیری از هک شدن به فعالیت وا می دارند. ، باور داشته باشید که مطالب و خطراتی که در این مقاله گفته شد فقط گوشه ای از خطرات احتمالی است که در کمین شماست. حداقل 50 روش دیگری برای به مخاطره انداختن پیسورد شما و سپس سرزنش خود از نحوه انتخاب این پسورد وجود دارد که در این مقاله  به آن اشاره نشده است.

همچنین متوجه هستم که اکثر مردم به این حرف ها اهمیتی نمی دهند تا زمانی که بسیار دیر شده و و تجربه تلخی را داشته اند. اما چرا به خودتان لطفی نمی کنید و اقدام کمی برای تقویت رمزهای عبور خود انجام نمی دهید تا حس کنم نوشتن این مقاله بیهوده نبوده؟

لطفا ، مراقب باشید.آن بیرون خطر در کمین شماست.

اگر دوست دارید به مصاحبه من با Connecticut Public Radio در مورد امنیت رمز عبور گوش کنید اینجا کلیک کنید.

منبع: lifehacker

دیدگاه خود را وارد کنید
تعداد دیدگاه ها : 4 دیدگاه
  1. میشه وقتی وارد ایمیل میشی پسورد خودتو ببینی یعنی جایی هست که بشه پسورد خودتو وهمین طور پسورد قبلیتو ببینی؟؟

  2. من نفهمیدم این حرفش یعنی LastPass خوبه یا بد ؟!!!
    “(توجه داشته باشید : هکرهای حرفه ای عاشق برنامه متن باز KeePass برای این وظیفه هستند، در حالی که دیگر از برنامه مبتنی بر مرورگر LastPass.استفاده می کنند.)”

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *