چگونه هکرها را ناامید کنیم
مدیرکل |
انتخاب
یک کلمه عبور خوب و قوی چقدر مشکل است؟ بیشتر مردم اعتقاد دارند که انتخاب
یک کلمه عبور خوب ساده است. اما در حقیقت اغلب مردم معمولا کلمات عبور
ضعیفی انتخاب می کنند. در سال 1990 تلاش برای نفوذ به یک پایگاه داده بزرگ
از کلمات عبور منجر به کشف بیش از 300 کلمه عبور در همان 15 دقیقه اول شد!
یک پنجم از کلمات عبور در هفته اول و تقریبا یک چهارم از آنها تا پایان
عملیات پیدا شدند. بیش از نصف کلمات عبوری که مورد نفوذ قرار گرفته بودند
از شش کاراکتر یا کمتر تشکیل شده بودند و برخی از حسابهای کاربری اصلا کلمه
عبور نداشتند! انتخاب یک کلمه عبور مناسب در حقیقت مصالحه ای بین انتخاب
چیزی است که به سختی حدس زده می شود و چیزی که به راحتی به خاطر سپرده می
شود. برای مثال ممکن است @G7x.m^l یک کلمه عبور خوب باشد، در حالیکه هیچکس
نمی تواند آن را به راحتی به خاطر بسپارد. برعکس، به خاطر سپردن نام شما
برای شما کار بسیار بسیار ساده ای است و در مقابل حدس زدن آن نیز برای
هکرها کار ساده ای خواهد بود.
برخی قوانین ساده و اولیه
برخی راهکارهای ساده برای انتخاب کلمه عبور مناسب عبارتند از:
-
یک کلمه عبور حداقل باید از 8 کاراکتر تشکیل شده باشد.
-
سعی کنید برخی علائم نگارشی یا ارقام را در کلمه عبور خود وارد کنید.
-
بهتر است کلمه عبور شما از ترکیبی از حروف بزرگ و کوچک الفبا تشکیل شده باشد.
-
یک عبارت یا ترکیبی از کلمات را انتخاب کنید تا به خاطر سپردن کلمه عبور کار ساده تری گردد.
-
کلمه ای که در یک دیکشنری از جمله دیکشنریهای زبانهای دیگر وجود داشته باشد را انتخاب نکنید.
-
حروفی را که روی صفحه کلید پشت سر هم قرار دارند مانند qwertyui انتخاب نکنید.
-
هیچ کاراکتری را بیش از یکبار بصورت پشت سر هم تکرار نکنید.
-
فقط از علائم نگارشی یا ارقام یا حروف الفبا استفاده نکنید. بلکه ترکیبی از آنها را بکار ببرید.
-
کلماتی که به سادگی قابل حدس زدن هستند انتخاب نکنید، مانند:
-
شماره تلفنها
-
شماره اتومبیل
-
اسامی دوستان یا خویشاوندان
-
نام یا جزئیات کار خود
-
تاریخ
-
-
هرگز نام کاربری خود را بعنوان کلمه عبور استفاده نکنید.
-
از کلمات عبور متفاوت برای حسابهای کاربری مختلف استفاده کنید.
-
کلمات عبور خود را هر از گاهی تغییر داده و از کلمات عبور قدیمی خود دوباره استفاده نکنید.
-
یک رقم یا علامت نگارشی را درست به ابتدا یا انتهای یک کلمه اضافه نکنید.
-
از معکوس کلمات معنی دار استفاده نکنید.
-
حروف را با ارقامی که از نظر ظاهری به آنها شبیه هستند جایگزین نکنید. برای مثال جایگزین کردن تمامی حروف I در کلمه عبور با رقم 1 کار درستی نیست.
شکستن کلمات عبور
ایده ای که پشت
شکستن کلمات عبور وجود دارد بی نهایت ساده است: یک فهرست بزرگ از کلمات
انتخاب می شود، هر کلمه رمز شده و سپس چک می شود که آیا کلمه رمز شده با
کلمه عبور کاربر همخوانی دارد یا خیر. این فهرست کلمات معمولا با استفاده
از دیکشنریهای زبان انگلیسی و سایر زبانها، اسامی معمول، اسامی حیوانات،
شخصیتهای تلویزیونی و سینمایی، حروف پشت سر هم روی صفحه کلید و اصطلاحات
بدست می آید. برای اینکه فرد هکر بتواند کلماتی را که درون فهرست کلماتش
وجود ندارد و ممکن است کاربر انتخاب کرده باشد به دست آورد، یک مجموعه بزرگ
از قوانین ساده را به هر یک از کلمات داخل فهرست اعمال کرده و چک می کند
که آیا کلمه به دست آمده همان کلمه عبور کاربر است یا خیر. این قوانین شامل
افزودن ارقام یا علائم نگارشی به ابتدا یا انتهای کلمات، معکوس کردن
کلمات، تبدیل کلمات به حروف بزرگ، جایگزین کردن حروف با ارقام یا حروف
مشابه دیگر و ... می باشد. از آنجاییکه کامپیوترها سریع هستند، اعمال این
قوانین و رمز کردن نتیجه زمان زیادی مصرف نمی کند و حدسهای زیادی در زمان
کوتاهی قابل انجام است. بعلاوه یک پایگاه داده روی یک CD که تمامی کلمات یک
دیکشنری بزرگ را به همراه بسیاری از قوانینی که این کلمات را رمز می کند
داراست، عملیات پیدا کردن کلمه عبور را به یک جستجوی ساده در یک پایگاه
داده تبدیل می کند.
یک کلمه عبور خوب از چند کاراکتر تشکیل شده؟
یک جواب ساده به این
سوال این است که معمولا یک کلمه طولانیتر بهتر است. تصور کنید که شما
ترکیب معناداری از کاراکترها را بعنوان کلمه عبور خود انتخاب کرده اید. فرض
کنید این ترکیب شامل حروف و ارقام باشد. جدول زیر نشان می دهد که تعداد
کلماتی که با این ترکیب با درنظر گرفتن طولهای متفاوت می توان ساخت چقدر
است. همچنین زمان لازم برای حدس زدن یک کلمه عبور نیز تخمین زده شده است.
| طول کلمه عبور | تعداد کلماتی که با این طول می توان ساخت | زمان لازم برای حدس زدن این کلمه |
| 1 | 62 | بصورت دستی می توان آن را پیدا کرد |
| 2 | 3844 | زمان چندانی لازم نیست |
| 3 | 238328 | کمتر از یک ثانیه |
| 4 | 14776336 | دو ثانیه |
| 5 | 916132832 | دو دقیقه و نیم |
| 6 | 56800235584 | دو ساعت و نیم |
| 7 | 3521614606208 | یک هفته |
| 8 | 218340105584896 | یک سال |
| 9 | 13537086546263552 | هفتاد سال |
| 10 | 839299365868340224 | چهار قرن |
| 11 | 5203656068387093888 | دویست و پنجاه هزار سال |
| 12 | 3226266762397899821056 | شانزده میلیون سال |
البته باید توجه داشت که بسیاری از سیستمها طول یک کلمه عبور را محدود می کنند و کلمه عبوری را که شما وارد کرده اید به اندازه مورد قبول خود تغییر می دهند. از آنجایی که در سیستمهای یونیکس طول کلمه مورد قبول معمولا 8 کاراکتر است، در ادامه این مقاله فرض بر این قرار گرفته است که یک کلمه عبور با طول 8 کاراکتر مورد استفاده قرار می گیرد.
یک کلمه عبور خوب باید از چه کاراکترهایی تشکیل شده باشد؟
در قسمت قبل فرض شده
بود که کلمات عبور از حروف کوچک و بزرگ و ارقام تشکیل شده باشند. اما اگر
این مجموعه کاراکترها را کاهش یا افزایش دهیم چه اتفاقی می افتد؟ جدول زیر
برخی گزینه ها را در مورد کلمات عبور متشکل از 8 کاراکتر بیان می دارد:
| نوع کلمه عبور | تعداد کاراکترها | تعداد کلمات عبور | زمان نفوذ |
| ASCII 7 بیتی | 128 | 72057594037927936 | سیصد و پنجاه سال |
| کاراکترهای قابل نمایش | 95 | 6634204312890625 | سی و سه سال |
| حروف و ارقام | 62 | 218340105584896 | یک سال |
| فقط حروف | 52 | 53459728531456 | نود و شش روز |
| حروف کوچک با یک حرف بزرگ | 26/خاص | 1670616516608 | سه روز |
| فقط حروف کوچک | 26 | 208827064576 | نه ساعت |
| کلمات انگلیسی (8 حرفی یا بیشتر) | خاص | 250000 | کمتر از یک ثانیه |
بنابراین واضح است که هرچه انواع کاراکترهای بیشتری مورد استفاده قرار بگیرد نفوذ به کلمه عبور سخت تر خواهد بود. شما باید سعی کنید حداقل ترکیبی از حروف کوچک و بزرگ را بکار بگیرید، همچنین باید از ارقام، علائم نگارشی و یا کدهای کنترلی نیز در کلمه عبور خود استفاده کنید.
کلمات عبوری که به ندرت استفاده می شوند
فقط یک حالت وجود
دارد که نوشتن کلمه عبور ایده خوبی است و آن زمانی است که زیاد از آن کلمه
عبور استفاده نمی کنید. برای مثال کلمه عبور اصلی یک سرور معمولا هر روز
مورد استفاده قرار نمی گیرد. در چنین شرایطی بهتر است کلمه عبوری طولانی و
پیچیده انتخاب کنید که به خاطر سپردن آن بسیار سخت باشد، سپس آن را یادداشت
کرده و در محل امنی نگهداری کنید. زمانی که نیاز باشد از کلمه عبور
استفاده کنید آن را از محل خود خارج کرده و پس از وارد کردن کلمه عبور نیز
دوباره آن را در محل امن خود قرار دهید. این کلمه عبور نیز باید هر از گاهی
تغییر کند. البته قطعا شرایط فرق می کند. اگر شما فکر می کنید که امکان
دارد کلمات عبور خود را فراموش کنید، شاید بهتر باشد که از کلمه عبور
پیچیده ای استفاده کرده و آن را یادداشت نمایید. فقط به خاطر داشته باشید
که اگر کسی به یادداشت شما دسترسی پیدا کند در اینصورت به سادگی می تواند
وارد سیستم شود. هیچ یادداشت حاوی کلمه عبوری نباید نزدیک کامپیوتر شما و
یا نزدیک جایی که اطلاعات شخصی شما نگهداری شود. آن را در جایی امن نگهداری
کنید. یک کشوی قفل شده بسیار بهتر از کیف پول شماست.
مثالهایی از کلمات عبور خوب
تا کنون راجع به
کلمات عبور بد بحث کرده ایم. یک کلمه عبور خوب چگونه ساخته می شود؟ سعی
کنید دو یا چند کلمه را با هم ترکیب کنید یا حروف اول (یا دوم یا آخر)
کلمات یک عبارت را کنار هم قرار داده و کلمه جدیدی بسازید. سپس در قسمتهای
مختلف کلمه بدست آمده از حروف بزرگ، ارقام و علائم نگارشی استفاده کنید.
علاوه بر اینها می توانید کاراکترهای کنترلی را نیز اضافه کنید.
مثالهایی از کلمات عبور چند کلمه ای
در اینجا مثالهای خوبی از چند کلمه ارائه شده است:
-
g0t%L0st! که از عبارت got lost! بدست آمده است
-
heLP4me$ که از عبارت help for me (money) بدست آمده است
اینجا نیز یک کلمه عبور بد را می بینید: -
T0gether
مثالهایی از کلمات عبور با استفاده از یک عبارت
در اینجا سه مثال خوب برای کلمات عبور با استفاده از یک عبارت بیان شده است:
-
rsKf0myH با استفاده از عبارت Raindrops keep falling on my head
-
wru2rxy? با استفاده از عبارت Who are you to ask why
-
bWilIso3! با استفاده از عبارت Beware the ides of March
در اینجا نیز یک کلمه عبور بد با استفاده از یک عبارت مشاهده می کنید: -
Aaaaaaaa با استفاده از عبارت Always assert an ambiguous axiom and argue aggressively
کلمات عبوری که هرگز نباید استفاده کنید
در اینجا
فهرستی از 500 کلمه عبور مشاهده می کنید که هرگز نباید مورد استفاده قرار
بگیرند. شما کلمات عبوری را که بعنوان کلمه عبور ضعیف در این مقاله مطرح شد
نیز به این مجموعه اضافه کنید. ضمنا از کلمات عبوری که در مقلات به عنوان
کلمه عبور خوب معرفی می شوند نیز استفاده نکنید بلکه بر اساس قوانین گفته
شده اقدام به ساخت یک کلمه عبور کنید.
منبع:
http://www.auscert.org.au
منبع:
http://www.auscert.org.au
