روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گرچه روز جهانی پسورد را که همه ساله در اولین پنجشنبه‌ی ماه می برگزار می‌شود رد کردیم اما امید داریم هرگز امنیت پسورد را پشت گوش نیاندازید و همیشه حواستان به آن باشد. به جای تحلیل پسوردهای مصنوعیِ اصطلاحاً لوله آزمایشی که برای مطالعات آزمایشگاهی ساخته می‌شوند، سعی کردیم در جهان واقعی بمانیم و پسوردهای واقعی نشت‌شده در دارک‌وب را بررسی کنیم. نتایج هشداردهنده بودند: 59 درصد این پسوردها می‌توانند در کمتر از یک ساعت کرک شوند و تنها یک کارت گرافیکی مدرن و کمی مهارت نیاز است. مقاله امروز توضیح می‌دهد چطور هکرها دست به این کار می‌زنند و چطور می‌شود جلوی این اتفاق را گرفت (خطر اسپویل: از محافظت مطمئن استفاده کرده و به طور خودکار پسوردهای خود را چک کنید تا نشتی‌ها پیدا شوند).

راه معمول کرک کردن پسورد

ابتدا، بیایید شفاف‌سازی کنیم که منظورمان از کرک کردن پسورد چیست: ما داریم در مورد کرک کردن هش پسورد می‌گوییم، همان توالی منحصر به فرد کاراکترها که بازنمایی رمزعبور هستند. شرکت‌ها معمولاً پسوردها را به یکی از سه روش زیر ذخیره می‌کنند:

•         این ساده‌ترین و واضح‌ترین راه است: اگر رمز عبور کاربر مثلاً qwerty12345 باشد، در سرور شرکت به‌عنوان qwerty12345 ذخیره می‌شود. اگر نقض داده رخ دهد، هکر فقط باید رمز عبور را با نام کاربری مربوطه وارد کند تا وارد شود. البته اگر احراز هویت دو مرحله ای وجود نداشته باشد، اما حتی در آن صورت، مجرمان سایبری گاهی اوقات می توانند رمزهای عبور یکبار مصرف را رهگیری کنند.
•         این روش از الگوریتم‌های هش مانند MD5 و SHA-1 برای تبدیل هر رمز عبور به یک مقدار هش منحصر به فرد در قالب یک رشته کاراکتر با طول ثابت استفاده می‌کند که در سرور ذخیره می‌شود. هنگامی که کاربر رمز عبور خود را وارد می‌کند، سیستم توالی ورودی کاراکترها را به یک هش تبدیل و آن را با رمز ذخیره شده در سرور مقایسه می‌کند. اگر مطابقت داشته باشند، رمز عبور صحیح است. در اینجا یک مثال آورده شده است: اگر رمز عبور شما همان qwerty12345 است، سپس به SHA-1 ترجمه شده است، به نظر می رسد: e17a448e043206801b95de317e07c839770c8b8. . هکرهایی که این هش را به دست می آورند باید آن را به qwerty12345 بازگردانند (این همان قسمت کرک کردن پسورد است)، به عنوان مثال، با استفاده از جداول رنگین کمان. پس از آن می‌توان از یک رمز عبور شکسته برای دسترسی نه تنها به سرویس آسیب‌دیده، بلکه برای دسترسی به سایر حساب‌هایی که رمز عبور مجدداً استفاده شده است استفاده کرد.
•         هش نمک‌سود شده! : این روش قبل از هش کردن، یک توالی تصادفی از داده‌ها را که به عنوان salt ی نمک شناخته می‌شود، به هر رمز عبور اضافه می‌کند. نمک می تواند ساکن باشد یا به صورت پویا تولید شود. یک دنباله رمز عبور + نمک به الگوریتم وارد شده که منجر به یک هش متفاوت می‌شود. بنابراین، جداول رنگین کمان از پیش محاسبه شده برای هکرها بی فایده می‌شوند. استفاده از این روش برای ذخیره پسوردها، شکستن آنها را بسیار دشوارتر می‌کند.

ما برای مطالعه خود، یک پایگاه داده از 193 میلیون رمز عبور فاش شده در متن ساده تشکیل دادیم. ما آنها را در وب تاریک یافتیم، جایی که چنین "گنجینه هایی" اغلب به صورت رایگان در دسترس هستند.  از این پایگاه داده برای بررسی گذرواژه‌های کاربر برای نشت احتمالی استفاده کردیم - اما مطمئن باشید که هیچ رمز عبوری را ذخیره نمی‌کنیم یا حتی نمی‌بینیم. می‌توانید در مورد ساختار داخلی مخزن رمز عبور در Kaspersky Password Manager و اینکه چگونه بدون دانستن رمزهای عبور شما، آنها را با رمزهای فاش شده مطابقت می‌دهیم، بیشتر بخوانید.

هزینه کرک کردن پسورد

GPUهای مدرن بهترین ابزار برای تجزیه و تحلیل قدرت رمز عبور هستند. به عنوان مثال، RTX 4090 همراه با ابزار بازیابی رمز عبور هش کت به نرخ 164 میلیارد هش در ثانیه (GH/s) برای هش MD5 نمکی دست می‌یابد. بیایید رمز عبوری 8 کاراکتری را با استفاده از حروف لاتین (یا تمام حروف کوچک یا بزرگ) و اعداد (36 کاراکتر ممکن در هر موقعیت) تصور کنیم. تعداد ترکیبات منحصر به فرد ممکن 2.8 تریلیون است (با افزایش 36 به توان هشت محاسبه می شود). یک CPU قدرتمند با قدرت پردازش 6.7 گیگا هش در ثانیه GH/s) ) می‌تواند چنین رمز عبوری را در هفت دقیقه به‌اجرا کند. اما RTX 4090 فوق الذکر آن را تنها در 17 ثانیه مدیریت می‌کند. این درحالیست که چنین پردازنده گرافیکی پیشرفته‌ای حدود 2000 دلار آمریکا قیمت دارد، حتی مهاجمینی که قادر به دستیابی به آن نیستند، می‌توانند به راحتی قدرت محاسباتی را تنها با چند دلار در ساعت اجاره کنند. اما اگر آنها یک دوجین RTX 4090 را به یکباره اجاره کنند چه؟ این قدرت کافی برای پردازش نشت‌های گسترده پایگاه داده هش را به راحتی دارد.

59 درصد پسوردها در کمتر از یک ساعت قابل کرک کردن هستند

ما با استفاده از جستجوی فراگیر و الگوریتم‌های حدس هوشمند، قدرت پسورد را تست کردیم. گرچه جستجوی فراگیر در تمام ترکیب‌های ممکن کاراکترها تکرار می‌شود تا در نهایت مچ را پیدا کند اما الگوریتم‌های حدس هوشمند روی مجموعه داده‌های پسورد آموزش دیدند تا فرکانس ترکیب‌ کاراکترهای مختلف را محاسبه کرده و از شایع‌ترین ترکیب‌ها تا نادرترینشان را انتخاب کنند. در نسخه کامل تحقیق ما در مورد Securelist می‌توانید اطلاعات بیشتری در مورد الگوریتم های مورد استفاده مطالعه کنید. نتایج نگران کننده بود: 45 درصد از 193 میلیون پسورد واقعی تحلیل‌شده توسط ما (یعنی 87 میلیون پسورد!) می‌توانستند در کمتر از یک دقیقه، 59 درصد در عرض یک ساعت، 67 درصد در عرض یک ماه توسط الگوریتم هوشمند کرک شده و صرف 23 درصد از پسوردها را می‌شد حقیقتاً حقیقی دانست- و خوب همان‌ها هم باز برای کرک تنها به بیش از یک سال زمان نیاز داشتند.

مهم است توجه داشته باشید که کرک تمام رمزهای عبور در پایگاه داده زمان زیادی از کرک فقط یک رمز عبور (!) نمی‌برد. در هر تکرار، با محاسبه هش برای ترکیب بعدی کاراکترها، مهاجم بررسی می‌کند که آیا همان مورد در پایگاه داده عمومی وجود دارد یا خیر. اگر چنین شود، رمز عبور مورد نظر به عنوان "کرک‌شده" علامت گذاری می شود، پس از آن الگوریتم به حدس زدن سایر رمزهای عبور ادامه می‌دهد.

چرا الگوریتم حدس هوشمند، مؤثر است؟

انسان‌ها قابل پیش‌بینی هستند. ما به ندرت گذرواژه‌های واقعاً تصادفی را انتخاب می‌کنیم و تلاشمان برای تولید آنها در مقایسه با ماشین‌ها کمرنگ است. ما به عبارات، تاریخ‌ها، نام‌ها و الگوهای رایج متکی هستیم – دقیقاً همان چیزی که الگوریتم‌های کرک هوشمند برای بهره‌برداری طراحی شده‌اند. علاوه بر این، مغز انسان به گونه‌ای است که اگر از عده‌ای از مردم بخواهید عددی بین یک تا صد را انتخاب کنند، اکثراً همان اعداد را انتخاب می‌کنند! کانال یوتیوب Veritasium بیش از 200000 نفر را مورد بررسی قرار داد و محبوب‌ترین اعداد را 7، 37، 42، 69، 73 و 77 یافت.

حتی هنگام تلاش برای رشته کاراکترهای تصادفی، تمایل داریم که از کلیدهای وسط صفحه کلید استفاده کنیم. تقریباً 57 درصد از کل رمزهای عبوری که ما تجزیه و تحلیل کردیم حاوی یک کلمه فرهنگ لغت یا ترکیب نمادهای مکرر بودند. نگران کننده است که 51 درصد از این پسوردها در کمتر از یک دقیقه، 67 درصد در کمتر از یک ساعت کرک می‌شوند و تنها 12 درصد بیش از یک سال طول کشیده است. با این حال، حداقل فقط چند کلمه عبور فقط از یک کلمه فرهنگ لغت تشکیل شده است (که می‌تواند در عرض یک دقیقه کرک شود). برای اطلاعات بیشتر در مورد الگوهای رمز عبوری که با آنها مواجه شده‌ایم، به پست Securelist مراجعه کنید. الگوریتم‌های هوشمند اکثر پسوردهایی را که حاوی توالی فرهنگ لغت هستند، کوتاه می‌کنند. و حتی جایگزینی کاراکترها را هم می‌گیرند – بنابراین نوشتن pa$$word  به‌ جای «گذرواژه» یا dmin@به‌جای  admin رمز عبور را خیلی قوی‌تر نمی‌کند. استفاده از کلمات محبوب و دنباله اعداد به همان اندازه خطرناک است. در 4 درصد از پسوردهایی که بررسی کردیم، موارد زیر در جایی ظاهر شد:

• 12345
• 123456
• love
• 12345678
• 123456789
• admin
• team
• qwer
• 54321
• password

توصیه‌های امنیتی

دریافت ما از این مطالعه:

•         بسیاری از رمزهای عبور کاربران به اندازه کافی قوی نیستند. 59 درصد از آنها را می‌توان در یک ساعت کرک کرد.
•         استفاده از کلمات معنی‌دار، نام‌ها و توالی کاراکترهای استاندارد در رمز عبور، زمان حدس زدن رمز عبور را به میزان قابل توجهی کاهش می‌دهد.
•         کمترین امنیت رمز عبور رمزی است که تماماً از اعداد یا فقط کلمات تشکیل شده باشد.

برای امن نگه داشتن اکانت‌هایتان، توصیه‌های ساده زیر بسیار کمک‌کننده خواهند بود:

•         با استفاده از مدیر کلم عبور کسپرسکی رمزهای عبور قوی ایجاد کنید.
•         اگر تصمیم دارید خودتان رمز عبور ایجاد کنید، به جای ترکیب کلمات معنی دار، نام ها یا توالی فرهنگ لغت، از عبارات عبور یادداشتی استفاده کنید.
•         هرگز از گذرواژه‌ها در سایت‌های مختلف استفاده مجدد نکنید، زیرا همه شرکت‌ها اطلاعات کاربران را به‌طور امن ذخیره نمی‌کنند.
•         هرگز پسوردها را در مرورگرها ذخیره نکنید.
•         رمزهای عبور خود را به طور ایمن در یک مدیریت رمز عبور ذخیره و یک رمز عبور اصلی ضد کرک برای آن ایجاد کنید.
•         با Password Checker یا مستقیماً در Kaspersky Password Manager خود، میزان مقاومت رمز عبور خود را بررسی کنید. گذرواژه‌های ضعیف و تکراری را شناسایی می‌کند، همه گذرواژه‌های شما را در برابر پایگاه‌های داده در معرض خطر بررسی نموده و در صورت یافتن مطابقت به شما هشدار می‌دهد.
•         برای نظارت مستمر در پس‌زمینه همه حساب‌های مرتبط با تلفن یا آدرس ایمیل شما و اعضای خانواده برای نشت اطلاعات از کسپرسکی پریمیوم استفاده کنید.
•         2fa را تا جایی که ممکن است فعال کنید. اتفاقاً Kaspersky Password Manager به شما امکان می‌دهد تا توکن‌های 2FA را ذخیره کرده و کدهای یک‌بار مصرف ایجاد کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.