رمز عبور: نکات مقدماتی که باید بدانید و به کار گیرید.
از اسبش پیاده شد، درخت تنومندی بر روی او سایه افکنده بود، باورش سخت بود که این درخت، همان نهال کوچکی باشد که با دستان خودش کاشته است، افسار اسب را به درخت گره زد و به سمت ورودی غار رفت. کلمههای رمز عبور را به خوبی به یاد میآورد، آرام زمزمه کرد: «باز شو سمسم»! این کلمات سنگها را از خواب عمیقی بیدار کرد و صدای غرش آنها در گوشش پیچید.
درب غار به آرامی باز میشد و همزمان خاطرات سالهای دور از جلوی چشمانش میگذشت. وارد شد، زمان درون غار متوقف شده بود؛ هیچ چیز تکان نخورده بود، تمام طلاها و جواهرات درست به همان صورتی که آنها را آنجا گذاشته بود، دست نخورده باقی مانده بودند.
هزار و یک شب، چهل دزد
داستان جالبیه، درسته؟ شاید هزاران بار خونده شده و به زبانهای مختلف چاپ شده باشه. ولی باعث شد که من به سمت امنیت خیز بردارم. توجه و علاقه من به بحث امنیت از حدود یک دهه پیش آغاز شد، وقتی برای اولین بار به عنوان توسعه دهنده نرم افزار استخدام شدم. قبل از آن، سالها کدنویسی انجام میدادم اما این اولین باری بود که برای این کار حقوق میگرفتم. من کارمند یک شرکت شده بودم. تمام روز کدنویسی میکردم. یک حساب کاربری در شبکه داشتم که هر روز صبح از طریق آن به سیستم لاگین میکردم. من هم مثل تمام کارمندان شرکت، یک رمز عبور ضعیف داشتم که هر سه ما یکبار آن را با یک رمز عبور ضعیف دیگر عوض میکردم.
مدتها بود که به موضوع امنیت علاقمند شده بودم، اما در آن زمان اطلاعات کمی درباره این موضوع در دسترس بود. آن روزها امکان جستجو در گوگل و به دست آوردن اطلاعات با کلیک بر روی لینکهای مختلف ممکن نبود. اطلاعاتی که داشتم بیشتر قدیمی، غیرقابل اعتماد یا محدود بودند بنابراین نیاز من هرگز به صورت کامل برآورده نشد.
با این وجود هر مطلبی را که پیدا میکردم در وقتهای فراغتم مطالعه میکردم. بارها و بارها این مطالب را میخواندم و کمکم این مطالب برای من معنا و مفهوم پیدا کردند. هر چند آن موقع یک فرد مبتدی بودم ولی چند ترفند یاد گرفتم که باعث شد بتوانم به عنوان هکر اداره چند رتبه کسب کنم.
یک روز صبح از طرف یکی از دوستانم تماسی با من گرفته شد. او که از مدیران شرکت بود من را به دفترش دعوت کرد و آنجا به من درباره مشکل بزرگی که شرکت با آن روبرو شده بود، توضیح داد و گفت که به کمک من نیاز دارد. مدیر ارشد شبکه با مدیرعامل شرکت دچار اختلاف شده بود و پس از مشاجره با او کلیدهایش را روی میز پرت کرده و برای همیشه شرکت را ترک کرده بود. حالا مدیریت شرکت از من میخواست که به تمام سیستمها نفوذ کرده و رمز عبور راهبر سیستم آنها را بازیابی کنم چون مدیرعامل به هیچ وجه تمایلی نداشت که دوباره با این کارمند تماس گرفته و رمزهای عبور را از او بپرسد. با این که تجربهای در این زمینه نداشتم اما نمیخواستم شکست را قبول کنم و به او گفتم این کار را انجام میدهم.
وقتی پشت میزم نشستم و خوب به این موضوع فکر کردم، از مسئولیتی که متقبل شده بودم ترسیدم. هر چند من با چندین ترفند آشنا بودم اما تصور این که واقعاً بتوانم این کار را انجام دهم غیرمعقول بود. فکر کردم که باید اعتراف کنم مهارت لازم برای انجام این کار را ندارم. آیا من اشتباه کرده بودم؟ آیا غرور من باعث شده بود که تصمیم نادرستی بگیرم؟ شاید این ماجرا بیاهمیت و کوچک به نظر برسد ولی نقش تعیین کنندهای برای من داشت.
اگر این واقعیت مهم درباره هکرها را کشف نمیکردم، ممکن بود آن روز شکست بخورم. واقعیت این است که هکرها مهارتهای فرا انسانی ندارند که موجب موفقیت آنها شود بلکه این بیتوجهی دیگران به استفاده از سازوکارهای امنیتی قوی است که باعث موفقیت آنها میشود. من متوجه شدم که افراد از رمزهای عبور قوی استفاده نمیکنند.
علاوه بر این، ما همیشه از یک رمز عبور استفاده میکنیم و محوریت و اساس رمزهای عبورمان یکسان است. وقتی بحث رمز عبور در میان باشد ما چندان هوشمندانه عمل نمیکنیم.
من رمز عبور Microsoft Access راهبر سیستم و سپس رمز ایمیل او را به دست آوردم. بعد از آن، رمز عبور راهبر Windows NT را هم به دست آوردم. رمزهای عبوری که به آسانی قابل پیشبینی بودند، superman12 ،superman23 ،superman95 و Wonderwoman.
آن روز من هیچ کار خاصی انجام ندادم، به جز این که یکی از نقاط ضعف مهم انسانها را شناسایی کردم؛ این که انسانها به طرز وحشتناکی قابل پیشبینی هستند. آخر شب لیست رمزهای عبور را برای دوستم ایمیل کردم. به خانه رفتم و از کاری که انجام داده بودم به شدت هیجان زده بودم.
فردای آن روز، من همزمان با رئیس و مدیرعامل شرکت به اداره رسیدم. هر دوی آنها چرخیدند و انگار قبلاً این کار را تمرین کرده باشند در را برای من باز کرده و با احترام من را دعوت کردند. در ابتدا گیج شدم اما بعداً متوجه شدم که ماجرای رمزهای عبور را شنیدهاند. وارد اداره شدم و از رفتار مقامهای شرکت نسبت به خودم بسیار خوشحال و هیجان زده بودم. من هم مثل دیگران عاشق توجه بودم ولی از آن روز به بعد علاقهمند و شیفته موضوع امنیت رمز عبور و رفتارهای انسانی شدم.
رمزهای عبور ما
رمزهای عبور همیشه به نوعی با امنیت ما در ارتباط بودهاند و همواره در مقالات و نوشتههای مختلف آنها را مشاهده میکنیم. ما برای باز کردن در، عبور از گاردهای حفاظتی و تشخیص دوست از دشمن از رمز عبور استفاده میکنیم. این کلمهها یا عبارتهای مبهم مثل وِردهای جادویی و کدهای مخفی هستند که ما برای شناسایی افراد از آنها استفاده میکنیم.
این کدهای مخفی و خصوصی، بخشی از زندگی مدرن ما شدهاند. ما از آنها برای بررسی ایمیل و صندوق صوتی خودمان استفاده میکنیم. برای برداشت پول از دستگاه خودپرداز یا اتصال به حساب بانکداری آنلاین خودمان به رمز عبور نیاز داریم. ما از رمزهای عبور برای کسب مجوز اجرای تراکنشهای آنلاین و خرید و فروش اجناس در اینترنت استفاده میکنیم.
از رمز عبور برای محدود کردن دسترسی به ارتباطهای بیسیم اینترنت و رمزنگاری حساسترین دادههای شخصی خودمان استفاده میکنیم. ممکن است حتی برای سفارش پیتزا، خرید گل، اجاره دیویدی یا شستشوی اتومبیلتان در کارواش نیز به رمز عبور نیاز داشته باشید. ما در دنیایی از رمزهای عبور و رمزها زندگی میکنیم. چه به آنها رمز عبور گفته شود یا پین، کد عبور یا هر نام دیگری، در هر صورت همه آنها کلیدهایی هستند که ما از آنها جهت دسترسی به بخشهای محافظت شده از زندگی خودمان استفاده میکنیم.
رمز عبور بسیار فراتر از یک کلید بوده و هدفهای مختلفی دارد. آنها هویت ما را برای یک سیستم مشخص میکنند، با توجه به رمزی که فقط خود ما آن را میدانیم. از حریم خصوصی ما محافظت کرده و امنیت دادههای شخصی ما را حفظ میکنند. همچنین باعث عملی شدن بحث عدم انکار میشوند تا ما نتوانیم اعتبار تراکنشهایی را که با رمز عبورمان آنها را تأیید کردهایم، رد کنیم. نام کاربری ما منجر به شناسایی ما شده و رمزهای عبور ما را اعتبارسنجی میکنند.
اما این رمزهای عبور نقاط ضعفی هم دارند، ممکن است هر لحظه بیش از یک نفر آنها را بداند. برخلاف یک کلید فیزیکی که در هر لحظه فقط یک نفر میتواند آنها را در اختیار داشته باشد، هیچ تضمینی وجود ندارد که فرد دیگری با یا بدون اطلاع ما به نوعی از رمز عبورمان مطلع نشود.
همچنین همواره این خطر وجود دارد که فردی با نیات شوم و مخرب به دنبال به دست آوردن رمز عبورمان باشد. امکان سرقت رمزهای عبور وجود دارد و هر روزه (هزاران) رمز عبور به سرقت میرود. تنها راه دفاع از خودتان استفاده از رمز عبوری قوی، محافظت کامل از آن و تغییر آن به صورت منظم است.
نقطه ضعف دیگری که در رابطه با رمزهای عبور وجود دارد، رفتار انسانها است. ماهیت انسان به گونهای است که از خطراتی که آنها را درک نمیکند، واهمهای ندارد. ما نمیتوانیم تصور کنیم که چرا فردی به دنبال دسترسی به ایمیل یا حسابهای شبکه ما است. ما نسبت به رمزهای عبوری که انتخاب میکنیم، احساس امنیت داریم.
آن روز پس از رد شدن از ورودی، وارد دفتر شده و پشت میز کارم نشستم. من هم با رمز عبور ضعیفم وارد حساب شبکهام شدم و ناگهان به یاد نقطه ضعف خودم افتادم. من متوجه شدم که امنیت خودم نیز به اندازه امنیت سیستمی که روز قبل به آن رخنه کرده بودم، ضعیف است. هر فردی با مشاهده دو رمز عبور آخر من میتوانست به راحتی رمز عبور فعلی و احتمالاً بعدی من را تشخیص دهد. حداقل یک نفر دیگر هم از رمز عبور من اطلاع داشت چون قبلاً وقتی به دلیل بیماری در مرخصی به سر میبردم، رمز عبورم را به یکی از همکارانم دادم تا بتواند به فایلهایم دسترسی پیدا کند. من همان روز تصمیم گرفتم نگرش خود را نسبت به رمز عبور عوض کنم.
رفتار مضحک انسانها
چندین سال پیش بین تماشاگران نشسته بودم و اجرای Kreskin را مشاهده میکردم که طبق ادعای خودش یک شعبدهباز و ذهنخوان بود. من دایماً مشاهده میکردم که او رفتار انسانها را پیشبینی کرده و با آنها بازی میکرد. وی بین ترفندهایش توضیح داد که هیچ قدرت و نیروی خاصی ندارد به جز داشتن درکی خارقالعاده از رفتار انسانها.
وی دایماً رمزهای انتخاب شده توسط مخاطبین را حدس میزد و حقایقی را درباره زندگی بسیاری از مخاطبین مثل شماره بیمه یا تاریخ تولد آنها اعلام میکرد. تنها او نیست که چنین قابلیتی دارد. روانکاوان، پیشگویان، مدیومها، جادوگران و بسیاری از افراد دیگر برای موفقیت در حرفه خودشان وابستگی زیادی به قابل پیشبینی بودن انسانها دارند. بدون شک، انسانها همیشه به همین صورت عمل میکنند.
اگر از انسانها بخواهید یکی از سبزیجات را نام ببرند، در 98 درصد مواقع هویج را انتخاب میکنند. اگر از فردی بخواهید یک عدد بین 50 تا 100 انتخاب کند که رقمهای متفاوت باشد، معمولاً مردم عدد 68 را انتخاب میکنند.
شاید تاکنون برای شما هم پیش آمده باشد که رفتار دیگران را به صورت خارقالعادهای پیشبینی کنید یا پایان فیلمها را حدس بزنید. ما همانطور که نمیتوانیم غیرقابل پیشبینی نباشیم میتوانیم به صورت فوقالعادهای قابل پیشبینی بودن را در دیگران مشاهده کنیم.
لیست رمزهای عبور تصادفی که در جدول 1.1 ارایه شده است را در نظر بگیرید. اگر چند دقیقهای این لیست را بررسی کنید متوجه وجود الگوهای ساده و قابل پیشبینی در آن میشوید.
| 123456 | qwerty | 123123 |
| password | iloveyou | monkey |
| 123456789 | princess | 654321 |
| 12345678 | admin | !@#$%^&* |
| 12345 | welcome | charlie |
| 111111 | 666666 | Aa123456 |
| 1234567 | Abc123 | donald |
| sunshine | football | Password1 |
جدول 1.1- رمزهای عبور تصادفی سال 2019
نکته خیرهکننده این است که این لیست کوچک دقیقاً ماهیت رمزهای عبور انسانها را مشخص میکند. میتوانستیم یک لیست با هزار یا حتی یک میلیون رمز عبور تهیه کنیم اما نکاتی که این لیست کوچک مشخص میکند، بسیار بیشتر از چنین لیستهای طولانی است.
من به دلیل تجربهای که در این زمینه دارم، به خوبی از این موضوع آگاه هستم. من در این سالها رمزهای عبور واقعی کاربران را از منابع مختلف جمعآوری کردم؛ حدود 4 میلیون رمز عبور جمعآوری کردم و این لیست به کمک ابزارهای خودکاری که رمزهای عبور کاربران را در اینترنت جمعآوری میکنند (اغلب وقتها از طریق یک جستجوی ساده در گوگل) تهیه شده است.
به این دلیل رمزهای عبور را جمعآوری میکنم تا درک بهتری از چگونگی انتخاب رمز عبور توسط کاربران پیدا کنم. من برای پنج سال انواع رمزهای عبور را جمعآوری، جستجو و بررسی کردم؛ هزاران QWERTY، هزاران 12345.
با جمعآوری رمزهای عبور بیشتر، مهمترین اکتشافهای من همچنان ثابت باقی ماندند. جمعآوری رمزهای عبور بیشتر منجر به تغییر آمارهای من نشد؛ کاراکترهای انتخابی همان بودند. 500 رمز عبور پرکاربرد ثابت ماند. طول و پیچیدگی رمزهای عبور و نداشتن خلاقیت هیچ تغییری نکرد.
در واقع، این عدد و رقمها با یافتههای سایر مطالعاتی که دههها پیش انجام شدند، یکسان هستند. بارها و بارها مشاهده شده که رمزهای عبور قابل پیشبینی و یکسان هستند و الگوهای مشابهی در آنها مشاهده میشود مثل استفاده از یک یا دو عدد در انتهای رمز عبور، چند عدد در ابتدای آن، رمزهای عبور عددی، نام افرادی که دوستشان داریم، تاریخ، نام وسایل نقلیه، تیمهای ورزشی، ارجاعهایی به فرهنگ عامه و Letmein و Password دو کلمهای که همه جا هستند. من به شخصه میتوانم چهار میلیون رمز عبور دیگر هم جمعآوری کنم ولی باز هم نتایج مثل قبل خواهد بود.
انسانها آنقدر هم باهوش نیستند
یکی از نکتههای مهم درباره رمز عبور این است که عده زیادی تصور میکنند بسیار هوشمندانه و منحصر به فرد عمل کردهاند اما اینطور نیست. اگر یک میلیون رمز عبور را بررسی کنید، مطمئناً از این که رمز عبور شما شبیه به رمز عبور فرد دیگری است تعجب میکنید. اگر تجربه پرواز بر افزار قاره آمریکا را داشته باشید، احتمالاً متوجه شدهاید که چیزی جز هزاران مایل مربع فضای خالی در این قاره وجود ندارد. هر از گاهی خوشههایی از تمدنهای انسانی را مشاهده میکنید اما دوباره به فضای خالی برخورد میکنید.
در رابطه با رمزهای عبور هم چنین شرایطی مشاهده میشود. قابلیتها و امکانات زیادی در این زمینه دست نخورده باقی ماندهاند و هزاران خوشه حول رمزهای عبور مشابه شکل گرفته است.
در ادامه دستههای متداول از الگوهای رمز عبور را مشاهده میکنید. اینها نمونههایی از مواردی هستند که هرگز نباید انتخاب کنید؛ هرگز از این الگوها پیروی نکنید.
1.کلمات ضعیف لغتنامهای
این گروه شامل کلمات لغتنامه، نام یا نام خانوادگی شما، یک رمز عبور متداول یا یک عبارت ساده میشود که احتمالاً در لغتنامه یا لیست واژگان مشاهده کردهاید. این رمزهای عبور بدترین نوع رمز عبور محسوب میشوند زیرا طبق آنچه در فصل بعد توضیح خواهیم داد، در برابر حملات لغتنامهای، به شدت ضعیف و آسیبپذیر هستند.
■ cupcake
■ auto
■ badger
■ letmein
■ Jonathon
■ Red Sox
■ dirty dog
2. کلمات ضعیف همراه با اعداد
این نوع رمزهای عبور که به میزان ناچیزی از رمزهای عبور قبلی قویتراند، شامل اعدادی هستند که مردم به ابتدا یا انتهای یک رمز عبور اضافه میکنند، به این امید که امنیت رمز عبورشان را افزایش داده یا طبق الزامهای امنیتی عمل کرده باشند. چند نمونه از این رمزهای عبور عبارتند از:
■ deer2000
■ atlanta33
■ dana55
■ fred1234
■ 99skip
3.کلمات ضعیف با مبهم سازی ساده
این رمزهای عبور هم فقط کمی از گروه اول قویتر هستند و شامل رمزهای عبوری میشوند که در آنها بعضی کاراکترها با کاراکترهایی خاص جایگزین شده یا اشتباههای املایی عمدی در آنها وجود دارد. چند نمونه از این رمزهای عبور عبارتند از:
■ B0ngh
■ g0ldf1sh
■ j@ke
4.رمزهای عبور مشابه با پلاک اتومبیل
این رمزهای عبور شامل عبارتهای مختصری هستند که در آنها از خلاصهنویسی، عددها یا روشهای دیگر استفاده شده است. مسلماً این رمزهای عبور نسبت به مدلهای قبلی قویتر هستند اما به هیچ وجه منحصر به فرد نبوده و معمولاً مثل پلاک خوانده میشوند. چند نمونه از این رمزهای عبور را در ادامه مشاهده میکنید:
■ sk8ordie
■ just4fun
■ dabomb
■ kissme
■ laterpeeps
www.syngress.
5.کلمات ضعیف با تکرار
بسیاری از ابزارهای کرک کردن رمز عبور، این الگوهای ساده را بررسی میکنند. چند نمونه از این رمزهای عبور عبارتند از:
■ crabcrab
■ patpat
■ joejoe
6.در هم ریختن تصادفی
این رمزهای عبور از نظر فنی قویتر هستند چون تصادفی بوده و کمتر قابل پیشبینی هستند اما همانطور که در ادامه این کتاب میخوانید، داشتن رمز عبوری که تایپ کردن و به خاطر سپردن آن آسان باشد برای حفظ امنیت ضرورت دارد. چند نمونه از این رمزهای عبور عبارتند از:
■ 9uxg$t5C
■ Bn2#sz63j
■ &fM3tc8b
7.الگو یا دنبالهها
این رمزهای عبور هم جزو رمزهای عبور گروه اول قرار میگیرند چون بسیار متداول هستند. این رمزهای عبور شامل الگوها یا دنبالههایی هستند که بر اساس شکل یا ظاهر حروف یا موقعیت کلیدها بر روی صفحه کلید شکل میگیرند.
■ QWERTY
■ 123456
■ xcvb
■ abc123
■ typewriter (همه حروفی که در یک ردیف از صفحه کلید قرار دارند.)
خلاصه:
مهمترین جنبه امنیت اطلاعات، استفاده از رمزهای عبور قوی است. همچنین بزرگترین نقص امنیتی، استفاده از رمزهای عبور ضعیف است. مدیران شبکه کاربران را به دلیل انتخاب رمزهای عبور ضعیف سرزنش میکنند و کاربران، مدیران شبکه را به دلیل خطمشیهای سختگیرانه درباره رمز عبور سرزنش میکنند.
فروش صدها هزار محصول نرمافزاری و سختافزاری با رمز عبور پیشفرض که کاربران هرگز این رمزهای عبور را تغییر نمیدهند منجر به بدتر شدن شرایط شده است (برای درک میزان وخامت اوضاع نگاهی به سایت defaultpassword.com داشته باشید).
بیشتر مردم رمزهای عبور ضعیفی انتخاب کرده و کار چندانی برای محافظت از آنها انجام نمیدهند. آنها رمزهای عبور را با دیگران به اشتراک میگذارند و دایماً در سیستمهای مختلف از یک رمز عبور مشابه استفاده میکنند. همزمان، قدرت پردازش، تعداد و کیفیت ابزارهای در دسترس هکرها افزایش پیدا کرده است.
در نتیجه، عده زیادی پیشبینی کردهاند که روزی رمزهای عبور منسوخ میشوند. این روزها مردم درباره اسکنرهای اثر انگشت یا عنبیه چشم صحبت میکنند اما بالاخره بحث امنیت باز هم تا حدی نیازمند نوعی رمز و کلمه عبور خواهد بود.
خبر خوب این است که نیازی نیست رمزهای عبور منسوخ شوند. در وبسایت فراست، مقالههای متعددی برای ساخت رمزهای عبور بسیار قوی وجود دارد که به شما آموزش میدهد چگونه کلمه عبور مناسب و پیچیدهای را ساخته تا بتوانید از حمله به رمزهای عبورتان پیشگیری کنید.
بنابراین فقط کافی است از یکسری قوانین پایه و مقدماتی پیروی کرده و با عقل سلیمتان، از رمزهای عبور خویش مثل اسرار و رازهای واقعیتان محافظت کنید. با پیادهسازی این روشها میتوانیم طول عمر چنین روش احراز هویت سادهای را افزایش دهیم.
پس، هنوز دوره استفاده از رمز عبور به پایان نرسیده است.
