داستانی پندآموز در باب اهمیت رمز عبور در امنیت شما

از اسبش پیاده شد، درخت تنومندی بر روی او سایه افکنده بود، باورش سخت بود که این درخت، همان نهال کوچکی باشد که با دستان خودش کاشته است، افسار اسب را به درخت گره زد و به سمت ورودی غار رفت. کلمه­‌های رمز عبور را به خوبی به یاد‌ می‌آورد، آرام زمزمه کرد: «باز شو سمسم»! این کلمات سنگ‌ها را از خواب عمیقی بیدار کرد و صدای غرش آنها در گوشش پیچید.

درب غار به آرامی باز می‌شد و همزمان خاطرات سال‌های دور از جلوی چشمانش می‌گذشت. وارد شد، زمان درون غار متوقف شده بود؛ هیچ چیز تکان نخورده بود، تمام طلاها و جواهرات درست به همان صورتی که آنها را آنجا گذاشته بود، دست نخورده باقی مانده بودند.

هزار و یک شب، چهل دزد

داستان جالبیه، درسته؟ شاید هزاران بار خونده شده و به زبان‌های مختلف چاپ شده باشه. ولی باعث شد که من به سمت امنیت خیز بردارم. توجه و علاقه من به بحث امنیت از حدود یک دهه پیش آغاز شد، وقتی برای اولین­ بار به عنوان توسعه دهنده نرم افزار استخدام شدم. قبل از آن، سال‌ها کدنویسی انجام می‌دادم اما این اولین باری بود که برای این کار حقوق می‌گرفتم.

من کارمند یک شرکت شده بودم. تمام روز کدنویسی می‌کردم. یک حساب کاربری در شبکه داشتم که هر روز صبح از طریق آن به سیستم لاگین می­‌کردم. من هم مثل تمام کارمندان شرکت، یک رمز عبور ضعیف داشتم که هر سه ما یک­بار آن را با یک رمز عبور ضعیف دیگر عوض می‌کردم.

امنیت اطلاعات با رمز عبور قدرتمند

مدت‌ها بود که به موضوع امنیت علاقمند شده بودم، اما در آن زمان اطلاعات کمی درباره این موضوع در دسترس بود. آن روزها امکان جستجو در گوگل و به دست آوردن اطلاعات با کلیک بر روی لینک‌های مختلف ممکن نبود. اطلاعاتی که داشتم بیشتر قدیمی، غیرقابل اعتماد یا محدود بودند بنابراین نیاز من هرگز به صورت کامل برآورده نشد.

با این وجود هر مطلبی را که پیدا می‌کردم در وقت­‌های فراغتم مطالعه می‌کردم. بارها و بارها این مطالب را می‌خواندم و کم­‌کم این مطالب برای من معنا و مفهوم پیدا کردند. هر چند آن موقع یک فرد مبتدی بودم ولی چند ترفند یاد گرفتم که باعث شد بتوانم به عنوان هکر اداره چند رتبه کسب کنم.

یک روز صبح از طرف یکی از دوستانم تماسی با من گرفته شد. او که از مدیران شرکت بود من را به دفترش دعوت کرد و آنجا به من درباره مشکل بزرگی که شرکت با آن روبرو شده بود، توضیح داد و گفت که به کمک من نیاز دارد. مدیر ارشد شبکه با مدیرعامل شرکت دچار اختلاف شده بود و پس از مشاجره با او کلیدهایش را روی میز پرت کرده و برای همیشه شرکت را ترک کرده بود.

حالا مدیریت شرکت از من می­‌خواست که به تمام سیستم‌ها نفوذ کرده و رمز عبور راهبر سیستم آنها را بازیابی کنم چون مدیرعامل به هیچ وجه تمایلی نداشت که دوباره با این کارمند تماس گرفته و رمزهای عبور را از او بپرسد. با این که تجربه‌ای در این زمینه نداشتم اما نمی‌خواستم شکست را قبول کنم و به او گفتم این کار را انجام می‌دهم.

وقتی پشت میزم نشستم و خوب به این موضوع فکر کردم، از مسئولیتی که متقبل شده بودم ترسیدم. هر چند من با چندین ترفند آشنا بودم اما تصور این که واقعاً بتوانم این کار را انجام دهم غیرمعقول بود. فکر کردم که باید اعتراف کنم مهارت لازم برای انجام این کار را ندارم. آیا من اشتباه کرده بودم؟ آیا غرور من باعث شده بود که تصمیم نادرستی بگیرم؟ شاید این ماجرا بی‌اهمیت و کوچک به نظر برسد ولی نقش تعیین کننده‌ای برای من داشت.

اگر این واقعیت مهم درباره هکرها را کشف نمی‌کردم، ممکن بود آن روز شکست بخورم. واقعیت این است که هکرها مهارت‌های فرا انسانی ندارند که موجب موفقیت آنها شود بلکه این بی‌­توجهی دیگران به استفاده از سازوکارهای امنیتی قوی است که باعث موفقیت آنها می‌شود. من متوجه شدم که افراد از رمزهای عبور قوی استفاده نمی‌کنند.

علاوه بر این، ما همیشه از یک رمز عبور استفاده می‌کنیم و محوریت و اساس رمزهای عبورمان یکسان است. وقتی بحث رمز عبور در میان باشد ما چندان هوشمندانه عمل نمی‌کنیم.

من رمز عبور Microsoft Access راهبر سیستم و سپس رمز ایمیل او را به دست آوردم. بعد از آن، رمز عبور راهبر Windows NT را هم به دست آوردم. رمزهای عبوری که به آسانی قابل پیش­بینی بودند، superman12 ،superman23 ،superman95 و Wonderwoman.

آن روز من هیچ کار خاصی انجام ندادم، به جز این که یکی از نقاط ضعف مهم انسان‌ها را شناسایی کردم؛ این که انسان‌ها به طرز وحشتناکی قابل پیش­‌بینی هستند. آخر شب لیست رمزهای عبور را برای دوستم ایمیل کردم. به خانه رفتم و از کاری که انجام داده بودم به شدت هیجان زده بودم.

فردای آن روز، من همزمان با رئیس و مدیرعامل شرکت به اداره رسیدم. هر دوی آنها چرخیدند و انگار قبلاً این کار را تمرین کرده باشند در را برای من باز کرده و با احترام من را دعوت کردند. در ابتدا گیج شدم اما بعداً متوجه شدم که ماجرای رمزهای عبور را شنیده‌اند. وارد اداره شدم و از رفتار مقام­‌های شرکت نسبت به خودم بسیار خوشحال و هیجان زده بودم. من هم مثل دیگران عاشق توجه بودم ولی از آن روز به بعد علاقه‌مند و شیفته موضوع امنیت رمز عبور و رفتارهای انسانی شدم.

امنیت رمز عبور

رمزهای عبور همیشه به نوعی با امنیت ما در ارتباط بوده‌اند و همواره در مقالات و نوشته‌های مختلف آنها را مشاهده می‌کنیم. ما برای باز کردن در، عبور از گاردهای حفاظتی و تشخیص دوست از دشمن از رمز عبور استفاده می‌کنیم. این کلمه­‌ها یا عبارت­‌های مبهم مثل وِردهای جادویی و کدهای مخفی هستند که ما برای شناسایی افراد از آنها استفاده می‌کنیم.

این کدهای مخفی و خصوصی، بخشی از زندگی مدرن ما شده‌اند. ما از آنها برای بررسی ایمیل و صندوق صوتی خودمان استفاده می‌کنیم. برای برداشت پول از دستگاه خودپرداز یا اتصال به حساب بانکداری آنلاین خودمان به رمز عبور نیاز داریم. ما از رمزهای عبور برای کسب مجوز اجرای تراکنش‌های آنلاین و خرید و فروش اجناس در اینترنت استفاده می‌کنیم.

از رمز عبور برای محدود کردن دسترسی به ارتباط‌های بی­‌سیم اینترنت و رمزنگاری حساس‌ترین داده‌های شخصی خودمان استفاده می‌کنیم. ممکن است حتی برای سفارش پیتزا، خرید گل، اجاره دی‌وی‌دی یا شستشوی اتومبیل­‌تان در کارواش نیز به رمز عبور نیاز داشته باشید. ما در دنیایی از رمزهای عبور و رمزها زندگی می‌کنیم. چه به آنها رمز عبور گفته شود یا پین، کد عبور یا هر نام دیگری، در هر صورت همه آنها کلیدهایی هستند که ما از آنها جهت دسترسی به بخش‌های محافظت شده از زندگی خودمان استفاده می‌کنیم.

رمز عبور بسیار فراتر از یک کلید بوده و هدف‌­های مختلفی دارد. آنها هویت ما را برای یک سیستم مشخص می‌کنند، با توجه به رمزی که فقط خود ما آن را می‌دانیم. از حریم خصوصی ما محافظت کرده و امنیت داده‌های شخصی ما را حفظ می‌کنند. همچنین باعث عملی شدن بحث عدم انکار می‌شوند تا ما نتوانیم اعتبار تراکنش‌هایی را که با رمز عبورمان آنها را تأیید کرده‌ایم، رد کنیم. نام کاربری ما منجر به شناسایی ما شده و رمزهای عبور ما را اعتبارسنجی می‌کنند.

اما این رمزهای عبور نقاط ضعفی هم دارند، ممکن است هر لحظه بیش از یک نفر آنها را بداند. برخلاف یک کلید فیزیکی که در هر لحظه فقط یک نفر می‌تواند آنها را در اختیار داشته باشد، هیچ تضمینی وجود ندارد که فرد دیگری با یا بدون اطلاع ما به نوعی از رمز عبورمان مطلع نشود.

همچنین همواره این خطر وجود دارد که فردی با نیات شوم و مخرب به دنبال به دست آوردن رمز عبورمان باشد. امکان سرقت رمزهای عبور وجود دارد و هر روزه (هزاران) رمز عبور به سرقت می‌رود. تنها راه دفاع از خودتان استفاده از رمز عبوری قوی، محافظت کامل از آن و تغییر آن به صورت منظم است.

نقطه ضعف دیگری که در رابطه با رمزهای عبور وجود دارد، رفتار انسان‌ها است. ماهیت انسان به گونه‌ای است که از خطراتی که آنها را درک نمی‌کند، واهمه‌ای ندارد. ما نمی‌توانیم تصور کنیم که چرا فردی به دنبال دسترسی به ایمیل یا حساب‌های شبکه ما است. ما نسبت به رمزهای عبوری که انتخاب می‌کنیم، احساس امنیت داریم.

آن روز پس از رد شدن از ورودی، وارد دفتر شده و پشت میز کارم نشستم. من هم با رمز عبور ضعیفم وارد حساب شبکه‌­ام شدم و ناگهان به یاد نقطه ضعف خودم افتادم. من متوجه شدم که امنیت خودم نیز به اندازه امنیت سیستمی که روز قبل به آن رخنه کرده بودم، ضعیف است.

هر فردی با مشاهده دو رمز عبور آخر من می‌توانست به راحتی رمز عبور فعلی و احتمالاً بعدی من را تشخیص دهد. حداقل یک نفر دیگر هم از رمز عبور من اطلاع داشت چون قبلاً وقتی به دلیل بیماری در مرخصی به سر می‌بردم، رمز عبورم را به یکی از همکارانم دادم تا بتواند به فایل‌هایم دسترسی پیدا کند. من همان روز تصمیم گرفتم نگرش خود را نسبت به رمز عبور عوض کنم.

رفتار مضحک انسان‌ها در انتخاب رمز عبور

چندین سال پیش بین تماشاگران نشسته بودم و اجرای Kreskin را مشاهده می‌کردم که طبق ادعای خودش یک شعبده‌­باز و ذهن­‌خوان بود. من دایماً مشاهده می‌کردم که او رفتار انسان‌ها را پیش‌­بینی کرده و با آنها بازی می‌کرد. وی بین ترفندهایش توضیح داد که هیچ قدرت و نیروی خاصی ندارد به جز داشتن درکی خارق‌­العاده از رفتار انسان‌ها.

وی دایماً رمزهای انتخاب شده توسط مخاطبین را حدس می‌زد و حقایقی را درباره زندگی بسیاری از مخاطبین مثل شماره بیمه یا تاریخ تولد آنها اعلام می‌کرد. تنها او نیست که چنین قابلیتی دارد. روان­کاوان، پیش­گویان، مدیوم‌ها، جادوگران و بسیاری از افراد دیگر برای موفقیت در حرفه خودشان وابستگی زیادی به قابل پیش‌­بینی بودن انسان‌ها دارند. بدون شک، انسان‌ها همیشه به همین صورت عمل می‌کنند.

اگر از انسان‌ها بخواهید یکی از سبزیجات را نام ببرند، در 98 درصد مواقع هویج را انتخاب می‌کنند. اگر از فردی بخواهید یک عدد بین 50 تا 100 انتخاب کند که رقم‌های متفاوت باشد، معمولاً مردم عدد 68 را انتخاب می‌کنند.

شاید تاکنون برای شما هم پیش آمده باشد که رفتار دیگران را به صورت خارق‌­العاده‌ای پیش­بینی کنید یا پایان فیلم‌ها را حدس بزنید. ما همان­طور که نمی‌توانیم غیرقابل پیش­بینی نباشیم می‌توانیم به صورت فوق‌­العاده‌ای قابل پیش­بینی بودن را در دیگران مشاهده کنیم.

لیست رمزهای عبور تصادفی که در جدول 1.1 ارایه شده است را در نظر بگیرید. اگر چند دقیقه‌ای این لیست را بررسی کنید متوجه وجود الگوهای ساده و قابل پیش‌­بینی در آن می‌شوید.

123456	qwerty	123123
password	iloveyou	monkey
123456789	princess	654321
12345678	admin	!@#$%^&*
12345	welcome	charlie
111111	666666	Aa123456
1234567	Abc123	donald
sunshine	football	Password1

جدول 1.1- رمزهای عبور تصادفی سال 2019

نکته خیره‌­کننده این است که این لیست کوچک دقیقاً ماهیت رمزهای عبور انسان‌ها را مشخص می‌کند. می‌توانستیم یک لیست با هزار یا حتی یک میلیون رمز عبور تهیه کنیم اما نکاتی که این لیست کوچک مشخص می‌کند، بسیار بیشتر از چنین لیست‌های طولانی است.

من به دلیل تجربه‌ای که در این زمینه دارم، به خوبی از این موضوع آگاه هستم. من در این سال­‌ها رمزهای عبور واقعی کاربران را از منابع مختلف جمع‌آوری کردم؛ حدود 4 میلیون رمز عبور جمع‌آوری کردم و این لیست به کمک ابزارهای خودکاری که رمزهای عبور کاربران را در اینترنت جمع‌آوری می‌کنند (اغلب وقت­‌ها از طریق یک جستجوی ساده در گوگل) تهیه شده است.

به این دلیل رمزهای عبور را جمع‌آوری می‌کنم تا درک بهتری از چگونگی انتخاب رمز عبور توسط کاربران پیدا کنم. من برای پنج سال انواع رمزهای عبور را جمع‌آوری، جستجو و بررسی کردم؛ هزاران QWERTY، هزاران 12345.

با جمع‌آوری رمزهای عبور بیشتر، مهم‌ترین اکتشاف‌­های من همچنان ثابت باقی ماندند. جمع‌آوری رمزهای عبور بیشتر منجر به تغییر آمارهای من نشد؛ کاراکترهای انتخابی همان بودند. 500 رمز عبور پرکاربرد ثابت ماند. طول و پیچیدگی رمزهای عبور و نداشتن خلاقیت هیچ تغییری نکرد.

در واقع، این عدد و رقم­‌ها با یافته‌های سایر مطالعاتی که دهه‌ها پیش انجام شدند، یکسان هستند. بارها و بارها مشاهده شده که رمزهای عبور قابل پیش‌­بینی و یکسان هستند و الگوهای مشابهی در آنها مشاهده می‌شود مثل استفاده از یک یا دو عدد در انتهای رمز عبور، چند عدد در ابتدای آن، رمزهای عبور عددی، نام افرادی که دوست­شان داریم، تاریخ، نام وسایل نقلیه، تیم‌های ورزشی، ارجاع­‌هایی به فرهنگ عامه و Letmein و Password دو کلمه‌ای که همه جا هستند. من به شخصه می‌توانم چهار میلیون رمز عبور دیگر هم جمع‌آوری کنم ولی باز هم نتایج مثل قبل خواهد بود.

انسان‌ها آن­قدر هم باهوش نیستند

یکی از نکته­‌های مهم درباره رمز عبور این است که عده زیادی تصور می‌کنند بسیار هوشمندانه و منحصر به فرد عمل کرده‌اند اما این­طور نیست. اگر یک میلیون رمز عبور را بررسی کنید، مطمئناً از این که رمز عبور شما شبیه به رمز عبور فرد دیگری است تعجب می‌کنید. اگر تجربه پرواز بر افزار قاره آمریکا را داشته باشید، احتمالاً متوجه شده‌اید که چیزی جز هزاران مایل مربع فضای خالی در این قاره وجود ندارد. هر از گاهی خوشه‌هایی از تمدن‌های انسانی را مشاهده می‌کنید اما دوباره به فضای خالی برخورد می‌کنید.

در رابطه با رمزهای عبور هم چنین شرایطی مشاهده می‌شود. قابلیت‌ها و امکانات زیادی در این زمینه دست نخورده باقی مانده‌اند و هزاران خوشه حول رمزهای عبور مشابه شکل گرفته است.

در ادامه دسته‌های متداول از الگوهای رمز عبور را مشاهده می‌کنید. این­ها نمونه‌هایی از مواردی هستند که هرگز نباید انتخاب کنید؛ هرگز از این الگوها پیروی نکنید.

1.کلمات ضعیف لغت­نامه‌ای

این گروه شامل کلمات لغت­‌نامه، نام یا نام خانوادگی شما، یک رمز عبور متداول یا یک عبارت ساده می‌شود که احتمالاً در لغت­‌نامه یا لیست واژگان مشاهده کرده‌اید. این رمزهای عبور بدترین نوع رمز عبور محسوب می‌شوند زیرا طبق آنچه در فصل بعد توضیح خواهیم داد، در برابر حملات لغت­‌نامه‌­ای، به شدت ضعیف و آسیب‌پذیر هستند.

■ cupcake

■ auto

■ badger

■ letmein

■ Jonathon

■ Red Sox

■ dirty dog

2. کلمات ضعیف همراه با اعداد

این نوع رمزهای عبور که به میزان ناچیزی از رمزهای عبور قبلی قوی‌تراند، شامل اعدادی هستند که مردم به ابتدا یا انتهای یک رمز عبور اضافه می‌کنند، به این امید که امنیت رمز عبورشان را افزایش داده یا طبق الزام­‌های امنیتی عمل کرده باشند. چند نمونه از این رمزهای عبور عبارتند از:

■ deer2000

■ atlanta33

■ dana55

■ fred1234

■ 99skip

3.کلمات ضعیف با مبهم ­سازی ساده

این رمزهای عبور هم فقط کمی از گروه اول قوی‌تر هستند و شامل رمزهای عبوری می‌شوند که در آنها بعضی کاراکترها با کاراکترهایی خاص جایگزین شده یا اشتباه­‌های املایی عمدی در آنها وجود دارد. چند نمونه از این رمزهای عبور عبارتند از:

■ B0ngh

■ g0ldf1sh

■ j@ke

4.رمزهای عبور مشابه با پلاک اتومبیل

این رمزهای عبور شامل عبارت­‌های مختصری هستند که در آنها از خلاصه‎­نویسی، عددها یا روش‌های دیگر استفاده شده است. مسلماً این رمزهای عبور نسبت به مدل‌های قبلی قوی‌تر هستند اما به هیچ وجه منحصر به فرد نبوده و معمولاً مثل پلاک خوانده می‌شوند. چند نمونه از این رمزهای عبور را در ادامه مشاهده می‌کنید:

■ sk8ordie

■ just4fun

■ dabomb

■ kissme

■ laterpeeps

www.syngress.

5.کلمات ضعیف با تکرار

بسیاری از ابزارهای کرک کردن رمز عبور، این الگوهای ساده را بررسی می‌کنند. چند نمونه از این رمزهای عبور عبارتند از:

■ crabcrab

■ patpat

■ joejoe

6.در هم ریختن تصادفی

این رمزهای عبور از نظر فنی قوی‌تر هستند چون تصادفی بوده و کمتر قابل پیش‌­بینی هستند اما همان­طور که در ادامه این کتاب می‌خوانید، داشتن رمز عبوری که تایپ کردن و به خاطر سپردن آن آسان باشد برای حفظ امنیت ضرورت دارد. چند نمونه از این رمزهای عبور عبارتند از:

■ 9uxg$t5C

■ Bn2#sz63j

■ &fM3tc8b

7.الگو یا دنباله‌ها

این رمزهای عبور هم جزو رمزهای عبور گروه اول قرار می‌گیرند چون بسیار متداول هستند. این رمزهای عبور شامل الگوها یا دنباله‌هایی هستند که بر اساس شکل یا ظاهر حروف یا موقعیت کلیدها بر روی صفحه کلید شکل می‌گیرند.

■ QWERTY

■ 123456

■ xcvb

■ abc123

■ typewriter (همه حروفی که در یک ردیف از صفحه کلید قرار دارند.)

مهم‌ترین جنبه امنیت اطلاعات، استفاده از رمزهای عبور قوی است. همچنین بزرگترین نقص امنیتی، استفاده از رمزهای عبور ضعیف است. مدیران شبکه کاربران را به دلیل انتخاب رمزهای عبور ضعیف سرزنش می‌کنند و کاربران، مدیران شبکه را به دلیل خط­‌مشی‌های سختگیرانه درباره رمز عبور سرزنش می‌کنند.