هکرها چطور از رمز عبور شما مطلع میشوند

روش مورد استفاده برای سرقت رمز عبور ، بستگی به سیستم هدف دارد. در برخی از روشها مانند کنترل دسترسی در سیستم عاملها نظیر ویندوز ، فرایندی تعریف شده است که پس از چندبار تلاش ناموفق، سامانه و سیستم عامل قفل گردد. مشابه این فرایند را در کارتهای اعتباری بانکی خود نیز مشاهده کرده اید.
هکرها گاهی به روشهای حمله آفلاین روی می آورند و در این روش تنها محدودیتی که دارند قدرت پردازشگر و صبر هکر میباشد. در حمله آنلاین، سیستم فرد قربانی فرایندی را دارد که از رمز عبور ذخیره شده محافظت مینماید ولی در روش آفلاین هیچگونه محافظتی در نظر گرفته نشده است.
در حملات آنلاین از فرآیندهای لاگین معمولی استفاده میشود. مهاجم در هنگام روبروشدن با پیام لاگین میتواند به صورت دستی رمزهای عبور را وارد کند یا از نرم افزارهایی استفاده میکند که به صورت خودکار رمزهای عبور مختلف را وارد سیستم کرده و کلمات مختلف را برای ورود امتحان مینمایند. معمولاً تشخیص – و مسدود کردن – حملات آنلاین آسان است و معمولاً چنین حملاتی موفقیت آمیز نیستند. در حمله آنلاین، مهاجم برای پیشگیری از شناسایی شدن باید بتواند با چند تلاش محدود رمز عبور را حدس بزند.
اما هکرها از متدهای خاصی برای حملات آنلاین استفاده میکنند. به عنوان مثال هکر ها ابتدا لیستی از رمزهای عبور را با استفاده از مهندسی اجتماعی حدس میزنند و میتوانند از نرم افزارهای ورود خودکار استفاده کرده و هر 24 ساعت یکبار یکی از آن لغات را برای ورود امتحان نمایند و این کار تا وقتی که رمز عبور معتبر پیدا شود، ادامه خواهد داشت.
روش دیگری که هکرها برای سرقت رمز عبور استفاده مینمایند امتحان کردن رمزهای عبور پرکاربرد است که لیست آن هر ساله در اینترنت منتشر می شود، گام بعد امتحان کردن نامهای کاربری متفاوت است، بسیاری از کاربران رمز عبور خود را مشابه نام خود استفاه مینمایند روش بعدی، تهیه چندین ترکیب از نام کاربری و رمزهای عبوری متداول و امتحان کردن آنها روی چندصد یا چندین هزار وبسایت مختلف است.
به طور مثال بسیاری از افراد در ایران از شماره شناسنامه، تاریخ تولد خود و نزدیکان خود استفاده مینمایند و یا برای پیچیده کردن رمز عبور این عبارات را با دو صفر ترکیل مینمایند و یا این عبارات را دوبار تکرار مینمایند.
حملات آفلاین پیچیدهتر هستند اما در صورت موفقیت سود بیشتری برای مهاجمین دارند. حملات آفلاین وقتی انجام میشوند که یک رخنهگر به نوعی بتواند به پایگاه داده و توابع فشرده ساز (Hash) مربوط به رمز عبور دسترسی پیدا کند. در مقاله ذخیره سازی رمز عبور در پایگاه داده توضیح دادیم که توابع تولیدکننده کدهای فشرده ساز رمز عبور، توابعی یک طرفه هستند و نمیتوان کدهای فشردهساز را مستقیماً به رمز عبور تبدیل کرد، اما اگر کسی به نوعی Hash را سرقت کند، میتواند حمله آفلاین را انجام دهد.
اگر کسی کد فشردهساز رمزهای عبور را به دست بیاورد میتواند حمله جستجوی فراگیر و حمله دیکشنری را انجام دهد و در واقع میلیونها رمز عبور مختلف را امتحان کند تا زمانی که رمز عبور درست پیدا شود. به عبارت دیگر با اعمال توابع فشرده ساز بر کلمات مختلف سعی بر آن دارد کلمهای را پیدا کند که با کدهای فشردهساز به دست آمده از پایگاه داده برابر است. این حملات شبیه امتحان کردن تک تک کلیدهای یک دسته کلید بزرگ هستند تا زمانی که کلید قفل مورد نظر پیدا شود.
از آنجایی که هیچ فرآیندی برای پیشگیری از امتحان کردن رمزهای عبوری مختلف وجود ندارد، مهاجم میتواند رمزهای عبوری مختلف را امتحان کند تا اینکه رمز عبور مورد نظر را شناسایی کند. با توجه به اینکه بسیاری افراد از رمزهای عبوری ضعیف استفاده میکنند، این افراد در برابر حملات آفلاین آسیب پذیر هستند. در موارد زیادی مشاهده شده که یک هکر تنها در عرض چند دقیقه توانسته 50 درصد از تمام کدهای فشردهساز را استخراج کند.
معمولاً در حملات آفلاین یک رمز عبور در نظر گرفته شده و کدهای فشردهساز آن به دست میآید، سپس کد تولید شده با کدهای موجود در پایگاه داده کدهای فشردهساز مقایسه میشود. اگر جستجوی مهاجم منجر به پیدا شدن کدهای فشردهساز شود که با مقدار مورد جستجو تطبیق دارد، این یعنی مهاجم یک رمز عبور را درست حدس زده است.
پیش نیاز لازم برای اجرای حمله آفلاین این است که مهاجم از قبل به اندازهای در سیستم امنیتی رخنه کرده باشد که بتواند در پایگاه داده کدهایفشردهساز، رمز عبور را به دست آورد. گاهی اوقات برای انجام این کار نیاز به اجرای حملاتی پیچیده وجود دارد اما بسیاری از مواقع برنامه نویسان یا مدیران سیستمها مرتکب اشتباهاتی میشوند که منجر به افشای این کدهای فشردهساز میشود. در واقع بسیاری مواقع هکر میتواند تنها با یک جستجو در گوگل کدهای فشرده ساز رمزهای عبور را استخراج کند.
فقط کافی است سایتهای آنلاینی که لیستی از این توابع فشرده ساز را دارد پیدا کرده و در این سایتها کلمات مختلف و رمزهای پرکاربرد قرار گرفته است که کدهای فشرده ساز آنها نیز پیدا شده است.
مهاجم میتواند وبسایتهای آسیبپذیر را جستجو و پیدا کرده، کدهای فشرده ساز آنها را به دست آورده و با استفاده از یک نرمافزار این کدهایفشرده ساز را شناسایی نماید. بدین ترتیب با به دست آوردن نام کاربری، رمز عبور آنها را نیز خواهند داشت. در جامعه هکرها بسیار متداول است که افرادی کدهای فشرده ساز را به دست آوردند و دیگران با استفاده از نرمافزارهای خودشان این کدهای فشرده ساز را از لیست آنها کرک نمایند. در ادامه چند مورد از روشهای آنلاین و آفلاین جهت کرک کردن رمز عبور ( سرقت رمز عبور ) را بررسی میکنیم. با آگاهی از این روشها میتوانیم حصار امنیتی را قویتر نماییم تا دیگران رمز عبور شما را هک ننمایند.
حدسهای هوشمندانه
راحتترین راه برای به دست آوردن رمز عبور ، حدس زدن آن است. بسیاری از هکرها پنج رمز عبور متداول را برای یک سیستم خاص امتحان میکنند. حتی ممکن است رمز عبور خالی و یا رمز عبوری شبیه به نام کاربری افراد را هم امتحان کنند.
اگر به نتیجه نرسیدند، به سمت حساب کاربری دیگری حرکت کرده و این تلاش را ادامه میدهند تا وقتی حساب کاربریهایی که رمز عبور ضعیف دارند را پیدا کنند. در برخی موارد هکرها برای حدس زدن رمز عبور از برنامههایی استفاده میکنند که به صورت خودکار رمزهای عبور مختلف را تست نماید. اگر فردی با شما آشنایی داشته باشد،
- ممکن است رمزهای عبوری را امتحان کند که به زندگی شخصی شما ارتباط داشته باشند – مثلاً نام همسر یا خودروی مورد علاقه شما.
- ممکن است فردی یک یا چند مورد از رمزهای عبوری که شما در جاهای دیگر استفاده کردهاید را بداند و آنها را امتحان کند.
- این تکنیک، مقدماتیترین روش حمله محسوب میشود، اما هنوز هم بسیار کارآمد است.
حمله دیکشنری
حمله دیکشنری یکی از حملات آفلاین است که برای تشخیص و سرقت رمز عبور استفاده میشود. در این حمله یک لیست از کلمات (اغلب اوقات یک دیکشنری) در نظر گرفته میشود و هر کلمه امتحان میشود تا وقتی که یک رمز عبور معتبر پیدا شود. لیستهای مختلفی در وبسایتهای اینترنتی وجود دارد که به اجرای این حملات کمک میکنند. به کاربردن کلمات مختلف که در فرهنگ لغتها وجود دارد، برای رمز عبور اصلا گزینه مناسبی نیست.
ابزارهای نرمافزاری مختلفی هم برای اتوماتیک کردن حملات دیکشنری علیه سیستمهای مختلف تهیه شدهاند. بیشتر این ابزارها به اندازهای هوشمند هستند که حالتهای مختلف برای کلمات دیکشنری را امتحان کنند مثلاً جایگزین کردن برخی حروف یا اضافه کردن یک یا دو رقم بعد از کلمه اصلی.
حمله جستجوی فراگیر
حمله جستجوی یک نسخه پر زحمتتر اما کاملتر از حمله دیکشنری است. در این حملات میلیونها رمز عبور مختلف امتحان میشود اما ترکیب تمام حروف و سمبلهای مختلف امتحان میشود تا این که یک رمز عبور پیدا شود.
ممکن است سالها زمان ببرد که چنین حملاتی به موفقیت برسند، در نتیجه به عنوان آخرین راهکار از آنها استفاده میشود. حملات جستجوی فراگیر کند و زمانبر هستند اما با این وجود بسیار متداول هستند. در مقالات آتی این حملات را بیشتر مورد بررسی و تحلیل قرار خواهیم داد.
جداول رنگین کمانی!
حملات آفلاین با به دست آوردن کدهای فشرده ساز میلیونها رمز عبور، برای پیدا کردن Hash یک رمز میتواند بسیار مفید واقع شود. جداول رنگین کمانی از قبل Hash میلیاردها رمز عبور را محاسبه کردهاند و از این طریق منجر به آسانتر شدن این فرایند میشوند.
تولید این جداول زمان زیادی میبرد، اما وقتی جدول را داشته باشید میتوانید در عرض چند ثانیه تعداد زیادی رمز عبور را کرک کنید. جداول رنگین بسیار مهم هستند زیرا وجود آنها باعث میشود که تمام رمزهای عبوریی که کمتر از 15 کاراکتر دارند در صورت اجرای حملات آفلاین، بلافاصله آسیبپذیر شوند.
مهندسی اجتماعی
گاهی اوقات هکر به سادگی و با پرسیدن چند سوال به رمز عبور شما دست پیدا میکند. شاید این روش قدیمیترین ترفند مورد بررسی باشد، روش مهندسی اجتماعی که در لایه نیروی انسانی وارد شده است، ضعیفترین حلقه امنیت سایبر به شمار میآید.
ممکن است هکرها در نقش کارمندان پشتیبانی یا نیروهای خدماتی ظاهر شده و با ترفندهایی سعی کنند رمز عبور شما را به دست آورند. ممکن است این افراد ایمیلی به شما ارسال کرده و در آن ادعا کنند که حساب بانکی شما و یا سیم کارت موبایلتان بلوکه شده و از شما درخواست کنند که رمز عبور تان را در محل مشخصی (یک فرم یا یک صفحه از سایت) درج کنید. بهترین فرآیند دفاعی در برابر چنین حملاتی این است که هرگز (حتی نزدیکان و عزیزان) رمز عبورتان را به اشتراک نگذارید.
نکتهای که باید مد نظر داشته باشید روشهای مختلف مهندسی اجتماعی است که در مقالات متعدد در این پایگاه به آن اشاره شده است.
تکنیکهای دیگر
هکرها تکنیکهای زیادی برای سرقت رمز عبور در اختیار دارند. این افراد میتوانند از کیلاگر جهت ثبت کلیدهای صفحه کلید که شما به آنها ضربه میزنید استفاده کنند. همچنین میتوانند از ابزارهای تخصصی به نام اسنیفر برای نظارت بر ترافیک شبکه و استخراج رمزهای عبوریی که از طریق شبکههای رمزنگاری نشده تبادل میشوند، استفاده کنند.
مهاجمین میتوانند از آسیب پذیریهای مرورگر جهت استخراج کوکیهایی که ممکن است حاوی اطلاعات احرازهویت باشند، استفاده کنند. حتی ممکن است با زور و تهدید اسلحه رمز عبور تان را از شما دریافت کنند! تکنیکهای مورد استفاده آنها بسیار متنوع و دائماً در حال رشد و تکامل هستند. بسیاری از این موارد در مقالات این پایگاه اشاره شده است.
پیروزی در بازی اعداد
کارآمدترین راه برای شکست دادن رخنه گران استفاده از رمزهای عبوریی قوی است. اگر رمز عبور شما به اندازه کافی طولانی و تصادفی بوده و حاوی اطلاعات شخصی نباشد، به دست آوردن آن با استفاده از تکنیکهای متداول فوق العاده سخت خواهد بود. در دنیای امروزی استفاده از رمزهای عبوری قوی یک امر ضروری است.
بیشتر تکنیکهای کرک کردن رمز عبور نیاز به برقراری یک توازن بین قدرت پردازشگر یا زمان دارند. جستجو بین میلیاردها رمز عبور جهت پیدا کردن گزینههای صحیح، زمان میبرد. اما هر سال کامپیوترها قدرتمندتر میشوند. این احتمال وجود دارد که یک ابزار کرک رمز عبور بتواند در هر ثانیه میلیونها رمز عبور مختلف را امتحان کند – تقریباً صد میلیارد رمز عبور در روز.
این قدرت پردازشی یعنی اگر مهاجمین را ملزم به امتحان کردن یک میلیارد رمز عبور کنید، امنیت نخواهید داشت؛ شما باید آنها را ملزم به بررسی و امتحان کردن یک یا یک هزار تریلیون رمز عبور مختلف کنید. تنها فرآیند دفاعی شما، اعداد و ارقام هستند.
شما باید کاری کنید که کرک کردن رمز عبور تان به اندازهای سخت شود که هیچ کس صبر یا منابع لازم برای انجام این کار را نداشته باشد. ما در مقالات بعدی به شما آموزش میدهیم که چگونه رمز عبور قوی بسازید، اما در حال حاضر کمی در باره ماهیت رمز عبور و اطلاعات اماری تکمیلی، دادههایی را تشریح مینماییم.
میزان پیچیدگی رمز عبور شما مشخص میکند که کرک کردن آن چقدر زمان میبرد. رمز عبور شما نباید آنقدر ساده باشد که در برابر حمله دیکشنری آسیب پذیر باشد و شما باید رمز عبور تان را بین یک هزار تریلیون رمز عبور مختلف دیگر پنهان کنید. بنابراین رمز عبور شما باید حداقل متشکل از 10 کاراکتر بوده و به جز حروف کوچک انگلیسی از کاراکترهای دیگری هم در آن استفاده کنید.
امتحان کردن و جستجو بین یک هزار تریلیون رمز عبور به زمان بسیار بسیار طولانی نیاز دارد. اگر فردی از هزار کامپیوتر با سرعت تحلیل یک میلیون رمز عبور در ثانیه استفاده کند، با فرض اینکه به طور میانگین در وسط راه موفق به کرک کردن رمز عبور تان شود، زمان مورد نیاز جهت کرک کردن رمز عبور شما، 317098 سال خواهد بود.
خلاصه
امنیت رمز عبور به میزان زیادی به نگرش و احتیاط شما نسبت به امنیت بستگی دارد. اگر نسبت به رمزهای عبوریتان بیاحتیاط باشید باید انتظار داشته باشید که روزی مهاجمی رمز عبور شما را به سرقت ببرد. باید نسبت به اطلاعاتی که درباره خودتان افشا میکنید، محتاط باشید. به خاطر داشته باشید که هر چیزی در یک انجمن اینترنتی عمومی پست میکنید، ممکن است توسط موتورهای جستجویی از جمله گوگل ایندکس شود.
ممکن است این اطلاعات برای سالها یا دههها در اینترنت باقی بماند. ممکن است وبسایتهای قدیمی که شما دیگر به آنها دسترسی ندارید، تا سالها در جایی ذخیره شده باشد و در دسترس افرادی که قصد جمع آوری اطلاعات درباره شما را دارند، قرار داشته باشند. همچنین ممکن است منابع اطلاعاتی عمومی هم اطلاعاتی را درباره شما افشا کنند. شاید همین حالا هم آدرس ایمیل شما در اینترنت پخش شده باشد.
همیشه وقتی اطلاعاتی را در اینترنت منتشر میکنید، احتیاط زیادی به خرج داده و بسیار مراقب باشید. شبکه های اجتماعی مثل اینستاگرام کاربران را تشویق به ایجاد صفحهای میکنند که در آن میتوانند اطلاعات شخصی درباره خودشان، خانواده، حیوان خانگی و علایقشان منتشر کنند. اگر رمز عبور شما به نوعی با این اطلاعات در ارتباط باشد، این اطلاعات میتواند برای یک هکر مفید باشد.
بعلاوه، ممکن است فردی از وبسایتهایی مثل اینستاگرام یا لینکدین استفاده کند تا بررسی کند که شما در گذشته چه اجناسی را خرید یا فروش کردید. باز هم یک مهاجم ممکن است از این اطلاعات بر علیه شما استفاده کند.
درباره اطلاعاتی که در فضای آنلاین منتشر میکنید و درباره رمزهای عبوریی که انتخاب میکنید، محتاط باشید. مقالات بعدی ایدهها و تکنیکهای لازم جهت ساخت رمزهای عبوریی قوی و غیرقابل کرک شدن را به شما آموزش میدهد.