هکر‌ها چطور از رمز عبور شما مطلع می‌شوند

روش مورد استفاده برای سرقت رمز عبور ، بستگی به سیستم هدف دارد. در برخی از روش­ها مانند کنترل دسترسی در سیستم عامل­ها نظیر ویندوز ، فرایندی تعریف شده است که پس از چندبار تلاش ناموفق، سامانه و سیستم عامل قفل گردد. مشابه این فرایند را در کارت­های اعتباری بانکی خود نیز مشاهده کرده­ اید.

هکرها گاهی به روش­‌‌های حمله آفلاین روی می­ آورند و در این روش تنها محدودیتی که دارند قدرت پردازشگر و صبر هکر می­‌باشد. در حمله آنلاین، سیستم فرد قربانی فرایندی را دارد که از رمز عبور ذخیره شده محافظت می­نماید ولی در روش آفلاین هیچگونه محافظتی در نظر گرفته نشده است.

در حملات آنلاین از فرآیند‌های لاگین معمولی استفاده می‌شود. مهاجم در هنگام روبروشدن با پیام لاگین می‌تواند به صورت دستی رمزهای عبور را وارد کند یا از نرم افزارهایی استفاده می­کند که به صورت خودکار رمزهای عبور مختلف را وارد سیستم ­کرده و کلمات مختلف را برای ورود امتحان می­نمایند. معمولاً تشخیص – و مسدود کردن – حملات آنلاین آسان است و معمولاً چنین حملاتی موفقیت آمیز نیستند. در حمله آنلاین، مهاجم برای پیشگیری از شناسایی شدن باید بتواند با چند تلاش محدود رمز عبور را حدس بزند.

اما هکرها از متدهای خاصی برای حملات آنلاین استفاده می­کنند. به عنوان مثال هکر ها ابتدا لیستی از رمزهای عبور را با استفاده از مهندسی اجتماعی حدس می­زنند و می‌توانند از نرم افزارهای ورود خودکار استفاده کرده و هر 24 ساعت یکبار یکی از آن لغات را برای ورود امتحان نمایند و این کار تا وقتی که رمز عبور معتبر پیدا شود، ادامه خواهد داشت.

روش دیگری که هکرها برای سرقت رمز عبور استفاده می­نمایند امتحان کردن رمزهای عبور پرکاربرد است که لیست آن هر ساله در اینترنت منتشر می شود، گام بعد امتحان کردن نام­های کاربری متفاوت است، بسیاری از کاربران رمز عبور خود را مشابه نام خود استفاه می­­­نمایند روش بعدی، تهیه چندین ترکیب از نام کاربری و رمزهای عبوری متداول و امتحان کردن آنها روی چندصد یا چندین هزار وبسایت مختلف است.

به طور مثال بسیاری از افراد در ایران از شماره شناسنامه، تاریخ تولد خود و نزدیکان خود استفاده می­نمایند و یا برای پیچیده کردن رمز عبور این عبارات را با دو صفر ترکیل می­نمایند و یا این عبارات را دوبار تکرار می­نمایند.

حملات آفلاین پیچیده‌تر هستند اما در صورت موفقیت سود بیشتری برای مهاجمین دارند. حملات آفلاین وقتی انجام می‌شوند که یک رخنه‌گر به نوعی بتواند به پایگاه داده و توابع فشرده ساز (Hash‌) مربوط به رمز عبور دسترسی پیدا کند. در مقاله ذخیره سازی رمز عبور در پایگاه داده توضیح دادیم که توابع تولیدکننده کدهای فشرده ساز رمز عبور، توابعی یک طرفه هستند و نمی‌توان کدهای فشرده­‌ساز را مستقیماً به رمز عبور تبدیل کرد، اما اگر کسی به نوعی Hash را سرقت کند، می‌تواند حمله آفلاین را انجام دهد.

اگر کسی کد فشرده‌­ساز رمزهای عبور را به دست بیاورد می‌تواند حمله جستجوی فراگیر و حمله دیکشنری را انجام دهد و در واقع میلیون‌ها رمز عبور مختلف را امتحان کند تا زمانی که رمز عبور درست پیدا شود. به عبارت دیگر با اعمال توابع فشرده ساز بر کلمات مختلف سعی بر آن دارد کلمه­‌ای را پیدا کند که با کدهای فشرده‌­ساز به دست آمده از پایگاه داده برابر است. این حملات شبیه امتحان کردن تک تک کلیدهای یک دسته کلید بزرگ هستند تا زمانی که کلید قفل مورد نظر پیدا شود.

از آنجایی که هیچ فرآیندی برای پیشگیری از امتحان کردن رمزهای عبوری مختلف وجود ندارد، مهاجم می‌تواند رمزهای عبوری مختلف را امتحان کند تا اینکه رمز عبور مورد نظر را شناسایی کند. با توجه به اینکه بسیاری افراد از رمزهای عبوری ضعیف استفاده می‌کنند، این افراد در برابر حملات آفلاین آسیب پذیر هستند. در موارد زیادی مشاهده شده که یک هکر تنها در عرض چند دقیقه توانسته 50 درصد از تمام کدهای فشرده­‌ساز را استخراج کند.

معمولاً در حملات آفلاین یک رمز عبور در نظر گرفته شده و کدهای فشرده­‌ساز آن به دست می­آید، سپس کد تولید شده با کدهای موجود در پایگاه داده کدهای فشرده­‌ساز مقایسه می‌شود. اگر جستجوی مهاجم منجر به پیدا شدن کدهای فشرده­‌ساز شود که با مقدار مورد جستجو تطبیق دارد، این یعنی مهاجم یک رمز عبور را درست حدس زده است.

پیش نیاز لازم برای اجرای حمله آفلاین این است که مهاجم از قبل به اندازه‌ای در سیستم امنیتی رخنه کرده باشد که بتواند در پایگاه داده کدهای­فشرده­‌ساز، رمز عبور را به دست آورد. گاهی اوقات برای انجام این کار نیاز به اجرای حملاتی پیچیده وجود دارد اما بسیاری از مواقع برنامه نویسان یا مدیران سیستم‌ها مرتکب اشتباهاتی می‌شوند که منجر به افشای این کدهای­ فشرده‌­ساز می‌شود. در واقع بسیاری مواقع هکر می‌تواند تنها با یک جستجو در گوگل کدهای­ فشرده­ ساز رمزهای عبور را استخراج کند.

فقط کافی است سایت‌­های آنلاینی که لیستی از این توابع فشرده ساز را دارد پیدا کرده و در این سایت­‌ها کلمات مختلف و رمزهای پرکاربرد قرار گرفته است که کدهای فشرده ­ساز آن­ها نیز پیدا شده است.

مهاجم می‌تواند وب‌سایت‌های آسیب‌پذیر را جستجو و پیدا کرده، کدهای ­فشرده ­ساز آن‌ها را به دست آورده و با استفاده از یک نرم‌افزار این کدهای­فشرده ­ساز را شناسایی نماید. بدین ترتیب با به دست آوردن نام کاربری، رمز عبور آن­ها را نیز خواهند داشت. در جامعه هکرها بسیار متداول است که افرادی کدهای فشرده ­ساز را به دست آوردند و دیگران با استفاده از نرم‌افزارهای خودشان این کدهای فشرده ­ساز را از لیست آن­ها کرک نمایند. در ادامه چند مورد از روش‌های آنلاین و آفلاین جهت کرک کردن رمز عبور  ( سرقت رمز عبور ) را بررسی می‌کنیم. با آگاهی از این روش‌ها می­‌توانیم حصار امنیتی را قوی­تر نماییم تا دیگران رمز عبور شما را هک ننمایند.

حدس‌های هوشمندانه

راحت‌ترین راه برای به دست آوردن رمز عبور ، حدس زدن آن است. بسیاری از هکرها پنج رمز عبور متداول را برای یک سیستم خاص امتحان می‌کنند. حتی ممکن است رمز عبور خالی و یا رمز عبوری شبیه به نام کاربری افراد را هم امتحان کنند.

اگر به نتیجه نرسیدند، به سمت حساب کاربری دیگری حرکت کرده و این تلاش را ادامه می‌دهند تا وقتی حساب کاربری­‌هایی که رمز عبور ضعیف دارند را پیدا کنند. در برخی موارد هکرها برای حدس زدن رمز عبور از برنامه­‌هایی استفاده می­‌کنند که به صورت خودکار رمزهای عبور مختلف را تست نماید. اگر فردی با شما آشنایی داشته باشد،

• ممکن است رمزهای عبوری را امتحان کند که به زندگی شخصی شما ارتباط داشته باشند – مثلاً نام همسر یا خودروی مورد علاقه شما.
• ممکن است فردی یک یا چند مورد از رمزهای عبوری که شما در جاهای دیگر استفاده کرده‌اید را بداند و آنها را امتحان کند.
• این تکنیک، مقدماتی‌ترین روش حمله محسوب می‌شود، اما هنوز هم بسیار کارآمد است.

حمله دیکشنری

حمله دیکشنری یکی از حملات آفلاین است که برای تشخیص و سرقت رمز عبور استفاده می‌شود. در این حمله یک لیست از کلمات (اغلب اوقات یک دیکشنری) در نظر گرفته می‌شود و هر کلمه امتحان می‌شود تا وقتی که یک رمز عبور معتبر پیدا شود. لیست‌های مختلفی در وب‌سایت‌های اینترنتی وجود دارد که به اجرای این حملات کمک می‌کنند. به کاربردن کلمات مختلف که در فرهنگ لغت­‌ها وجود دارد، برای رمز عبور اصلا گزینه مناسبی نیست.

ابزارهای نرم‌افزاری مختلفی هم برای اتوماتیک کردن حملات دیکشنری علیه سیستم‌های مختلف تهیه شده‌اند. بیشتر این ابزارها به اندازه‌ای هوشمند هستند که حالت‌های مختلف برای کلمات دیکشنری را امتحان کنند مثلاً جایگزین کردن برخی حروف یا اضافه کردن یک یا دو رقم بعد از کلمه اصلی.

حمله جستجوی فراگیر

حمله جستجوی یک نسخه پر زحمت‌تر اما کامل‌تر از حمله دیکشنری است. در این حملات میلیون‌ها رمز عبور مختلف امتحان می‌شود اما ترکیب تمام حروف و سمبل‌های مختلف امتحان می‌شود تا این که یک رمز عبور پیدا شود.

ممکن است سال‌ها زمان ببرد که چنین حملاتی به موفقیت برسند، در نتیجه به عنوان آخرین راهکار از آنها استفاده می‌شود. حملات جستجوی فراگیر کند و زمان‌­بر هستند اما با این وجود بسیار متداول هستند. در مقالات آتی این حملات را بیشتر مورد بررسی و تحلیل قرار خواهیم داد.

جداول رنگین کمانی!

حملات آفلاین با به دست آوردن کدهای فشرده­ ساز میلیون‌ها رمز عبور، برای پیدا کردن Hash یک رمز می­تواند بسیار مفید واقع شود. جداول رنگین کمانی از قبل Hash میلیاردها رمز عبور را محاسبه کرده‌اند و از این طریق منجر به آسان‌تر شدن این فرایند می‌شوند.

تولید این جداول زمان زیادی می‌برد، اما وقتی جدول را داشته باشید می‌توانید در عرض چند ثانیه تعداد زیادی رمز عبور را کرک کنید. جداول رنگین بسیار مهم هستند زیرا وجود آنها باعث می‌شود که تمام رمزهای عبوریی که کمتر از 15 کاراکتر دارند در صورت اجرای حملات آفلاین، بلافاصله آسیب‌پذیر شوند.

مهندسی اجتماعی

گاهی اوقات هکر به سادگی و با پرسیدن چند سوال به رمز عبور شما دست پیدا می‌کند. شاید این روش قدیمی‌ترین ترفند مورد بررسی باشد، روش مهندسی اجتماعی که در لایه نیروی انسانی وارد شده است، ضعیف‌ترین حلقه امنیت سایبر به شمار می‌­آید.

ممکن است هکرها در نقش کارمندان پشتیبانی یا نیروهای خدماتی ظاهر شده و با ترفندهایی سعی کنند رمز عبور شما را به دست آورند. ممکن است این افراد ایمیلی به شما ارسال کرده و در آن ادعا کنند که حساب بانکی شما و یا سیم کارت موبایلتان بلوکه شده و از شما درخواست کنند که رمز عبور تان را در محل مشخصی (یک فرم یا یک صفحه از سایت) درج کنید. بهترین فرآیند دفاعی در برابر چنین حملاتی این است که هرگز (حتی نزدیکان و عزیزان) رمز عبورتان را به اشتراک نگذارید.

نکته­‌ای که باید مد نظر داشته باشید روش­‌های مختلف مهندسی اجتماعی است که در مقالات متعدد در این پایگاه به آن اشاره شده است.

تکنیک‌های دیگر

هکرها تکنیک‌های زیادی برای سرقت رمز عبور در اختیار دارند. این افراد می‌توانند از کی‌لاگر جهت ثبت کلیدهای صفحه کلید که شما به آنها ضربه می‌زنید استفاده کنند. همچنین می‌توانند از ابزارهای تخصصی به نام اسنیفر برای نظارت بر ترافیک شبکه و استخراج رمزهای عبوریی که از طریق شبکه‌های رمزنگاری نشده تبادل می‌شوند، استفاده کنند.

مهاجمین می‌توانند از آسیب پذیری‌های مرورگر جهت استخراج کوکی‌هایی که ممکن است حاوی اطلاعات احرازهویت باشند، استفاده کنند. حتی ممکن است با زور و تهدید اسلحه رمز عبور تان را از شما دریافت کنند! تکنیک‌های مورد استفاده آنها بسیار متنوع و دائماً در حال رشد و تکامل هستند. بسیاری از این موارد در مقالات این پایگاه اشاره شده است.

پیروزی در بازی اعداد

کارآمدترین راه برای شکست دادن رخنه گران استفاده از رمزهای عبوریی قوی است. اگر رمز عبور شما به اندازه کافی طولانی و تصادفی بوده و حاوی اطلاعات شخصی نباشد، به دست آوردن آن با استفاده از تکنیک‌های متداول فوق العاده سخت خواهد بود. در دنیای امروزی استفاده از رمزهای عبوری قوی یک امر ضروری است.

بیشتر تکنیک‌های کرک کردن رمز عبور نیاز به برقراری یک توازن بین قدرت پردازشگر یا زمان دارند. جستجو بین میلیاردها رمز عبور جهت پیدا کردن گزینه‌های صحیح، زمان می‌برد. اما هر سال کامپیوترها قدرتمندتر می‌شوند. این احتمال وجود دارد که یک ابزار کرک رمز عبور بتواند در هر ثانیه میلیون‌ها رمز عبور مختلف را امتحان کند – تقریباً صد میلیارد رمز عبور در روز.

این قدرت پردازشی یعنی اگر مهاجمین را ملزم به امتحان کردن یک میلیارد رمز عبور کنید، امنیت نخواهید داشت؛ شما باید آنها را ملزم به بررسی و امتحان کردن یک یا یک هزار تریلیون رمز عبور مختلف کنید. تنها فرآیند دفاعی شما، اعداد و ارقام هستند.

شما باید کاری کنید که کرک کردن رمز عبور تان به اندازه‌ای سخت شود که هیچ کس صبر یا منابع لازم برای انجام این کار را نداشته باشد. ما در مقالات بعدی به شما آموزش می‌دهیم که چگونه رمز عبور قوی بسازید، اما در حال حاضر کمی در باره ماهیت رمز عبور و اطلاعات اماری تکمیلی، داده­هایی را تشریح می­نماییم.

میزان پیچیدگی رمز عبور شما مشخص می‌کند که کرک کردن آن چقدر زمان می‌برد. رمز عبور شما نباید آنقدر ساده باشد که در برابر حمله دیکشنری آسیب پذیر باشد و شما باید رمز عبور تان را بین یک هزار تریلیون رمز عبور مختلف دیگر پنهان کنید. بنابراین رمز عبور شما باید حداقل متشکل از 10 کاراکتر بوده و به جز حروف کوچک انگلیسی از کاراکترهای دیگری هم در آن استفاده کنید.

امتحان کردن و جستجو بین یک هزار تریلیون رمز عبور به زمان بسیار بسیار طولانی نیاز دارد. اگر فردی از هزار کامپیوتر با سرعت تحلیل یک میلیون رمز عبور در ثانیه استفاده کند، با فرض اینکه به طور میانگین در وسط راه موفق به کرک کردن رمز عبور تان شود، زمان مورد نیاز جهت کرک کردن رمز عبور شما، 317098 سال خواهد بود.

خلاصه

امنیت رمز عبور به میزان زیادی به نگرش و احتیاط شما نسبت به امنیت بستگی دارد. اگر نسبت به رمزهای عبوریتان بی‌احتیاط باشید باید انتظار داشته باشید که روزی مهاجمی رمز عبور شما را به سرقت ببرد. باید نسبت به اطلاعاتی که درباره خودتان افشا می‌کنید، محتاط باشید. به خاطر داشته باشید که هر چیزی در یک انجمن اینترنتی عمومی پست می‌کنید، ممکن است توسط موتورهای جستجویی از جمله گوگل ایندکس شود.

ممکن است این اطلاعات برای سال‌ها یا دهه‌ها در اینترنت باقی بماند. ممکن است وبسایت‌های قدیمی که شما دیگر به آنها دسترسی ندارید، تا سالها در جایی ذخیره شده باشد و در دسترس افرادی که قصد جمع آوری اطلاعات درباره شما را دارند، قرار داشته باشند. همچنین ممکن است منابع اطلاعاتی عمومی هم اطلاعاتی را درباره شما افشا کنند. شاید همین حالا هم آدرس ایمیل شما در اینترنت پخش شده باشد.

همیشه وقتی اطلاعاتی را در اینترنت منتشر می‌کنید، احتیاط زیادی به خرج داده و بسیار مراقب باشید. شبکه­ های اجتماعی مثل اینستاگرام کاربران را تشویق به ایجاد صفحه‌ای می‌کنند که در آن می‌توانند اطلاعات شخصی درباره خودشان، خانواده، حیوان خانگی و علایقشان منتشر کنند. اگر رمز عبور شما به نوعی با این اطلاعات در ارتباط باشد، این اطلاعات می‌تواند برای یک هکر مفید باشد.

بعلاوه، ممکن است فردی از وب‌سایت‌هایی مثل اینستاگرام یا لینکدین استفاده کند تا بررسی کند که شما در گذشته چه اجناسی را خرید یا فروش کردید. باز هم یک مهاجم ممکن است از این اطلاعات بر علیه شما استفاده کند.

درباره اطلاعاتی که در فضای آنلاین منتشر می‌کنید و درباره رمزهای عبوریی که انتخاب می‌کنید، محتاط باشید. مقالات بعدی ایده‌ها و تکنیک‌های لازم جهت ساخت رمزهای عبوریی قوی و غیرقابل کرک شدن را به شما آموزش می‌دهد.