همه ما تاکنون زیاد شنیده‌ایم که: از یک کلمه عبور طولانی و متنوع استفاده کنید، از یک کلمه عبور مشابه دوبار استفاده نکنید، از یک رمز عبور متفاوت برای هر سایت استفاده کنید. اکنون سوال این است که واقعا کلمه عبور کوتاه ناامن است؟

سوالات

کاربری کنجکاو است که آیا او واقعا باید به آن هشدارهای رمز عبورکوتاه توجه کند:

استفاده از سیستم‌هایی مانند تروکریپت، زمانی که من کلمه عبور جدیدی وارد می‌کنم اغلب مرا مطلع می کند که استفاده از کلمه عبور کوتاه، ناامن وبسیار آسان برای کرک شدن توسط هکرهاست. مثلا من برای پسورد جدید از ۸ کاراکتر استفاده می‌کنم که دارای معنی نباشد یا در لغت نامه وجود نداشته باشد و همچنین دارای کاراکترهایی از مجموعه‌ی A-Z, a-z, 0-9 باشد. برای مثال sDvE98f1

چه مقدار آسان است که یک هکر بتواند چنین رمز عبوری را کرک کند؟ یعنی چه مقدار زمان می‌برد؟

من می‌دانم که این به شدت به سخت‌افزار بستگی دارد اما شاید کسی بتواند برآورد کند که به وسیله پردازنده دوهسته‌ای 2GHZ یا هرچیز دیگر چه مقدار طول بکشد ولی مشخصا به قدرت سخت‌افزاری شخص بستگی دارد.

برای یک حمله‌ی هکری به چنین کلمه‌ی عبوری، هکرنه تنها به تمام ترکیبات نیاز دارد اما  با رمزهای عبوری حدس زده نیز می‌تواند این کاررا انجام دهد که آن هم زمان زیادی می‌طلبد. همچنین نرم افزارهایی به نام تروکریپت وجود دارند که من می‌خواهم امتحان کنم که اگر هکری رمزعبور من را کرک کرد چه زمان طول می‌کشد اگرچه آن رمزعبور بسیار ساده باشد.

آیا رمزهای عبور تصادفی کوتاه واقعا در معرض خطر هستند؟

پاسخ‌ها

کاربر برتر از سایت Josh K ، Superuser در این باره توضیحاتی می‌دهد که هکر به چه چیزهایی نیاز دارد:

اگر هکر بتواند به هش رمزعبور دسترسی پیدا کند بسیارآسان است که به اطلاعات ما دست یابد. قدرت هش به نوع ذخیره‌سازی آن بستگی دارد. یک هش از نوع MD5 زمان کمتری نسبت به هش SHA-512 برای کرک شدن نیاز دارد.

ویندوز از یک نوع هش به نام LM برای ذخیره‌سازی کلمه‌های عبوراستفاده می‌کند که رمز عبور به حروف بزرگ تبدیل شده و سپس به دو قسمت ۷ کاراکتری تقسیم می‌شود و سپس هش می‌شوند. اگر شما یک رمزعبور 15 کاراکتری دارید مهم نیست زیرا تنها 14 کاراکتر نخست آن ذخیره شده و کرک کردن آن آسان است زیرا شما یک رمزعبور 14 کاراکتری را کرک نمی‌کنید بلکه دو رمزعبور 7 کاراکتری را کرک می‌نمایید.

اگر شما احساس نیازبه نصب نرم‌افزاری مانند John The Ripper و Cain & Abel دارید آن‌ها را دانلود کرده و تست نمایید.

حملات Brute force زمانی اتفاق می‌افتد که هکرها تعداد زیادی هش به دست آورده‌اند. بعداز اینکه یک دیکشنری رایج را اجرا کردند اقدام به یافتن پسورد در حملات رایج brute force می‌کنند. پسوردهای ۱۰ عددی به علاوه آلفا، حروف الفبا و نمادهای رایج از این دسته از رمزهای عبور هستند.کاربر دیگر Phoshi درباره‌ی ایده‌ی خود سخن می‌گوید:

Brute force یک حمله‌ی قابل دوام نیست تقریبا همیشه! اگر هکر درباره‌ی پسوردشما چیزی ندانست نمی‌تواند با استفاده از Brute force اقدام به رمزگشایی رمز عبور شما کند چرا که تا سال 2020 باید صبرکند. این قضیه می‌تواند درطول سال‌های آینده تغییر کند چرا که سخت افزارها نیز در حال پیشرفت هستند البته در بازه‌ی سال‌های آینده!

اگر شما می‌خواهید که کلمه‌ی عبوری امن داشته باشید به شما توصیه‌ای داریم برای اینکار کلید Alt را نگه داشته و عددی بزرگتر از 255 را تایپ کنید. انجام اینکار تقریبا شما مطمئن می‌سازد که کار هکر بیهوده خواهد بود. شما باید در مورد معایب بالقوه در الگوریتم رمزنگاری تروکریپت، که می تواند به پیدا کردن هرچه ساده‌تریک رمز عبورمربوط می شود و البته رمز عبور پیچیده بیهوده خواهدبود زمانی که دستگاه‌ای که شما ازآن استفاده می‌کنید به خطر بیفتد.

این قسمت از سخنان Phoshi را به خاطر بسپارید که Brute force یک حمله‌ی عملی نیست زمانی که شما از تکنیک‌های رمزنگاری پیچیده فعلی استفاده نمایید هرگز!