چگونه هكرها را ناامید كنیم

انتخاب یك كلمه عبور خوب و قوی چقدر مشكل است؟ بیشتر مردم اعتقاد دارند كه انتخاب یك كلمه عبور خوب ساده است. اما در حقیقت اغلب مردم معمولا كلمات عبور ضعیفی انتخاب میكنند. در سال 1990 تلاش برای نفوذ به یك پایگاه داده بزرگ از كلمات عبور منجر به كشف بیش از 300 كلمه عبور در همان 15 دقیقه اول شد! یك پنجم از كلمات عبور در هفته اول و تقریبا یك چهارم از آنها تا پایان عملیات پیدا شدند. بیش از نصف كلمات عبوری كه مورد نفوذ قرار گرفته بودند از شش كاراكتر یا كمتر تشكیل شده بودند و برخی از حسابهای كاربری اصلا كلمه عبور نداشتند! انتخاب یك كلمه عبور مناسب در حقیقت مصالحه ای بین انتخاب چیزی است كه به سختی حدس زده میشود و چیزی كه به راحتی به خاطر سپرده میشود. برای مثال ممكن است @G7x.m^l یك كلمه عبور خوب باشد، در حالیكه هیچكس نمیتواند آن را به راحتی به خاطر بسپارد. برعكس، به خاطر سپردن نام شما برای شما كار بسیار بسیار ساده ای است و در مقابل حدس زدن آن نیز برای هكرها كار ساده ای خواهد بود.

برخی قوانین ساده و اولیه

برخی راهكارهای ساده برای انتخاب كلمه عبور مناسب عبارتند از:

یك كلمه عبور حداقل باید از 8 كاراكتر تشكیل شده باشد.
سعی كنید برخی علائم نگارشی یا ارقام را در كلمه عبور خود وارد كنید.
بهتر است كلمه عبور شما از تركیبی از حروف بزرگ و كوچك الفبا تشكیل شده باشد.
یك عبارت یا تركیبی از كلمات را انتخاب كنید تا به خاطر سپردن كلمه عبور كار ساده تری گردد.
كلمه ای كه در یك دیكشنری از جمله دیكشنریهای زبانهای دیگر وجود داشته باشد را انتخاب نكنید.
حروفی را كه روی صفحه كلید پشت سر هم قرار دارند مانند qwertyui انتخاب نكنید.
هیچ كاراكتری را بیش از یكبار بصورت پشت سر هم تكرار نكنید.
فقط از علائم نگارشی یا ارقام یا حروف الفبا استفاده نكنید. بلكه تركیبی از آنها را بكار ببرید.
كلماتی كه به سادگی قابل حدس زدن هستند انتخاب نكنید، مانند:
- شماره تلفنها
- شماره اتومبیل
- اسامی دوستان یا خویشاوندان
- نام یا جزئیات كار خود
- تاریخ
هرگز نام كاربری خود را بعنوان كلمه عبور استفاده نكنید.
از كلمات عبور متفاوت برای حسابهای كاربری مختلف استفاده كنید.
كلمات عبور خود را هر از گاهی تغییر داده و از كلمات عبور قدیمی خود دوباره استفاده نكنید.
یك رقم یا علامت نگارشی را درست به ابتدا یا انتهای یك كلمه اضافه نكنید.
از معكوس كلمات معنی دار استفاده نكنید.
حروف را با ارقامی كه از نظر ظاهری به آنها شبیه هستند جایگزین نكنید. برای مثال جایگزین كردن تمامی حروف I در كلمه عبور با رقم 1 كار درستی نیست.

شكستن كلمات عبور

ایده ای كه پشت شكستن كلمات عبور وجود دارد بی نهایت ساده است: یك فهرست بزرگ از كلمات انتخاب میشود، هر كلمه رمز شده و سپس چك میشود كه آیا كلمه رمز شده با كلمه عبور كاربر همخوانی دارد یا خیر. این فهرست كلمات معمولا با استفاده از دیكشنریهای زبان انگلیسی و سایر زبانها، اسامی معمول، اسامی حیوانات، شخصیتهای تلویزیونی و سینمایی، حروف پشت سر هم روی صفحه كلید و اصطلاحات بدست می آید. برای اینكه فرد هكر بتواند كلماتی را كه درون فهرست كلماتش وجود ندارد و ممكن است كاربر انتخاب كرده باشد به دست آورد، یك مجموعه بزرگ از قوانین ساده را به هر یك از كلمات داخل فهرست اعمال كرده و چك میكند كه آیا كلمه به دست آمده همان كلمه عبور كاربر است یا خیر. این قوانین شامل افزودن ارقام یا علائم نگارشی به ابتدا یا انتهای كلمات، معكوس كردن كلمات، تبدیل كلمات به حروف بزرگ، جایگزین كردن حروف با ارقام یا حروف مشابه دیگر و ... میباشد. از آنجاییكه كامپیوترها سریع هستند، اعمال این قوانین و رمز كردن نتیجه زمان زیادی مصرف نمیكند و حدسهای زیادی در زمان كوتاهی قابل انجام است. بعلاوه یك پایگاه داده روی یك CD كه تمامی كلمات یك دیكشنری بزرگ را به همراه بسیاری از قوانینی كه این كلمات را رمز میكند داراست، عملیات پیدا كردن كلمه عبور را به یك جستجوی ساده در یك پایگاه داده تبدیل میكند.

یك كلمه عبور خوب از چند كاراكتر تشكیل شده؟

یك جواب ساده به این سوال این است كه معمولا یك كلمه طولانیتر بهتر است. تصور كنید كه شما تركیب معناداری از كاراكترها را بعنوان كلمه عبور خود انتخاب كرده اید. فرض كنید این تركیب شامل حروف و ارقام باشد. جدول زیر نشان میدهد كه تعداد كلماتی كه با این تركیب با درنظر گرفتن طولهای متفاوت میتوان ساخت چقدر است. همچنین زمان لازم برای حدس زدن یك كلمه عبور نیز تخمین زده شده است.

طول كلمه عبور	تعداد كلماتی كه با این طول میتوان ساخت	زمان لازم برای حدس زدن این كلمه
1	62	بصورت دستی میتوان آن را پیدا كرد
2	3844	زمان چندانی لازم نیست
3	238328	كمتر از یك ثانیه
4	14776336	دو ثانیه
5	916132832	دو دقیقه و نیم
6	56800235584	دو ساعت و نیم
7	3521614606208	یك هفته
8	218340105584896	یك سال
9	13537086546263552	هفتاد سال
10	839299365868340224	چهار قرن
11	5203656068387093888	دویست و پنجاه هزار سال
12	3226266762397899821056	شانزده میلیون سال

البته باید توجه داشت كه بسیاری از سیستمها طول یك كلمه عبور را محدود میكنند و كلمه عبوری را كه شما وارد كرده اید به اندازه مورد قبول خود تغییر میدهند. از آنجایی كه در سیستمهای یونیكس طول كلمه مورد قبول معمولا 8 كاراكتر است، در ادامه این مقاله فرض بر این قرار گرفته است كه یك كلمه عبور با طول 8 كاراكتر مورد استفاده قرار میگیرد.

یك كلمه عبور خوب باید از چه كاراكترهایی تشكیل شده باشد؟

در قسمت قبل فرض شده بود كه كلمات عبور از حروف كوچك و بزرگ و ارقام تشكیل شده باشند. اما اگر این مجموعه كاراكترها را كاهش یا افزایش دهیم چه اتفاقی می افتد؟ جدول زیر برخی گزینه ها را در مورد كلمات عبور متشكل از 8 كاراكتر بیان میدارد:

نوع كلمه عبور	تعداد كاراكترها	تعداد كلمات عبور	زمان نفوذ
ASCII 7 بیتی	128	72057594037927936	سیصد و پنجاه سال
كاراكترهای قابل نمایش	95	6634204312890625	سی و سه سال
حروف و ارقام	62	218340105584896	یك سال
فقط حروف	52	53459728531456	نود و شش روز
حروف كوچك با یك حرف بزرگ	26/خاص	1670616516608	سه روز
فقط حروف كوچك	26	208827064576	نه ساعت
كلمات انگلیسی (8 حرفی یا بیشتر)	خاص	250000	كمتر از یك ثانیه

بنابراین واضح است كه هرچه انواع كاراكترهای بیشتری مورد استفاده قرار بگیرد نفوذ به كلمه عبور سخت تر خواهد بود. شما باید سعی كنید حداقل تركیبی از حروف كوچك و بزرگ را بكار بگیرید، همچنین باید از ارقام، علائم نگارشی و یا كدهای كنترلی نیز در كلمه عبور خود استفاده كنید.

كلمات عبوری كه به ندرت استفاده میشوند

فقط یك حالت وجود دارد كه نوشتن كلمه عبور ایده خوبی است و آن زمانی است كه زیاد از آن كلمه عبور استفاده نمیكنید. برای مثال كلمه عبور اصلی یك سرور معمولا هر روز مورد استفاده قرار نمیگیرد. در چنین شرایطی بهتر است كلمه عبوری طولانی و پیچیده انتخاب كنید كه به خاطر سپردن آن بسیار سخت باشد، سپس آن را یادداشت كرده و در محل امنی نگهداری كنید. زمانی كه نیاز باشد از كلمه عبور استفاده كنید آن را از محل خود خارج كرده و پس از وارد كردن كلمه عبور نیز دوباره آن را در محل امن خود قرار دهید. این كلمه عبور نیز باید هر از گاهی تغییر كند. البته قطعا شرایط فرق میكند. اگر شما فكر میكنید كه امكان دارد كلمات عبور خود را فراموش كنید، شاید بهتر باشد كه از كلمه عبور پیچیده ای استفاده كرده و آن را یادداشت نمایید. فقط به خاطر داشته باشید كه اگر كسی به یادداشت شما دسترسی پیدا كند در اینصورت به سادگی میتواند وارد سیستم شود. هیچ یادداشت حاوی كلمه عبوری نباید نزدیك كامپیوتر شما و یا نزدیك جایی كه اطلاعات شخصی شما نگهداری شود. آن را در جایی امن نگهداری كنید. یك كشوی قفل شده بسیار بهتر از كیف پول شماست.

مثالهایی از كلمات عبور خوب

تا كنون راجع به كلمات عبور بد بحث كرده ایم. یك كلمه عبور خوب چگونه ساخته میشود؟ سعی كنید دو یا چند كلمه را با هم تركیب كنید یا حروف اول (یا دوم یا آخر) كلمات یك عبارت را كنار هم قرار داده و كلمه جدیدی بسازید. سپس در قسمتهای مختلف كلمه بدست آمده از حروف بزرگ، ارقام و علائم نگارشی استفاده كنید. علاوه بر اینها میتوانید كاراكترهای كنترلی را نیز اضافه كنید.

مثالهایی از كلمات عبور چند كلمهای

در اینجا مثالهای خوبی از چند كلمه ارائه شده است:

g0t%L0st! كه از عبارت got lost! بدست آمده است
heLP4me$ كه از عبارت help for me (money) بدست آمده است
اینجا نیز یك كلمه عبور بد را میبینید:
T0gether

مثالهایی از كلمات عبور با استفاده از یك عبارت

در اینجا سه مثال خوب برای كلمات عبور با استفاده از یك عبارت بیان شده است:

rsKf0myH با استفاده از عبارت Raindrops keep falling on my head
wru2rxy? با استفاده از عبارت Who are you to ask why
bWilIso3! با استفاده از عبارت Beware the ides of March
در اینجا نیز یك كلمه عبور بد با استفاده از یك عبارت مشاهده میكنید:
Aaaaaaaa با استفاده از عبارت Always assert an ambiguous axiom and argue aggressively

كلمات عبوری كه هرگز نباید استفاده كنید

در اینجا فهرستی از 500 كلمه عبور مشاهده میكنید كه هرگز نباید مورد استفاده قرار بگیرند. شما كلمات عبوری را كه بعنوان كلمه عبور ضعیف در این مقاله مطرح شد نیز به این مجموعه اضافه كنید. ضمنا از كلمات عبوری كه در مقلات به عنوان كلمه عبور خوب معرفی می شوند نیز استفاده نكنید بلكه بر اساس قوانین گفته شده اقدام به ساخت یك كلمه عبور كنید.
منبع:
http://www.auscert.org.au

تاريخ : چهار شنبه 10 مهر 1392برچسب:,

| | نویسنده : مقدم |

.: Weblog Themes By Pichak :.