تغییر مکرر رمز عبور، دشمن امنیت شماست

طبق صحبت‌های Lorrie Cranor، مدیر ارشد فناوری FTC - کمیسیون تجارت فدرال ایالات متحده امریکا، در بخش PasswordsCon از کنفرانس امنیتی Bsides در لاس‌وگاس، برخلاف ‌آن چه پیش از این به ما گفته می‌شد، تغییرات پرتعداد پسورد، می‌تواند نتیجه‌ی معکوس داشته باشد و امنیت حساب‌های کاربری ما را با تهدید مواجه کند.

اندکی پس از انتخاب خانم کرانو به عنوان مدیر بخش فناوری FTC، حساب رسمی این سازمان در توییتر پیغامی را منتشر کرد که مدیر جدید را شگفت‌زده کرد: «دوستان خود را به منظور داشتن پسوردهای قوی‌تر و یگانه، به تغییر دوره‌ای رمزهایشان تشویق کنید». دلیل این توصیه آن بود که شبکه‌ی یک سازمان ممکن است دارای مهاجمانی کشف نشده در درون خود باشد. تغییر رمز عبور باعث از کار افتادن این مهاجمان می‌شود. اما کرانو به عنوان یک استاد دانشگاه متمرکز روی امنیت، این توصیه را به دلایلی مشکل‌ساز می‌داند. یکی از این دلایل آن است که جمع زیاد و در حال افزایشی از محققان معتقدند تغییرات مکرر پسورد باعث آسیب‌پذیری‌های امنیتی دیگری شود.

این اولین بار نیست که در مورد تغییر متعدد پسورد هشدار داده می‌شود

لوریه کرانو بر اساس چند تحقیق منتشرشده‌ی نه چندان جدید، ثابت می‌کند این کار نتیجه‌ی مثبت اندکی دارد و می‌تواند نتایج منفی بزرگتری به بار آورد. یکی از این مقالات، تحقیق سال 2010 انجام شده در دانشگاه کارولینای شمالی است که با بررسی هش‌های رمزنگاری 10000 اکانت منقضی‌شده‌ی دانشجویان و کارکنان دانشگاه که مجبور بودند هر سه ماه یک بار پسورد خود را عوض کنند، دریافته‌اند که اکثر تغییرات پسورد پس از بازه‌ی 90 روزه، تغییر تنها یک کاراکتر از کوچک به بزرگ یا تعویض یک عدد با عدد دیگر و تغییراتی از این دست است. محققان این مقاله این نوع تغییرات را Transformation یا «تبدیل» می‌نامند و بر اساس این تبدیل‌ها، الگوریتمی را تولید کرده‌اند که می‌تواند تغییرات را با دقت بالایی حدس بزند. سپس با استفاده از شبیه‌سازی، به بررسی این الگوریتم پرداخته‌اند. نتیجه این شد که در حملات آنلاین، رمز 17 درصد از اکانت‌ها در کمتر از 5 تلاش شکسته شد و در تست حمله‌ی آفلاین با کامپیوترهای فوق سریع، 41 درصد رمزهای تغییریافته در کمتر از سه ثانیه شکسته شدند.

تحقیق دیگری در دانشگاه کارلتون نیز از جنبه‌ی ریاضی به بررسی این تغییرات پرداخته و به این نتیجه رسیده که تغییر مکرر پسورد تأثیر چندانی روی حملات نمی‌گذارد و به اندازه‌ی کافی برای امن‌تر کردن اکانت‌های کاربران مناسب نیست.

پیش از این سازمان‌های دیگری مانند موسسه‌ی می استاندارد و تکنولوژی امریکا و آژانس امنیتی CESG مربوط به بریتانیا به این نتیجه رسیده بودند که تغییر اجباری پسورد کاربران بی‌تاثیر و یا حتی مضر خواهد بود. حالا با توضیحات لوریه کرانو به مدیران FTC، این سازمان نیز تغییر پسورد را به کارمندان خود تحمیل نمی‌کند.

البته مسلما تغییر پسورد، به خصوص رمزهای ساده و قابل حدس زدن عمل مثبتی در راستای افزایش امنیت کاربران است، اما تغییرات مکرر به خصوص تغییراتی که بدون میل باطنی و با صدور دستور از سوی مدیران، می‌تواند نتیجه‌ی معکوس داشته باشد.

منبع: ArsTechnica