طبق صحبتهای Lorrie Cranor، مدیر ارشد فناوری FTC - کمیسیون تجارت فدرال ایالات متحده امریکا، در بخش PasswordsCon از کنفرانس امنیتی Bsides در لاسوگاس، برخلاف آن چه پیش از این به ما گفته میشد، تغییرات پرتعداد پسورد، میتواند نتیجهی معکوس داشته باشد و امنیت حسابهای کاربری ما را با تهدید مواجه کند.
اندکی پس از انتخاب خانم کرانو به عنوان مدیر بخش فناوری FTC، حساب رسمی این سازمان در توییتر پیغامی را منتشر کرد که مدیر جدید را شگفتزده کرد: «دوستان خود را به منظور داشتن پسوردهای قویتر و یگانه، به تغییر دورهای رمزهایشان تشویق کنید». دلیل این توصیه آن بود که شبکهی یک سازمان ممکن است دارای مهاجمانی کشف نشده در درون خود باشد. تغییر رمز عبور باعث از کار افتادن این مهاجمان میشود. اما کرانو به عنوان یک استاد دانشگاه متمرکز روی امنیت، این توصیه را به دلایلی مشکلساز میداند. یکی از این دلایل آن است که جمع زیاد و در حال افزایشی از محققان معتقدند تغییرات مکرر پسورد باعث آسیبپذیریهای امنیتی دیگری شود.
این اولین بار نیست که در مورد تغییر متعدد پسورد هشدار داده میشود
لوریه کرانو بر اساس چند تحقیق منتشرشدهی نه چندان جدید، ثابت میکند این کار نتیجهی مثبت اندکی دارد و میتواند نتایج منفی بزرگتری به بار آورد. یکی از این مقالات، تحقیق سال 2010 انجام شده در دانشگاه کارولینای شمالی است که با بررسی هشهای رمزنگاری 10000 اکانت منقضیشدهی دانشجویان و کارکنان دانشگاه که مجبور بودند هر سه ماه یک بار پسورد خود را عوض کنند، دریافتهاند که اکثر تغییرات پسورد پس از بازهی 90 روزه، تغییر تنها یک کاراکتر از کوچک به بزرگ یا تعویض یک عدد با عدد دیگر و تغییراتی از این دست است. محققان این مقاله این نوع تغییرات را Transformation یا «تبدیل» مینامند و بر اساس این تبدیلها، الگوریتمی را تولید کردهاند که میتواند تغییرات را با دقت بالایی حدس بزند. سپس با استفاده از شبیهسازی، به بررسی این الگوریتم پرداختهاند. نتیجه این شد که در حملات آنلاین، رمز 17 درصد از اکانتها در کمتر از 5 تلاش شکسته شد و در تست حملهی آفلاین با کامپیوترهای فوق سریع، 41 درصد رمزهای تغییریافته در کمتر از سه ثانیه شکسته شدند.
تحقیق دیگری در دانشگاه کارلتون نیز از جنبهی ریاضی به بررسی این تغییرات پرداخته و به این نتیجه رسیده که تغییر مکرر پسورد تأثیر چندانی روی حملات نمیگذارد و به اندازهی کافی برای امنتر کردن اکانتهای کاربران مناسب نیست.
پیش از این سازمانهای دیگری مانند موسسهی می استاندارد و تکنولوژی امریکا و آژانس امنیتی CESG مربوط به بریتانیا به این نتیجه رسیده بودند که تغییر اجباری پسورد کاربران بیتاثیر و یا حتی مضر خواهد بود. حالا با توضیحات لوریه کرانو به مدیران FTC، این سازمان نیز تغییر پسورد را به کارمندان خود تحمیل نمیکند.
البته مسلما تغییر پسورد، به خصوص رمزهای ساده و قابل حدس زدن عمل مثبتی در راستای افزایش امنیت کاربران است، اما تغییرات مکرر به خصوص تغییراتی که بدون میل باطنی و با صدور دستور از سوی مدیران، میتواند نتیجهی معکوس داشته باشد.
منبع: ArsTechnica
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت