Security
01-07-07, 11:09
Only the registered members can see the link
اشاره :
ممكن است در طول روز فقط چند بار نياز داشته باشيد از كلمه عبور يا پينكد چهاررقمي خود جهت دريافت پول از دستگاه خودپرداز موسوم به ATM يا وارد شدن به حساب كاربري خويش استفاده كنيد. اما مطمئن باشيد هر ساعت تلاشهايي براي يافتن كلمات عبور شما صورت مي گيرد كه مطمئناً بيش از اهميتي است كه شما نسبت به امنيت آن به خرج ميدهيد. در مقاله پيشرو با روشهايي براي ساخت كلمات عبور بهتر و ابزارهايي براي ايجاد كلمات عبور پيچيده و مطمئن آشنا خواهيد شد.
چگونه كلمات عبور بهتري بسازيم؟
ايجاد و استفاده از كلمات عبور مستحكم به هيچ عنوان سخت نيست. كلمات عبور مناسب و قابل اطمينان براي حفظ امنيت اطلاعات موجود در يك پيسي حياتي هستند. اما اگر از يك كلمه عبور ناصحيح (از لحاظ ساختار) استفاده كنيد، قويترين الگوريتمهاي رمزگذاري دنيا يا روالهاي احراز هويت هم نميتوانند امنيت اطلاعات شما را تضمين كنند.
همچنين اگر كلمه عبور شما زماني امن بوده، تضميني وجود ندارد كه بعداً نيز چنين امنيتي وجود داشته باشد، كلمات عبوري كه تا همين چند سال پيش به اندازه كافي امن بودند، امروزه به دليل پيشرفتهاي عظيم سختافزاري و نرمافزاري به شدت آسيبپذير و ناامن شدهاند. هكرها ابزارهاي پيشرفتهاي دارند كه توانايي حدس زدن يكصدهزار كلمه تركيبي در ثانيه را دارند. در گذشته براي اينكه يك كلمه عبور شناسايي شود، با استفاده از ابزار و تكنيكهاي موجود ماهها و حتي گاهي سالها زمان نياز بود، اما اكنون با توجه به پيشرفتهاي موجود، زمان شكسته شدن يك اسم رمز به چند دقيقه يا نهايتاً يك ساعت كوتاه شده است!
طراحي يك حمله به كلمه عبور، به مهارت بسيار كمي نياز دارد. سادهترين نوع حمله برپايه استفاده از يك فهرست يا واژهنامه طرحريزي ميشود. نرمافزارهاي شكننده كلمات عبور، به سادگي شروع به آزمايش تمام كلمات فهرست شده در يك واژهنامه (كه حاوي تركيبات مختلف الفبايي است) ميكنند. هركلمهاي كه با كلمه عبور مطابقت داشته باشد، به عنوان كلمهعبور نمايش داده ميشود. اين نوع نرمافزارها از الگوريتمهاي واقعاً سادهاي استفاده ميكنند و نيازي به استفاده از آناليزهاي عمقي سنگين يا تشخيص تكنيكهاي پيچيده رمزنگاري ندارند. در حقيقت اين روش در حيطه مهارتهاي يك دانشآموز دبيرستاني است و هنوز هم توانايي شكستن بسياري از كلمات عبور را دارد.
به همين نحو، كلمات عبوري كه بر اساس واژهها و اصطلاحات روزمره و رايج انتخاب شوند، حتي در برابر چنين حملههايي نيز بسيار سست و ضعيف هستند. هكرها همچنين داراي واژهنامههايي متشكل از عبارات مشهور و پركاربرد هستند كه به طور اختصاصي براي همين كار طراحي و ساخته شدهاند. همچنين هر كلمه عبوري كه بر اساس يكي از عبارتهاي مشهور ساخته شده باشد، به راحتي قابل تشخيص خواهد بود.
تغيير دادن جايگاه كاراكترها يا تغيير در اندازه (درشت يا كوچك بودن حروف) آنها، به منظور پوشاندن يا تغيير دادن يك اصطلاح رايج به كمك روشهاي معمول كار را براي يك هكر تنها اندكي پيچيدهتر خواهد كرد. به عنوان مثال، برخي از افراد يك كلمه را براي كلمه عبور انتخاب ميكنند و اقدام به تغيير دادن مكان برخي كاراكترها يا اندازه آنها مينمايند و با اينكار (تغيير دادن يا اصطلاحاً شيفت دادن كاراكترها به مكان بعدي يا قبلي خود) در ظاهرِ كلمه اصلي تغيير به وجود ميآورند. در نتيجه عبارت حاصل كمي نامفهوم خواهد بود، اما واقعاً اينگونه نيست. تشخيص الگوي اصلي واژه به كمك كامپيوتر به راحتي امكانپذير است.
استفاده از تركيبات حروف و عدد به عنوان روشي براي پيچيدهكردن كلمه عبور راه مفيدي است، اما اين روش نيز امروزه به تنهايي كارايي چنداني نخواهد داشت. بهطور مشابه استفاده از كلمات يا عبارات رايج و تلاش براي پيچيدهكردن آنها به كمك تغيير اندازه حروف به صورت تصادفي يا اضافه كردن مقادير عددي تصادفي تنها تكنيكهايي هستند كه كمي كار را پيچيدهتر كردهاند و امنيت دلخواه را به يك كلمهعبور نميدهند. به عنوان مثال، يك ابزار شكستن كلمه عبور (نرمافزار) كه روي يك كامپيوتر كند پنتيوم 3 پانصد مگاهرتزي اجرا ميشد، توانست كلمه عبور را تنها در مدت 26 ثانيه تشخيص دهد. مطمئناً كامپيوترهاي قدرتمند امروزي توانايي تشخيص چنين تكنيكهايي را در كسر كوچكي از ثانيه دارند. 1
چه چيزي يك كلمه عبور خوب ميسازد؟
بالاخره چگونه يك كلمه عبور خوب طراحي كنيم؟ در اينجا قصد داريم در مورد سه فاكتور اصلي و تعيينكننده صحبت كنيم: طول، پيچيدگي و تصادفي بودن (غير قابل پيشبيني بودن).
بحث را با غير قابل پيشبيني بودنِ يك كلمه عبور آغاز ميكنيم. يك كلمه عبور بايد از يك تركيب منحصر به فرد از كاراكترها برخوردار باشد. در عين حال نبايد به هيچ شكل يا فرم خاصي در هيچ دايره`المعارف، كتاب يا مرجعي يافت شود. كلمهعبور همچنين نبايد بر اساس تغيير يا جانشاني كلمات يا عبارات رايج استوار باشد. در صورت وجود هرگونه الگوي اصولي در ساختاركلمه عبور - غيرقابل پيشبيني نبودن صرف - به راحتي شكسته ميشود.
اهميت فاكتور پيچيدگي به راحتي قابل درك است. به عنوان مثال، اگر شما خود را به استفاده از كلمات كوچك الفباي انگليسي محدود كنيد (اصطلاحا Lowercase)، هر كاراكتر از كلمه عبور شما تنها ميتواند يكي از 26 حالت ممكن را دارا باشد. با استفاده از حروف كوچك و بزرگ به سادگي اين مقدار را به 52 حالت مختلف افزايش دادهايد، اضافه كردن اعداد محدوده 0 تا 9 نيز مقدار را به 62 حالت متفاوت خواهيد داشت. نشانهگذاري و استفاده از سمبلهاي گرافيكي معمول و موجود روي صفحه كليدهاي انگليسي نظير $ ، % ، * ، ؛ و ... در نهايت به شما امكان استفاده از حدود 92 حالت مختلف و منحصر به فرد براي هر كاراكتر از كلمه عبور را ميدهد. به وضوح مشاهده ميشود كه استفاده از تمام كاراكترهاي موجود روي صفحه كليد انگليسي ميزان پيچيدگي كلمه عبور را افزايش ميدهد.
طول كلمه عبور نيز بسيار مهم است. يك كلمه عبور دوحرفي با در نظر گرفتن اينكه هر حرف امكان استفاده از هر 92 حالت ذكر شده قبلي را دارد، توانايي ايجاد 8464 تركيب مختلف را دارد. استفاده از سه كاراكتر امكان به وجود آمدن 778688 تركيب مختلف، چهار كاراكتر 71639296 حالت و پنج كاراكتر امكان به وجود آمدن 6590815232 تركيب را به شما ميدهد. به وضوح مشاهده ميشود كه افزايش تعداد حروف يك كلمه عبور ميتواند به صورت نمايي، تركيبات ممكن براي يك كلمه عبور و در نتيجه زمان جستوجو به دنبال يافتن تركيب اصلي را افزايش دهد.
اما نكته وحشتناك در مورد عدد 6590815232 اين است كه اين رقم با توجه به شرايط و معيارهاي انساني عدد بسيار بزرگي است نه براي يك پيسي. سايت Last Bit ابزاري در اختيار شما ميگذارد كه ميتوانيد در اين مورد كمي بررسي كنيد. با مراجعه به آدرس، اين ماشينحساب آنلاين به شما امكان ميدهد به كمك متغيرهاي دادهشده پي ببريد كه چه مدت طول ميكشد تا يك برنامه شكستن كلمه عبور با استفاده از روش موسوم به
Brut-force كلمات عبور با طولهاي مختلف و ميزان پيچيدگي متفاوت را بشكند.
نكته در مورد آيتم در اين ماشين محاسبه اين است كه اين آيتم تنها به سرعت پيسي وابسته نيست، بلكه تاحدود زيادي به توانمندي و قدرت نرمافزار شكننده كلمه عبور بستگي دارد؛ بسته به اينكه از چه متغيرهايي استفاده كند. اما اين ماشين حساب بر اساس توان محاسباتي كامپيوترها و برنامههاي امروزي طراحي نشده و فناوري ساخت آن نيز كمي قديمي است و توانايي نشان دادن قدرت كامپيوترهاي امروزي را ندارد. براي مشاهده واقعبينانه سطح خطر فعلي، مقدار متغير را با مقادير مختلف مقداردهي كنيد.
روشهاي مختلفي وجود دارند كه به كمك آنها ميتوان دريافت چگونه كلمه عبوري طراحي كنيم كه هم به قدري پيچيده باشد كه ديگران نتوانند آن را تشخيص دهند و هم شما توانايي به خاطر سپاري آن را داشته باشيد. به عنوان نمونه، در بولتن سال 2003 ما در مورد ايده بحث كرديم.2 تا زماني كه مثالهاي اين مقاله منسوخ نشدهاند، ايده استفاده از تكنيك يك ايده كامل و بينقص است. در واقع Passphraseها يكي از راههاي توليد كلمات عبور طولاني، ايمن و به يادماندني هستند.
پيش از هرچيز، Passphrase ميتواند هر طول دلخواهي داشته باشد: عدد زوج بيست، چهل يا شصت كاراكتري يا حتي بيشتر؛ بدون داشتن هيچگونه مشكل. ولي چون به جاي استفاده از تعدادي كاراكتر تصادفي از مجموعهاي از لغات ساخته ميشوند، در مقايسه با كلمات عبور مرسوم با طول يكسان راحتتر به خاطر سپرده ميشوند.
اما تمام Passphraseها يكسان و شبيه هم نيستند. پيشتر ديديم كه عبارتي كه در دايره`المعارفها يا مجموعههاي نقل قول و سخنان نغز يافت ميشوند، نمونههاي بسيار بدي براي انتخاب به عنوان كلمه عبور هستند. در اينجا نيز يك Passphrase هر قدرهم كه طولاني باشد، اگر بر اساس يك جمله معروف طراحي شده باشد، به راحتي قابل تشخيص خواهد بود.
همچنين Passphraseهايي كه از قاعده و ساختار مرسوم و رايج يا از ساختار گرامري مشخصي نيز استفاده كنند، به راحتي توسط برنامههاي هوشمند قابل استخراج خواهند بود. بنابراين بهترين Passphrase آن است كه از قاعده و روش گرامري مرسومي استفاده نكند.
يكي از تكنيكهاي موجود، تكنيك <ضربه بدون منطق> يا Shocking nonsense است. ضربه يا تكان بدون منطق به اين معني است كه براي ساخت يك عبارت عبور از عبارات يا جملاتي استفاده شود كه هم بيمعني و ياوه باشد و هم در فرهنگ بومي و منطقهاي كاربران تا حدودي تكاندهنده و منزجركننده باشد. استفاده از اين تكنيك ايده خوبي است؛ چرا كه ماهيت يك كلمه عبور فاش نشدني است و به اين دليل نميتوان آن را نزد كسي افشا كرد.
البته در شركتها و سازمانها، استفاده از اين تكنيك بايد با دقت بسيار زياد و تحت نظر مقام مافوق صورت گيرد. خط مشي و سياست امنيتياي كه استفاده از اين تكنيك را موجه ميكند اين است كه طرحريزي يك حمله مبتني بر دايره`المعارف يا جستوجوي كلمات عبور مبتني بر دستور زبان خاص با استفاده از روشهاي مرسوم به نتيجه نخواهد رسيد؛ زيرا چنين كلمات يا عباراتي در دايره`المعارفها و فرهنگ لغات معمول يافت نميشوند و در مكالمات روزمره نيز جايگاهي ندارند. اما هنوز اين خط مشي در محاكم قضايي چندان مطلوب نيست.
خوشبختانه هنوز هم راههاي مناسبي براي تهيه كلمات عبور امن وجود دارد. يكي از بهترين ابزارها كه به صورت رايگان نيز در دسترس است، 3DiceWare، تهيه شده توسط A. G. Reinhold است. روش كار به اين صورت است كه از يك يا چندين ماتريس چند ظرفيتي (شبيهسازي يك تاس شش وجهي) جهت توليد فهرستي از اعداد واقعاً تصادفي استفاده ميكند.
با استفاده از فهرست اعداد تصادفي توليد شده اقدام به جستوجوي كلمات در فهرستي شامل هشتهزار كلمه و كاراكتر و رشتههاي اعداد مينماييد كه به خاطرسپاري آنها بسيار ساده است. با استفاده از قطعات توليد شده توسط اين تكنيك و در كنارهم قراردادن آنها، ميتوانيد عبارات عبور معقولانهاي بسازيد كه به راحتي قابل تشخيصدادن يا شكسته شدن نيستند. اين عبارتهاي توليد شده نيز زماني كه از تركيب منطقياي از حروف كوچك و بزرگ انگليسي، اعداد و نشانهگذاري استفاده كنيد، غيرقابل دسترستر خواهد شد.
Only the registered members can see the link
راهكار جايگزين در شرايط خاص
زماني كه اجازه استفاده از كلمات يا عبارات عبور طولاني را نداريم، چه راهي در پيش است ؟
عبارات عبور يكي از راههاي مطمئن جهت رسيدن به يك كلمه عبور قدرتمند و مقاوم در برابر شكسته شدن است، اما نكته شگفتانگيز و البته كمي متأثركننده اينجاست كه هنوز هم سختافزارها و نرمافزارهايي وجود دارند كه اجازه استفاده از رشتههاي طولاني جهت كاربري به عنوان كلمه عبور را نميدهند و شما را به استفاده از كلمات عبور كوتاه در حد شش يا هشت كاراكتر محدود ميكنند. در اين گونه موارد Passphrase متأسفانه سودمند نخواهد بود و بهترين راه استفاده از كلمات عبور تصادفي با تركيبي از حروف كوچك، حروف بزرگ، اعداد و كاراكترهاي نشانه گذاري است.
4PassGen2 يك اپلت جاواي آنلاين و رايگان جهت توليد كلمه عبور است كه به خوبي از پس توليد انواع كلمه عبور براي Login كردن، توليد كليدهاي رمزگشايي WEP و انواع ديگر كليدها برميآيد. (شكل 1) اما اگر ترجيح ميدهيد از برنامهاي به صورت محلي و آفلاين جهت توليد كليدهاي مورد نظرتان استفاده كنيد، PWGen for Windows انتخاب خوبي است.
با اين حال من ترجيح ميدهم از 5Roboform استفاده كنم؛ زيرا توانايي اين برنامه در توليد كلمات عبور مطمئن خلاصه نميشود، بلكه اين برنامه توانايي نگهداري از كلمات عبور من را نيز دارد. (شكل 2) به عنوان نمونه، براي جلوگيري از دسترسي آسان يك هكر به شبكه وايرلس من و تغيير تنظيمات امنيتي AP آن، ميتوانم نرمافزار مديريتي WAP آن را به كمك يك كلمه عبور بيست كاراكتري با تركيبي از حروف كوچك و بزرگ به اضافه اعداد و كاراكترهاي نشانهگذاري محافظت كنم.
Only the registered members can see the link
يك مثال ساده از چنين كلمه عبوري (در اين مورد خاص من از Roboform خواستم يك نمونه كلمه عبور براي نمايش آن به شما طراحي كند) چنين چيزي است:(mkz!3;$NyY$Pr*u&%#rp).
احتمال اينكه كسي توانايي حدس زدن چنين تركيبي را داشته باشد، كاملاً منتفي است. ( تركيبي از بيست كاراكتر با امكان جانشاني 92 كاراكتر در هر مكان؛ با در نظر گرفتن مجوز تكرار هر كاراكتر! محاسبه تعداد حالات ممكن آن نياز به دانش رياضي چنداني ندارد. كافي است بيست بار عدد 92 را در خودش ضرب كنيد؛ به عبارتي 92 به توان بيست.
البته توانايي من نيز در به خاطرسپاري چنين چيزي كاملاً منتفي است، اما من به Roboform اجازه ميدهم كلمه عبورم را ذخيره كند و به كمك متدهاي پيشرفته DES از آن محافظت نمايد. كاري كه من بايد انجام دهم، به خاطر سپاري تنها يك كلمه عبور است. در واقع كلمه عبور اصلي براي خود Roboform بقيه كلمات عبور را خود برنامه به خوبي بهخاطر خواهد سپارد. اين برنامه توانايي ذخيره تعداد بسيار زيادي كلمه عبور و همچنين توانايي توليد كلمات عبور تصادفي با حداكثر طول 512 كاراكتر را دارد.
شايد يكي از نكات منفي اين برنامه اين باشد كه نسخه رايگان آن تواناييهاي محدودي دارد. در واقع اين برنامه يك محصول تجاري است. همچنين به دليل اينكه اختصاصي است، مشخص نيست به چه صورت به رمزگذاري يا توليد كلمات عبور اقدام مينمايد. به عبارتي، نحوه عملكرد برنامه مشخص نيست. ممكن است اين فاكتور در استفادههاي شخصي زياد مشكلساز نباشد، اما در وضعيتهاي امنيتي سطح بالا يك ابزار توليد كلمات عبور منبع باز مانند PWGen، ميتواند انتخاب بهتري باشد.
6Password Safe(شكل 3) و 7KeePass، (شكل 4) به عنوان دو ابزار اپنسورس ديگر ميتوانند در مديريت و توليد و نگهداري كلمات عبور به شما كمك كنند؛ بدون اينكه نگرانياي بابت نحوه عملكردشان داشته باشيد.
Only the registered members can see the link
ر نهايت، در هر جايي كه امنيت براي ما اهميت داشته باشد، بايد كلمات عبور كوتاهتر از هشت كاراكتر را فراموش كنيم. در واقع تمام كلمات عبور من در محدوده ميان هشت تا بيست كاراكتر با تركيبي از حروف كوچك و بزرگ، اعداد، علامتهاي نشانهگذاري و سمبولهاي گرافيكي موجود روي صفحهكليد ( همانند؛ ، $، % ، ّو ... ) قراردارند و به صورت تصادفي توليد شدهاند. براي برنامههاي حساستر، كلمات عبور طولانيتر و با تركيب بيشتري از موارد ذكر شده بالا را تهيه ميكنم.
Only the registered members can see the link (Only the registered members can see the link)
در موارد خاص، جايي كه نياز به سطح امنيتي بسيار بالا داشته باشم يا امكان استفاده از كلمات عبور طولاني تر از بيست كاراكتر را داشته باشم، يا قابلحمل بودن مد نظرم باشد ( يعني زماني كه بايد كلمهعبور را بدون كمك نرمافزار خاصي به خاطر بسپارم)، مطمئناً از كلمات عبور (Passphrase) استفاده خواهم كرد.
البته روش و تكنيك شما ميتواند كاملاً متفاوت از موارد ذكر شده در اين مقاله باشد. موارد مطرحشده تنها به عنوان مثال ذكر گرديدند. اما نكته مهم در مورد كلمات عبور كوتاه يا كلمات عبور طولاني كه به راحتي تشخيص داده ميشوند اين است كه كاملاً بياستفاده هستند. اگر خط مشي خود را در مورد تهيه كلمات عبور در طي چند سال اخير تغيير ندادهايد، اكنون زمان مناسبي براي پرداختن به اين كار است. همچنين زمان مناسبي جهت توجه به ابزارهايي است كه امكان توليد و استفاده از كلمات عبور طولانيتر و مطمئنتري را به راحتي در اختيار ما قرار ميدهند.
پي نوشت
1- توان محاسباتي پردازندهها به سرعت در حال افزايش است و دانشمندان به دنبال دستيابي به سرعتهاي بيشتري هستند.
2- تكنيك جديد براي انتخاب كلمات عبور. در مقابل پين كد چهاررقمي كه تركيبي از اعداد است و كلمات عبور كه تركيبي از اعداد و حروف است و گاه ميتواند طول محدودي داشته باشد استفاده از Passphrase يا <عبارت عبور> امكان استفاده از عبارتهايي با طول بيشتر از كلمه عبور را ميدهد و طبعاً امنيت بيشتري را به ارمغان ميآورد. براي آشنايي بيشتر با اين روش ميتوانيد به آدرس (Only the registered members can see the link) مراجعه كنيد.
منبع: اينفورميشنويك
ترجمه: شورش مرادي
اشاره :
ممكن است در طول روز فقط چند بار نياز داشته باشيد از كلمه عبور يا پينكد چهاررقمي خود جهت دريافت پول از دستگاه خودپرداز موسوم به ATM يا وارد شدن به حساب كاربري خويش استفاده كنيد. اما مطمئن باشيد هر ساعت تلاشهايي براي يافتن كلمات عبور شما صورت مي گيرد كه مطمئناً بيش از اهميتي است كه شما نسبت به امنيت آن به خرج ميدهيد. در مقاله پيشرو با روشهايي براي ساخت كلمات عبور بهتر و ابزارهايي براي ايجاد كلمات عبور پيچيده و مطمئن آشنا خواهيد شد.
چگونه كلمات عبور بهتري بسازيم؟
ايجاد و استفاده از كلمات عبور مستحكم به هيچ عنوان سخت نيست. كلمات عبور مناسب و قابل اطمينان براي حفظ امنيت اطلاعات موجود در يك پيسي حياتي هستند. اما اگر از يك كلمه عبور ناصحيح (از لحاظ ساختار) استفاده كنيد، قويترين الگوريتمهاي رمزگذاري دنيا يا روالهاي احراز هويت هم نميتوانند امنيت اطلاعات شما را تضمين كنند.
همچنين اگر كلمه عبور شما زماني امن بوده، تضميني وجود ندارد كه بعداً نيز چنين امنيتي وجود داشته باشد، كلمات عبوري كه تا همين چند سال پيش به اندازه كافي امن بودند، امروزه به دليل پيشرفتهاي عظيم سختافزاري و نرمافزاري به شدت آسيبپذير و ناامن شدهاند. هكرها ابزارهاي پيشرفتهاي دارند كه توانايي حدس زدن يكصدهزار كلمه تركيبي در ثانيه را دارند. در گذشته براي اينكه يك كلمه عبور شناسايي شود، با استفاده از ابزار و تكنيكهاي موجود ماهها و حتي گاهي سالها زمان نياز بود، اما اكنون با توجه به پيشرفتهاي موجود، زمان شكسته شدن يك اسم رمز به چند دقيقه يا نهايتاً يك ساعت كوتاه شده است!
طراحي يك حمله به كلمه عبور، به مهارت بسيار كمي نياز دارد. سادهترين نوع حمله برپايه استفاده از يك فهرست يا واژهنامه طرحريزي ميشود. نرمافزارهاي شكننده كلمات عبور، به سادگي شروع به آزمايش تمام كلمات فهرست شده در يك واژهنامه (كه حاوي تركيبات مختلف الفبايي است) ميكنند. هركلمهاي كه با كلمه عبور مطابقت داشته باشد، به عنوان كلمهعبور نمايش داده ميشود. اين نوع نرمافزارها از الگوريتمهاي واقعاً سادهاي استفاده ميكنند و نيازي به استفاده از آناليزهاي عمقي سنگين يا تشخيص تكنيكهاي پيچيده رمزنگاري ندارند. در حقيقت اين روش در حيطه مهارتهاي يك دانشآموز دبيرستاني است و هنوز هم توانايي شكستن بسياري از كلمات عبور را دارد.
به همين نحو، كلمات عبوري كه بر اساس واژهها و اصطلاحات روزمره و رايج انتخاب شوند، حتي در برابر چنين حملههايي نيز بسيار سست و ضعيف هستند. هكرها همچنين داراي واژهنامههايي متشكل از عبارات مشهور و پركاربرد هستند كه به طور اختصاصي براي همين كار طراحي و ساخته شدهاند. همچنين هر كلمه عبوري كه بر اساس يكي از عبارتهاي مشهور ساخته شده باشد، به راحتي قابل تشخيص خواهد بود.
تغيير دادن جايگاه كاراكترها يا تغيير در اندازه (درشت يا كوچك بودن حروف) آنها، به منظور پوشاندن يا تغيير دادن يك اصطلاح رايج به كمك روشهاي معمول كار را براي يك هكر تنها اندكي پيچيدهتر خواهد كرد. به عنوان مثال، برخي از افراد يك كلمه را براي كلمه عبور انتخاب ميكنند و اقدام به تغيير دادن مكان برخي كاراكترها يا اندازه آنها مينمايند و با اينكار (تغيير دادن يا اصطلاحاً شيفت دادن كاراكترها به مكان بعدي يا قبلي خود) در ظاهرِ كلمه اصلي تغيير به وجود ميآورند. در نتيجه عبارت حاصل كمي نامفهوم خواهد بود، اما واقعاً اينگونه نيست. تشخيص الگوي اصلي واژه به كمك كامپيوتر به راحتي امكانپذير است.
استفاده از تركيبات حروف و عدد به عنوان روشي براي پيچيدهكردن كلمه عبور راه مفيدي است، اما اين روش نيز امروزه به تنهايي كارايي چنداني نخواهد داشت. بهطور مشابه استفاده از كلمات يا عبارات رايج و تلاش براي پيچيدهكردن آنها به كمك تغيير اندازه حروف به صورت تصادفي يا اضافه كردن مقادير عددي تصادفي تنها تكنيكهايي هستند كه كمي كار را پيچيدهتر كردهاند و امنيت دلخواه را به يك كلمهعبور نميدهند. به عنوان مثال، يك ابزار شكستن كلمه عبور (نرمافزار) كه روي يك كامپيوتر كند پنتيوم 3 پانصد مگاهرتزي اجرا ميشد، توانست كلمه عبور را تنها در مدت 26 ثانيه تشخيص دهد. مطمئناً كامپيوترهاي قدرتمند امروزي توانايي تشخيص چنين تكنيكهايي را در كسر كوچكي از ثانيه دارند. 1
چه چيزي يك كلمه عبور خوب ميسازد؟
بالاخره چگونه يك كلمه عبور خوب طراحي كنيم؟ در اينجا قصد داريم در مورد سه فاكتور اصلي و تعيينكننده صحبت كنيم: طول، پيچيدگي و تصادفي بودن (غير قابل پيشبيني بودن).
بحث را با غير قابل پيشبيني بودنِ يك كلمه عبور آغاز ميكنيم. يك كلمه عبور بايد از يك تركيب منحصر به فرد از كاراكترها برخوردار باشد. در عين حال نبايد به هيچ شكل يا فرم خاصي در هيچ دايره`المعارف، كتاب يا مرجعي يافت شود. كلمهعبور همچنين نبايد بر اساس تغيير يا جانشاني كلمات يا عبارات رايج استوار باشد. در صورت وجود هرگونه الگوي اصولي در ساختاركلمه عبور - غيرقابل پيشبيني نبودن صرف - به راحتي شكسته ميشود.
اهميت فاكتور پيچيدگي به راحتي قابل درك است. به عنوان مثال، اگر شما خود را به استفاده از كلمات كوچك الفباي انگليسي محدود كنيد (اصطلاحا Lowercase)، هر كاراكتر از كلمه عبور شما تنها ميتواند يكي از 26 حالت ممكن را دارا باشد. با استفاده از حروف كوچك و بزرگ به سادگي اين مقدار را به 52 حالت مختلف افزايش دادهايد، اضافه كردن اعداد محدوده 0 تا 9 نيز مقدار را به 62 حالت متفاوت خواهيد داشت. نشانهگذاري و استفاده از سمبلهاي گرافيكي معمول و موجود روي صفحه كليدهاي انگليسي نظير $ ، % ، * ، ؛ و ... در نهايت به شما امكان استفاده از حدود 92 حالت مختلف و منحصر به فرد براي هر كاراكتر از كلمه عبور را ميدهد. به وضوح مشاهده ميشود كه استفاده از تمام كاراكترهاي موجود روي صفحه كليد انگليسي ميزان پيچيدگي كلمه عبور را افزايش ميدهد.
طول كلمه عبور نيز بسيار مهم است. يك كلمه عبور دوحرفي با در نظر گرفتن اينكه هر حرف امكان استفاده از هر 92 حالت ذكر شده قبلي را دارد، توانايي ايجاد 8464 تركيب مختلف را دارد. استفاده از سه كاراكتر امكان به وجود آمدن 778688 تركيب مختلف، چهار كاراكتر 71639296 حالت و پنج كاراكتر امكان به وجود آمدن 6590815232 تركيب را به شما ميدهد. به وضوح مشاهده ميشود كه افزايش تعداد حروف يك كلمه عبور ميتواند به صورت نمايي، تركيبات ممكن براي يك كلمه عبور و در نتيجه زمان جستوجو به دنبال يافتن تركيب اصلي را افزايش دهد.
اما نكته وحشتناك در مورد عدد 6590815232 اين است كه اين رقم با توجه به شرايط و معيارهاي انساني عدد بسيار بزرگي است نه براي يك پيسي. سايت Last Bit ابزاري در اختيار شما ميگذارد كه ميتوانيد در اين مورد كمي بررسي كنيد. با مراجعه به آدرس، اين ماشينحساب آنلاين به شما امكان ميدهد به كمك متغيرهاي دادهشده پي ببريد كه چه مدت طول ميكشد تا يك برنامه شكستن كلمه عبور با استفاده از روش موسوم به
Brut-force كلمات عبور با طولهاي مختلف و ميزان پيچيدگي متفاوت را بشكند.
نكته در مورد آيتم در اين ماشين محاسبه اين است كه اين آيتم تنها به سرعت پيسي وابسته نيست، بلكه تاحدود زيادي به توانمندي و قدرت نرمافزار شكننده كلمه عبور بستگي دارد؛ بسته به اينكه از چه متغيرهايي استفاده كند. اما اين ماشين حساب بر اساس توان محاسباتي كامپيوترها و برنامههاي امروزي طراحي نشده و فناوري ساخت آن نيز كمي قديمي است و توانايي نشان دادن قدرت كامپيوترهاي امروزي را ندارد. براي مشاهده واقعبينانه سطح خطر فعلي، مقدار متغير را با مقادير مختلف مقداردهي كنيد.
روشهاي مختلفي وجود دارند كه به كمك آنها ميتوان دريافت چگونه كلمه عبوري طراحي كنيم كه هم به قدري پيچيده باشد كه ديگران نتوانند آن را تشخيص دهند و هم شما توانايي به خاطر سپاري آن را داشته باشيد. به عنوان نمونه، در بولتن سال 2003 ما در مورد ايده بحث كرديم.2 تا زماني كه مثالهاي اين مقاله منسوخ نشدهاند، ايده استفاده از تكنيك يك ايده كامل و بينقص است. در واقع Passphraseها يكي از راههاي توليد كلمات عبور طولاني، ايمن و به يادماندني هستند.
پيش از هرچيز، Passphrase ميتواند هر طول دلخواهي داشته باشد: عدد زوج بيست، چهل يا شصت كاراكتري يا حتي بيشتر؛ بدون داشتن هيچگونه مشكل. ولي چون به جاي استفاده از تعدادي كاراكتر تصادفي از مجموعهاي از لغات ساخته ميشوند، در مقايسه با كلمات عبور مرسوم با طول يكسان راحتتر به خاطر سپرده ميشوند.
اما تمام Passphraseها يكسان و شبيه هم نيستند. پيشتر ديديم كه عبارتي كه در دايره`المعارفها يا مجموعههاي نقل قول و سخنان نغز يافت ميشوند، نمونههاي بسيار بدي براي انتخاب به عنوان كلمه عبور هستند. در اينجا نيز يك Passphrase هر قدرهم كه طولاني باشد، اگر بر اساس يك جمله معروف طراحي شده باشد، به راحتي قابل تشخيص خواهد بود.
همچنين Passphraseهايي كه از قاعده و ساختار مرسوم و رايج يا از ساختار گرامري مشخصي نيز استفاده كنند، به راحتي توسط برنامههاي هوشمند قابل استخراج خواهند بود. بنابراين بهترين Passphrase آن است كه از قاعده و روش گرامري مرسومي استفاده نكند.
يكي از تكنيكهاي موجود، تكنيك <ضربه بدون منطق> يا Shocking nonsense است. ضربه يا تكان بدون منطق به اين معني است كه براي ساخت يك عبارت عبور از عبارات يا جملاتي استفاده شود كه هم بيمعني و ياوه باشد و هم در فرهنگ بومي و منطقهاي كاربران تا حدودي تكاندهنده و منزجركننده باشد. استفاده از اين تكنيك ايده خوبي است؛ چرا كه ماهيت يك كلمه عبور فاش نشدني است و به اين دليل نميتوان آن را نزد كسي افشا كرد.
البته در شركتها و سازمانها، استفاده از اين تكنيك بايد با دقت بسيار زياد و تحت نظر مقام مافوق صورت گيرد. خط مشي و سياست امنيتياي كه استفاده از اين تكنيك را موجه ميكند اين است كه طرحريزي يك حمله مبتني بر دايره`المعارف يا جستوجوي كلمات عبور مبتني بر دستور زبان خاص با استفاده از روشهاي مرسوم به نتيجه نخواهد رسيد؛ زيرا چنين كلمات يا عباراتي در دايره`المعارفها و فرهنگ لغات معمول يافت نميشوند و در مكالمات روزمره نيز جايگاهي ندارند. اما هنوز اين خط مشي در محاكم قضايي چندان مطلوب نيست.
خوشبختانه هنوز هم راههاي مناسبي براي تهيه كلمات عبور امن وجود دارد. يكي از بهترين ابزارها كه به صورت رايگان نيز در دسترس است، 3DiceWare، تهيه شده توسط A. G. Reinhold است. روش كار به اين صورت است كه از يك يا چندين ماتريس چند ظرفيتي (شبيهسازي يك تاس شش وجهي) جهت توليد فهرستي از اعداد واقعاً تصادفي استفاده ميكند.
با استفاده از فهرست اعداد تصادفي توليد شده اقدام به جستوجوي كلمات در فهرستي شامل هشتهزار كلمه و كاراكتر و رشتههاي اعداد مينماييد كه به خاطرسپاري آنها بسيار ساده است. با استفاده از قطعات توليد شده توسط اين تكنيك و در كنارهم قراردادن آنها، ميتوانيد عبارات عبور معقولانهاي بسازيد كه به راحتي قابل تشخيصدادن يا شكسته شدن نيستند. اين عبارتهاي توليد شده نيز زماني كه از تركيب منطقياي از حروف كوچك و بزرگ انگليسي، اعداد و نشانهگذاري استفاده كنيد، غيرقابل دسترستر خواهد شد.
Only the registered members can see the link
راهكار جايگزين در شرايط خاص
زماني كه اجازه استفاده از كلمات يا عبارات عبور طولاني را نداريم، چه راهي در پيش است ؟
عبارات عبور يكي از راههاي مطمئن جهت رسيدن به يك كلمه عبور قدرتمند و مقاوم در برابر شكسته شدن است، اما نكته شگفتانگيز و البته كمي متأثركننده اينجاست كه هنوز هم سختافزارها و نرمافزارهايي وجود دارند كه اجازه استفاده از رشتههاي طولاني جهت كاربري به عنوان كلمه عبور را نميدهند و شما را به استفاده از كلمات عبور كوتاه در حد شش يا هشت كاراكتر محدود ميكنند. در اين گونه موارد Passphrase متأسفانه سودمند نخواهد بود و بهترين راه استفاده از كلمات عبور تصادفي با تركيبي از حروف كوچك، حروف بزرگ، اعداد و كاراكترهاي نشانه گذاري است.
4PassGen2 يك اپلت جاواي آنلاين و رايگان جهت توليد كلمه عبور است كه به خوبي از پس توليد انواع كلمه عبور براي Login كردن، توليد كليدهاي رمزگشايي WEP و انواع ديگر كليدها برميآيد. (شكل 1) اما اگر ترجيح ميدهيد از برنامهاي به صورت محلي و آفلاين جهت توليد كليدهاي مورد نظرتان استفاده كنيد، PWGen for Windows انتخاب خوبي است.
با اين حال من ترجيح ميدهم از 5Roboform استفاده كنم؛ زيرا توانايي اين برنامه در توليد كلمات عبور مطمئن خلاصه نميشود، بلكه اين برنامه توانايي نگهداري از كلمات عبور من را نيز دارد. (شكل 2) به عنوان نمونه، براي جلوگيري از دسترسي آسان يك هكر به شبكه وايرلس من و تغيير تنظيمات امنيتي AP آن، ميتوانم نرمافزار مديريتي WAP آن را به كمك يك كلمه عبور بيست كاراكتري با تركيبي از حروف كوچك و بزرگ به اضافه اعداد و كاراكترهاي نشانهگذاري محافظت كنم.
Only the registered members can see the link
يك مثال ساده از چنين كلمه عبوري (در اين مورد خاص من از Roboform خواستم يك نمونه كلمه عبور براي نمايش آن به شما طراحي كند) چنين چيزي است:(mkz!3;$NyY$Pr*u&%#rp).
احتمال اينكه كسي توانايي حدس زدن چنين تركيبي را داشته باشد، كاملاً منتفي است. ( تركيبي از بيست كاراكتر با امكان جانشاني 92 كاراكتر در هر مكان؛ با در نظر گرفتن مجوز تكرار هر كاراكتر! محاسبه تعداد حالات ممكن آن نياز به دانش رياضي چنداني ندارد. كافي است بيست بار عدد 92 را در خودش ضرب كنيد؛ به عبارتي 92 به توان بيست.
البته توانايي من نيز در به خاطرسپاري چنين چيزي كاملاً منتفي است، اما من به Roboform اجازه ميدهم كلمه عبورم را ذخيره كند و به كمك متدهاي پيشرفته DES از آن محافظت نمايد. كاري كه من بايد انجام دهم، به خاطر سپاري تنها يك كلمه عبور است. در واقع كلمه عبور اصلي براي خود Roboform بقيه كلمات عبور را خود برنامه به خوبي بهخاطر خواهد سپارد. اين برنامه توانايي ذخيره تعداد بسيار زيادي كلمه عبور و همچنين توانايي توليد كلمات عبور تصادفي با حداكثر طول 512 كاراكتر را دارد.
شايد يكي از نكات منفي اين برنامه اين باشد كه نسخه رايگان آن تواناييهاي محدودي دارد. در واقع اين برنامه يك محصول تجاري است. همچنين به دليل اينكه اختصاصي است، مشخص نيست به چه صورت به رمزگذاري يا توليد كلمات عبور اقدام مينمايد. به عبارتي، نحوه عملكرد برنامه مشخص نيست. ممكن است اين فاكتور در استفادههاي شخصي زياد مشكلساز نباشد، اما در وضعيتهاي امنيتي سطح بالا يك ابزار توليد كلمات عبور منبع باز مانند PWGen، ميتواند انتخاب بهتري باشد.
6Password Safe(شكل 3) و 7KeePass، (شكل 4) به عنوان دو ابزار اپنسورس ديگر ميتوانند در مديريت و توليد و نگهداري كلمات عبور به شما كمك كنند؛ بدون اينكه نگرانياي بابت نحوه عملكردشان داشته باشيد.
Only the registered members can see the link
ر نهايت، در هر جايي كه امنيت براي ما اهميت داشته باشد، بايد كلمات عبور كوتاهتر از هشت كاراكتر را فراموش كنيم. در واقع تمام كلمات عبور من در محدوده ميان هشت تا بيست كاراكتر با تركيبي از حروف كوچك و بزرگ، اعداد، علامتهاي نشانهگذاري و سمبولهاي گرافيكي موجود روي صفحهكليد ( همانند؛ ، $، % ، ّو ... ) قراردارند و به صورت تصادفي توليد شدهاند. براي برنامههاي حساستر، كلمات عبور طولانيتر و با تركيب بيشتري از موارد ذكر شده بالا را تهيه ميكنم.
Only the registered members can see the link (Only the registered members can see the link)
در موارد خاص، جايي كه نياز به سطح امنيتي بسيار بالا داشته باشم يا امكان استفاده از كلمات عبور طولاني تر از بيست كاراكتر را داشته باشم، يا قابلحمل بودن مد نظرم باشد ( يعني زماني كه بايد كلمهعبور را بدون كمك نرمافزار خاصي به خاطر بسپارم)، مطمئناً از كلمات عبور (Passphrase) استفاده خواهم كرد.
البته روش و تكنيك شما ميتواند كاملاً متفاوت از موارد ذكر شده در اين مقاله باشد. موارد مطرحشده تنها به عنوان مثال ذكر گرديدند. اما نكته مهم در مورد كلمات عبور كوتاه يا كلمات عبور طولاني كه به راحتي تشخيص داده ميشوند اين است كه كاملاً بياستفاده هستند. اگر خط مشي خود را در مورد تهيه كلمات عبور در طي چند سال اخير تغيير ندادهايد، اكنون زمان مناسبي براي پرداختن به اين كار است. همچنين زمان مناسبي جهت توجه به ابزارهايي است كه امكان توليد و استفاده از كلمات عبور طولانيتر و مطمئنتري را به راحتي در اختيار ما قرار ميدهند.
پي نوشت
1- توان محاسباتي پردازندهها به سرعت در حال افزايش است و دانشمندان به دنبال دستيابي به سرعتهاي بيشتري هستند.
2- تكنيك جديد براي انتخاب كلمات عبور. در مقابل پين كد چهاررقمي كه تركيبي از اعداد است و كلمات عبور كه تركيبي از اعداد و حروف است و گاه ميتواند طول محدودي داشته باشد استفاده از Passphrase يا <عبارت عبور> امكان استفاده از عبارتهايي با طول بيشتر از كلمه عبور را ميدهد و طبعاً امنيت بيشتري را به ارمغان ميآورد. براي آشنايي بيشتر با اين روش ميتوانيد به آدرس (Only the registered members can see the link) مراجعه كنيد.
منبع: اينفورميشنويك
ترجمه: شورش مرادي