این الگوریتم هوشمند موفق به شکست ۸۷ میلیون رمز عبور در کمتر از یک دقیقه شد!

غزال زیاری_ تنها با صرف چند دلار، کمی زمان و الگوریتم هوشمند حدس brute-force (بروت فورس یا حمله جستجوی فراگیر)، می‌توان درزمانی به‌مراتب کمتر از چیزی که تصور می‌کنید به اکثر رمزهای عبور دست‌یافت.

طبق تحلیل جدید کارشناسان کسپراسکای، ۵۹% از ۱۹۳ میلیون رمز عبور فعلی در کمتر از ۶۰ دقیقه و ۴۵% در کمتر از ۶۰ ثانیه شکسته و فاش می‌شوند.

اساس و پایه حمله بروت فورس (حمله جستجوی فراگیر) بر این است که فرد هکر، تمام ترکیب‌های ممکن را تکرار می‌کند تا درنهایت به رمز عبور موردنظر دست بیابد. آنتونوف در این‌باره گفته: «الگوریتم‌های حدس هوشمند، بر روی مجموعه داده‌های رمزهای عبور آموزش داده می‌شوند تا بسامد ترکیب‌های کاراکترهای مختلف را محاسبه کنند؛ آن‌ها ابتدا از رایج‌ترین ترکیب‌ها شروع کرده و بعد به سراغ نادرترین‌ها انتخاب‌ها می‌روند.»

حدس زدن ۸۷ میلیون رمز عبور در کمتر از یک دقیقه!

ترکیب بروت فورس و حدس هوشمند برای دسترسی به رمزهای عبور

حمله brute-force به دلیل ساده بودنش، بسیار محبوب است؛ اما این حمله در الگوریتم‌های شکستن رمزهای عبور، آن‌قدرها موفق نیست. با در نظر داشتن این نکته که اکثر رمزهای عبور مورداستفاده روزانه، ویژگی‌های مشابهی دارند که شامل ترکیب تاریخ‌ها، نام‌ها، واژه‌های فرهنگ لغت و حروف پشت سرهم روی صفحه‌کلید می‌شود، افزودن این دیدگاه‌ها به ترکیب حدس زدن رمزهای عبور، سرعت کار را به‌شدت بالا می‌برد.

مطالعه کسپراسکای حکایت از آن دارد که درصد رمزهای عبور قابل شکستن در هر بازه زمانی با استفاده از هر روش، آن‌قدرها سخت نیست. ۱۰٪ از لیست رمزهای عبور تجزیه‌وتحلیل شده، در کمتر از یک دقیقه با بروت فورس شکسته شده است که با ترکیب این حمله با الگوریتم حدس هوشمند، این میزان به ۴۵٪ افزایش می‌یابد.

با افزایش زمان از یک دقیقه به یک ساعت، موفقیت بروت فورس در یک ساعت ۲۰% بوده و موفقیت ترکیبی دو گزینه به ۵۹% می‌رسد.

حدس زدن ۸۷ میلیون رمز عبور در کمتر از یک دقیقه!

مزیت الگوریتم حدس هوشمند

ازآنجایی‌که انسان‌ها، به عادت‌هایشان زنده‌اند، عموم ما در ساخت و طراحی رمز عبور بسیار ضعیف عمل می‌کنیم. در حقیقت رمزهای عبوری که برای خودمان انتخاب می‌کنیم، به‌ندرت تصادفی هستند و اکثر ما به هنگام انتخاب یک رمز عبور به سراغ همان چیزهایی می‌رویم که الگوریتم‌های حدس هوشمند برای تشخیص و شناسایی‌شان طراحی‌شده‌اند: نام‌ها و عبارات رایج، تاریخ‌های مهم شخصی و تاریخی و الگوها.

برای اینکه تصوری از میزان قابل پیش‌بینی بودن رمزهای عبور به شما بدهیم، یکی از کانال‌های یوتیوب، از بیش از دویست هزار نفر خواست تا یک عدد تصادفی بین ۱ تا ۱۰۰ انتخاب کنند. اکثر افراد به سمت مجموعه کوچکی از اعداد رفتند: ۷، ۳۷، ۴۲، ۶۹، ۷۳ و ۷۷. حتی وقتی قرار است که یک‌رشته عدد تصادفی انتخاب کنیم، باز هم اکثر مردم برای انتخاب عدد مدنظرشان به سمت مرکز صفحه‌کلیدشان می‌روند.

لازم به ذکر است که حتی استفاده از p@ssw۰rd به‌جای رمز عبور، اصلاً باعث کاهش سرعت الگوریتم نمی‌شود.

حدس زدن ۸۷ میلیون رمز عبور در کمتر از یک دقیقه!

تقویت حساب‌ها در برابر حمله الگوریتم حدس هوشمند

کمپانی کسپراسکای، این استراتژی‌ها را برای تعیین و استفاده از رمز عبور توصیه می‌کند:

  • ایجاد رمز عبورهای قوی و تصادفی با استفاده از password manager
  • عدم استفاده از یک رمز عبور مشخص و معین در سایت‌ها، اکانت‌ها و سرویس‌های متعدد؛ چرا که در صورت هک شدن یک اکانت، امکان دسترسی به دیگر اکانت‌هایتان هم فراهم خواهد شد.
  • اگر نمی‌خواهید از Password Manager استفاده کنید، به‌جای استفاده از کلمه‌های فرهنگ لغت یا ترکیب‌های عددی برای رمز عبور، به سراغ رمز عبورهای mnemonic passphrases (دنباله‌ای از کلمات که به‌عنوان یک مکانیسم پشتیبان و بازیابی کیف پول‌های رمزنگاری عمل می‌کنند) بروید.
  • رمزهای عبورتان را در مرورگرهای وب ذخیره نکنید.
  • از Password Manager محافظت‌شده توسط رمز عبور اصلی قوی استفاده کنید.
  • احراز هویت دومرحله‌ای برای همه حساب‌هایی که از آن پشتیبانی می‌کنند را فعال کرده و مورداستفاده قرار دهید.

منبع: forbes

۲۲۷۲۲۷