بر اساس آخرین ممیزی سالانه زمان شکستن رمز عبور که روز سهشنبه توسط Hive Systems منتشر شد، شکستن گذرواژهها در حال حاضر بیشتر از گذشته طول میکشد، اما خبر خوب دلیلی برای جشن گرفتن نیست.
بسته به طول رمز عبور و ترکیب آن – ترکیبی از اعداد، حروف و کاراکترهای خاص – یک رمز عبور میتواند فورا شکسته شود یا رمزگشایی آن نیم دوجین طول بکشد.
به عنوان مثال، رمزهای عبور چهار، پنج یا شش عددی را میتوان فوراً با رایانههای امروزی شکست، در حالی که رمز عبور 18 کاراکتری متشکل از اعداد، حروف بزرگ و کوچک و نمادها 19 کوینتیلیون سال طول میکشد. زنگ تفريح.
سال گذشته، تحقیقات Hive نشان داد که برخی از گذرواژههای 11 کاراکتری را میتوان بهطور آنی با استفاده از نیروی بیرحمانه شکست. یافتههای امسال اثربخشی الگوریتمهای هش رمز عبور استاندارد صنعتی جدیدتر – مانند bcrypt – را برای رمزگذاری رمزهای عبور در پایگاههای داده نشان داد. اکنون، همان رمز عبور 11 کاراکتری 10 ساعت طول می کشد تا شکسته شود.
در سالهای گذشته، شرکتها از رمزگذاری MD5 برای هش رمزهای عبور استفاده میکردند که خیلی ایمن یا قوی نیست. اکنون آنها از bcrypt استفاده می کنند که قوی تر است.
او به TechNewsWorld گفت: «خبر خوب این است که وبسایتها و شرکتها تصمیمهای خوبی برای استفاده از الگوریتمهای هش رمز عبور قویتر میگیرند، بنابراین زمانهای کرک در حال افزایش است، اما با توجه به افزایش قدرت رایانه، این زمانها دوباره شروع به کاهش خواهند کرد. همانطور که در سال های گذشته انجام داده اند.»
مبادلات رمزگذاری
در حالی که هش کردن رمزهای عبور با رمزگذاری قوی یک عمل امنیتی خوب است، معاوضه هایی نیز وجود دارد. Nette خاطرنشان کرد: «رمزگذاری کارها را کند می کند. “Bcrypt امن تر است، اما اگر تکرارهای زیادی از هش ایجاد کنید، می تواند ورود به یک وب سایت را کندتر کند یا بارگذاری سایت را کندتر کند.”
او افزود: «اگر ما بهترین رمزگذاری را داشتیم، یک وبسایت میتوانست برای کاربران در اینترنت کاملاً غیرقابل استفاده باشد، بنابراین معمولاً مصالحه وجود دارد». این سازش می تواند در نهایت فرصتی برای هکرها باشد.
جیسون سوروکو، معاون ارشد محصول Sectigo، ارائهدهنده گواهی دیجیتال جهانی، خاطرنشان کرد: «Bcrypt یک هش 56 بایتی در مقابل 16 بایتی برای MD5 ارائه میکند، که مقاومت بسیار قویتری در برابر حملات brute force دارد.
او به TechNewsWorld گفت: «MD5 هنوز در حال استفاده گسترده است و احتمالاً به ویژه برای پایگاههای داده رمزهای بزرگ به دلیل اندازه کوچکتر و کارآمدتر، استفاده خواهد شد.
MJ Kaufmann، نویسنده و مدرس O'Reilly Media، اپراتور یک پلتفرم یادگیری برای متخصصان فناوری، در بوستون، اذعان کرد که الگوریتمهای هش قویتر در سختتر کردن شکستن رمزهای عبور نقش داشته است، اما معتقد است که این فقط به سازمانها کمک میکند. که کد خود را برای اتخاذ الگوریتم ها تغییر داده اند.
او به TechNewsWorld گفت: «از آنجایی که این تغییر زمانبر است و ممکن است نیاز به بهروزرسانیهای قابل توجهی برای سازگاری داشته باشد، این تغییر کند است و بسیاری از سازمانها هنوز از الگوریتمهای ضعیفتری برای آینده نزدیک استفاده میکنند.
بدترین سناریو برای هکرها
کافمن خاطرنشان کرد که در زمان های اخیر گام های بزرگی برای حفاظت از داده ها برداشته شده است. او توضیح داد: «سازمانها در نهایت شروع به جدی گرفتن حفاظت از دادهها کردهاند، تا حدی به دلیل مقرراتی مانند GDPR، که عملاً قدرت بیشتری را از طریق مجازاتهای سخت برای شرکتها به مصرفکنندگان داده است».
او ادامه داد: «به همین دلیل، بسیاری از سازمانها حفاظت از دادههای خود را در سراسر جهان با پیشبینی مقررات آینده گسترش دادهاند.»
در حالی که ممکن است هکرها برای شکستن رمزهای عبور بیشتر طول بکشد، کرک کردن برای آنها به اندازه قبل مهم نیست. کافمن گفت: «شک کردن رمزهای عبور برای دشمنان آنقدر مهم نیست. “به طور کلی، مهاجمان به دنبال مسیر کمترین مقاومت در یک حمله هستند که اغلب با سرقت رمزهای عبور از طریق فیشینگ یا استفاده از رمزهای عبور دزدیده شده از سایر حملات انجام می شود.”
Sectigo اضافه کرد: «به همان اندازه که اندازهگیری زمان لازم برای اجباری کردن گذرواژههای هششده سرگرمکننده است، درک این نکته ضروری است که بدافزارهای keylogging و جمعآوری اعتبار توسط تاکتیکهای مهندسی اجتماعی تعداد زیادی از حوادث نام کاربری و رمز عبور دزدیده شده را تشکیل میدهند.» سوروکو
او افزود: «این مطالعه همچنین به این نکته اشاره میکند که استفاده مجدد از رمز عبور همه روشهای brute force را برای مهاجم غیرضروری میکند.»
Nette اذعان کرد که جدول زمان های شکستن رمز عبور Hive بدترین سناریو را برای یک هکر نشان می دهد. او گفت: «فرض میکند که یک هکر نمیتواند رمز عبور شخصی را از طریق تکنیکهای دیگر دریافت کند، و آنها مجبورند رمز عبور را به زور اعمال کنند. تکنیکهای دیگر میتوانند زمان دریافت رمز عبور را کاهش دهند، اگر نه بهصورت فوری.»
وارد شوید، نفوذ نکنید
آدام نیل، یک مهندس تشخیص تهدید در Critical Start، اضافه کرد: «شک کردن رمزهای عبور یک شکل مهم از مصالحه برای مهاجمان باقی مانده است، اما با افزایش استانداردهای رمزگذاری رمز عبور، روشهای دیگر نفوذ مانند فیشینگ حتی جذابتر از آنچه که قبلا هستند میشوند. شرکت ملی خدمات امنیت سایبری
او به TechNewsWorld گفت: «اگر این احتمال وجود دارد که شکستن رمز عبور متوسط ماهها یا حتی سالها طول بکشد، مهاجمان مسیر کمترین مقاومت را در پیش خواهند گرفت. با کمک هوش مصنوعی، مهندسی اجتماعی از طریق ایجاد ایمیلها و پیامهای قانعکنندهتر برای مهاجمان قابل دسترستر شده است.»
استفان گیتس، کارشناس مسائل امنیتی در Horizon3 AI، سازنده یک راه حل تست نفوذ مستقل، در سانفرانسیسکو، خاطرنشان کرد که امروزه، هکرها مجبور نیستند سیستم ها را هک کنند. آنها وارد می شوند
او گفت: «از طریق اعتبارنامههای سرقت شده از طریق حملات فیشینگ، نقضهای شخص ثالث – که شامل اعتبارنامهها میشود – و مشکل ترسناک استفاده مجدد از اعتبار، اعتبارنامهها همچنان موضوع شماره یک هستند که ما به عنوان روشی که مهاجمان برای به دست آوردن جای پایی در شبکههای سازمانی استفاده میکنند، میبینیم. TechNewsWorld.
وی افزود: «همچنین، تمایلی در میان کاربران اداری به انتخاب رمزهای عبور ضعیف یا استفاده مجدد از رمزهای عبور مشابه در چندین حساب وجود دارد، که خطراتی را ایجاد میکند که مهاجمان میتوانند و از آن سوء استفاده کردهاند».
وی ادامه داد: «علاوه بر این، برخی از سطوح حسابهای مدیریت یا نوع IT همیشه مشمول بازنشانی رمز عبور یا الزامات خطمشی طول نمیشوند. این رویکرد نسبتاً سهلانگیز به مدیریت اعتبار میتواند ناشی از عدم آگاهی از نحوه استفاده مهاجمان از اعتبارنامههای سطح پایین برای به دست آوردن دستاوردهای سطح بالا باشد.
کلمه عبور اینجا برای ماندن
راه ساده برای از بین بردن مشکل شکستن رمز عبور حذف رمزهای عبور خواهد بود، اما به نظر محتمل به نظر نمی رسد. دارن گوچیون، مدیر عامل Keeper Security، یک شرکت مدیریت رمز عبور و ذخیرهسازی آنلاین در شیکاگو، گفت: «گذرواژهها ذاتی عملکرد زندگی مدرن ما در هر شبکه، دستگاه و حسابی هستند.
او ادامه داد: «با این وجود، مهم است که اذعان کنیم که کلیدهای عبور در آینده نزدیک جایگزین رمزهای عبور نخواهند شد. در میان میلیاردها وب سایت موجود، تنها کسری از درصد در حال حاضر از کلیدهای عبور پشتیبانی می کنند. این پذیرش بسیار محدود را می توان به عوامل مختلفی نسبت داد، از جمله سطح پشتیبانی از پلتفرم های زیربنایی، نیاز به تنظیمات وب سایت، و نیاز به پیکربندی توسط کاربر.
او گفت: «در حالی که ما به آیندهای بدون رمز عبور یا ترکیبی نزدیکتر میشویم، این انتقال یک رویکرد یکسان نیست. کسبوکارها باید الزامات امنیتی، محدودیتهای نظارتی و نیازهای کاربر را به دقت ارزیابی کنند تا جایگزینهای رمز عبور مؤثر و کاربردی را شناسایی و پیادهسازی کنند.»