شکستن رمز عبور Brute Force بیشتر طول می کشد

بر اساس آخرین ممیزی سالانه زمان شکستن رمز عبور که روز سه‌شنبه توسط Hive Systems منتشر شد، شکستن گذرواژه‌ها در حال حاضر بیشتر از گذشته طول می‌کشد، اما خبر خوب دلیلی برای جشن گرفتن نیست.

بسته به طول رمز عبور و ترکیب آن – ترکیبی از اعداد، حروف و کاراکترهای خاص – یک رمز عبور می‌تواند فورا شکسته شود یا رمزگشایی آن نیم دوجین طول بکشد.

به عنوان مثال، رمزهای عبور چهار، پنج یا شش عددی را می‌توان فوراً با رایانه‌های امروزی شکست، در حالی که رمز عبور 18 کاراکتری متشکل از اعداد، حروف بزرگ و کوچک و نمادها 19 کوینتیلیون سال طول می‌کشد. زنگ تفريح.

سال گذشته، تحقیقات Hive نشان داد که برخی از گذرواژه‌های 11 کاراکتری را می‌توان به‌طور آنی با استفاده از نیروی بی‌رحمانه شکست. یافته‌های امسال اثربخشی الگوریتم‌های هش رمز عبور استاندارد صنعتی جدیدتر – مانند bcrypt – را برای رمزگذاری رمزهای عبور در پایگاه‌های داده نشان داد. اکنون، همان رمز عبور 11 کاراکتری 10 ساعت طول می کشد تا شکسته شود.

در سال‌های گذشته، شرکت‌ها از رمزگذاری MD5 برای هش رمزهای عبور استفاده می‌کردند که خیلی ایمن یا قوی نیست. اکنون آنها از bcrypt استفاده می کنند که قوی تر است.

او به TechNewsWorld گفت: «خبر خوب این است که وب‌سایت‌ها و شرکت‌ها تصمیم‌های خوبی برای استفاده از الگوریتم‌های هش رمز عبور قوی‌تر می‌گیرند، بنابراین زمان‌های کرک در حال افزایش است، اما با توجه به افزایش قدرت رایانه، این زمان‌ها دوباره شروع به کاهش خواهند کرد. همانطور که در سال های گذشته انجام داده اند.»

مبادلات رمزگذاری

در حالی که هش کردن رمزهای عبور با رمزگذاری قوی یک عمل امنیتی خوب است، معاوضه هایی نیز وجود دارد. Nette خاطرنشان کرد: «رمزگذاری کارها را کند می کند. “Bcrypt امن تر است، اما اگر تکرارهای زیادی از هش ایجاد کنید، می تواند ورود به یک وب سایت را کندتر کند یا بارگذاری سایت را کندتر کند.”

او افزود: «اگر ما بهترین رمزگذاری را داشتیم، یک وب‌سایت می‌توانست برای کاربران در اینترنت کاملاً غیرقابل استفاده باشد، بنابراین معمولاً مصالحه وجود دارد». این سازش می تواند در نهایت فرصتی برای هکرها باشد.

جیسون سوروکو، معاون ارشد محصول Sectigo، ارائه‌دهنده گواهی دیجیتال جهانی، خاطرنشان کرد: «Bcrypt یک هش 56 بایتی در مقابل 16 بایتی برای MD5 ارائه می‌کند، که مقاومت بسیار قوی‌تری در برابر حملات brute force دارد.

او به TechNewsWorld گفت: «MD5 هنوز در حال استفاده گسترده است و احتمالاً به ویژه برای پایگاه‌های داده رمزهای بزرگ به دلیل اندازه کوچکتر و کارآمدتر، استفاده خواهد شد.

MJ Kaufmann، نویسنده و مدرس O'Reilly Media، اپراتور یک پلتفرم یادگیری برای متخصصان فناوری، در بوستون، اذعان کرد که الگوریتم‌های هش قوی‌تر در سخت‌تر کردن شکستن رمزهای عبور نقش داشته است، اما معتقد است که این فقط به سازمان‌ها کمک می‌کند. که کد خود را برای اتخاذ الگوریتم ها تغییر داده اند.

او به TechNewsWorld گفت: «از آنجایی که این تغییر زمان‌بر است و ممکن است نیاز به به‌روزرسانی‌های قابل توجهی برای سازگاری داشته باشد، این تغییر کند است و بسیاری از سازمان‌ها هنوز از الگوریتم‌های ضعیف‌تری برای آینده نزدیک استفاده می‌کنند.

بدترین سناریو برای هکرها

کافمن خاطرنشان کرد که در زمان های اخیر گام های بزرگی برای حفاظت از داده ها برداشته شده است. او توضیح داد: «سازمان‌ها در نهایت شروع به جدی گرفتن حفاظت از داده‌ها کرده‌اند، تا حدی به دلیل مقرراتی مانند GDPR، که عملاً قدرت بیشتری را از طریق مجازات‌های سخت برای شرکت‌ها به مصرف‌کنندگان داده است».

او ادامه داد: «به همین دلیل، بسیاری از سازمان‌ها حفاظت از داده‌های خود را در سراسر جهان با پیش‌بینی مقررات آینده گسترش داده‌اند.»

جدول زمان های شکستن رمز عبور در سال 2024

در حالی که ممکن است هکرها برای شکستن رمزهای عبور بیشتر طول بکشد، کرک کردن برای آنها به اندازه قبل مهم نیست. کافمن گفت: «شک کردن رمزهای عبور برای دشمنان آنقدر مهم نیست. “به طور کلی، مهاجمان به دنبال مسیر کمترین مقاومت در یک حمله هستند که اغلب با سرقت رمزهای عبور از طریق فیشینگ یا استفاده از رمزهای عبور دزدیده شده از سایر حملات انجام می شود.”

Sectigo اضافه کرد: «به همان اندازه که اندازه‌گیری زمان لازم برای اجباری کردن گذرواژه‌های هش‌شده سرگرم‌کننده است، درک این نکته ضروری است که بدافزارهای keylogging و جمع‌آوری اعتبار توسط تاکتیک‌های مهندسی اجتماعی تعداد زیادی از حوادث نام کاربری و رمز عبور دزدیده شده را تشکیل می‌دهند.» سوروکو

او افزود: «این مطالعه همچنین به این نکته اشاره می‌کند که استفاده مجدد از رمز عبور همه روش‌های brute force را برای مهاجم غیرضروری می‌کند.»

Nette اذعان کرد که جدول زمان های شکستن رمز عبور Hive بدترین سناریو را برای یک هکر نشان می دهد. او گفت: «فرض می‌کند که یک هکر نمی‌تواند رمز عبور شخصی را از طریق تکنیک‌های دیگر دریافت کند، و آنها مجبورند رمز عبور را به زور اعمال کنند. تکنیک‌های دیگر می‌توانند زمان دریافت رمز عبور را کاهش دهند، اگر نه به‌صورت فوری.»

وارد شوید، نفوذ نکنید

آدام نیل، یک مهندس تشخیص تهدید در Critical Start، اضافه کرد: «شک کردن رمزهای عبور یک شکل مهم از مصالحه برای مهاجمان باقی مانده است، اما با افزایش استانداردهای رمزگذاری رمز عبور، روش‌های دیگر نفوذ مانند فیشینگ حتی جذاب‌تر از آنچه که قبلا هستند می‌شوند. شرکت ملی خدمات امنیت سایبری

او به TechNewsWorld گفت: «اگر این احتمال وجود دارد که شکستن رمز عبور متوسط ​​ماه‌ها یا حتی سال‌ها طول بکشد، مهاجمان مسیر کمترین مقاومت را در پیش خواهند گرفت. با کمک هوش مصنوعی، مهندسی اجتماعی از طریق ایجاد ایمیل‌ها و پیام‌های قانع‌کننده‌تر برای مهاجمان قابل دسترس‌تر شده است.»

استفان گیتس، کارشناس مسائل امنیتی در Horizon3 AI، سازنده یک راه حل تست نفوذ مستقل، در سانفرانسیسکو، خاطرنشان کرد که امروزه، هکرها مجبور نیستند سیستم ها را هک کنند. آنها وارد می شوند

او گفت: «از طریق اعتبارنامه‌های سرقت شده از طریق حملات فیشینگ، نقض‌های شخص ثالث – که شامل اعتبارنامه‌ها می‌شود – و مشکل ترسناک استفاده مجدد از اعتبار، اعتبارنامه‌ها همچنان موضوع شماره یک هستند که ما به عنوان روشی که مهاجمان برای به دست آوردن جای پایی در شبکه‌های سازمانی استفاده می‌کنند، می‌بینیم. TechNewsWorld.

وی افزود: «همچنین، تمایلی در میان کاربران اداری به انتخاب رمزهای عبور ضعیف یا استفاده مجدد از رمزهای عبور مشابه در چندین حساب وجود دارد، که خطراتی را ایجاد می‌کند که مهاجمان می‌توانند و از آن سوء استفاده کرده‌اند».

وی ادامه داد: «علاوه بر این، برخی از سطوح حساب‌های مدیریت یا نوع IT همیشه مشمول بازنشانی رمز عبور یا الزامات خط‌مشی طول نمی‌شوند. این رویکرد نسبتاً سهل‌انگیز به مدیریت اعتبار می‌تواند ناشی از عدم آگاهی از نحوه استفاده مهاجمان از اعتبارنامه‌های سطح پایین برای به دست آوردن دستاوردهای سطح بالا باشد.

کلمه عبور اینجا برای ماندن

راه ساده برای از بین بردن مشکل شکستن رمز عبور حذف رمزهای عبور خواهد بود، اما به نظر محتمل به نظر نمی رسد. دارن گوچیون، مدیر عامل Keeper Security، یک شرکت مدیریت رمز عبور و ذخیره‌سازی آنلاین در شیکاگو، گفت: «گذرواژه‌ها ذاتی عملکرد زندگی مدرن ما در هر شبکه، دستگاه و حسابی هستند.

او ادامه داد: «با این وجود، مهم است که اذعان کنیم که کلیدهای عبور در آینده نزدیک جایگزین رمزهای عبور نخواهند شد. در میان میلیاردها وب سایت موجود، تنها کسری از درصد در حال حاضر از کلیدهای عبور پشتیبانی می کنند. این پذیرش بسیار محدود را می توان به عوامل مختلفی نسبت داد، از جمله سطح پشتیبانی از پلتفرم های زیربنایی، نیاز به تنظیمات وب سایت، و نیاز به پیکربندی توسط کاربر.

او گفت: «در حالی که ما به آینده‌ای بدون رمز عبور یا ترکیبی نزدیک‌تر می‌شویم، این انتقال یک رویکرد یکسان نیست. کسب‌وکارها باید الزامات امنیتی، محدودیت‌های نظارتی و نیازهای کاربر را به دقت ارزیابی کنند تا جایگزین‌های رمز عبور مؤثر و کاربردی را شناسایی و پیاده‌سازی کنند.»

منبع