مؤسسه تحقیقاتی «جورجیا تک» در آمریکا، در گزارش این هفته خود نوشت: «از این پس با پسووردهای هشتحرفی و بدردنخور کامپیوتری خداحافظی کنید عصر امنیت دوازدهحرفی اینترنت فرا رسیدهاست.»
سایت خبری سیانان روز بیستم اوت در مقاله ای با این مضمون، مینویسد: «محققان برای شکستن رمزهای هشتحرفی از دستههایی از کارتهای گرافیکی استفاده کردند و با این کار توانستند در عرض کمتر از دو ساعت از پسوورد عبور کنند اما وقتی محققان همین قدرت پردازشی را بر روی پسووردهای دوازدهحرفی امتحان کردند متوجه شدند شکستن این رمز ۱۷ هزار و ۱۳۴ سال کار دارد.»
جاشوآ دیویس، یکی از دانشمندان پژوهشگر مؤسسه تحقیقاتی جورجیا تک، میگوید: «طول گذرواژه شما در بعضی موارد میتواند مشخصکننده میزان آسیبپذیری باشد.»
ریچارد بوید نیز که از پژوهشگران ارشد این پروژه است میگوید: «اینکه در آینده چطور خواهد شد معلوم نیست اما فعلاً گذرواژههای دوازدهحرفی باید تبدیل به استاندارد کار بشود.»
یک تریلیون حدس
پژوهشگران، پسووردهای دوازدهحرفی را (به جای یازدهحرفی یا سیزدهحرفی) انتخاب کردهاند زیرا رقمی است که بین «آسانی کار و امنیت» قرار دارد.
فرض آنها این است که یک هکر کارکشته ممکن است بتواند ۱ تریلیون رمز را در ثانیه امتحان کند. در چنین حالتی شکستن رمز یک پسوورد یازدهحرفی ۱۸۰ سال به طول میانجامد اما تنها با افزودن یک حرف دیگر به رمز، این مدت به ۱۷ هزار و ۱۳۴ سال افزایش مییابد.
پسووردها طی سالها مرتباً طولانیتر شدهاند و کارشناسان امنیتی توصیه میکنند که بهجای حروف از جملههای کامل استفاده شود، جملههایی مانند: «من دو تا بچه دارم، جک و جیل.»
ریچارد بوید میگوید هرچند که قدرت رایانهای ارزان، امروزه کاربرد پسووردهای پیچیده را الزامی کرده اما بسیاری از وبسایتها از آن استفاده نمیکنند.
او میگوید بهترین کار اینست که از پیچیدهترین پسووردی که یک سایت به شما اجازه میدهد استفاده کنید. برای نمونه اگر وبسایتی میگذارد تا از نویسههای غیرحرفی مثل "@y;}v%W$\5\" استفاده کنید این کار را بکنید. این کار باعث میشود حدس رمز شما توسط دیگر رایانهها دشوار بشود.
برخی از وبسایتها اجازه وارد کردن پسووردهای بسیار طولانی را میدهند، طولانیترین موردی که بوید دیده Fidelity.com است؛ یک سایت مالی که به کاربرانش اجازه داشتن رمزهای ۳۲-حرفی را میدهد.
در یکی از وبسایتهای مایکروسایت میخوانیم که مردم بهتر است از بهکار بردن کلمات موجود یا ترکیباتی منطقی از حروف بپرهیزند. این کار باعث میشود که «حملههای لغتآزما» که از لیست واژهها و ترکیب حروف استفاده میکنند نتوانند از سد شما عبور کنند.
محققان «جورجیا تک» پیش از رسیدن به این نتیجه که پسوورد دوازدهحرفی مناسب است «حملهای خشن» را ترتیب دادهبودند.
آنها برای این کار از کارتهای گرافیکی رایانهای ارزان و بسیار پرسرعت استفاده کردند. پردازشگرهای این کارتها همه بهطور همزمان کار میکنند و از این راه سعی میکنند همه ترکیبهای ممکن پسووردها را حدس بزنند. هر چه تعداد حروف و نویسههای پسوورد بیشتر باشد تعداد حدسهای لازم هم بیشتر میشود.
مشکل یادسپاری
اما پژوهشگران جورجیا تک هم اذغان دارند که به خاطر سپردن دوازده حرف آنهم برای سایتهای مختلف کاری دشوار است. البته آنها چند راه حل هم برای این مسئله برمیشمرند.
وبسایتی به نام «پسوورد سیف» فهرستی از کلمههای عبور را برای شما ذخیره میکند ولی بوید و دیویس میگویند این فهرست هم از دسترس هکرها در امان نیست.
شرکتهای دیگر، ژتونهایی میفروشند که میتوانید همراه خود ببرید. این دستگاهها که به اندازه زنجیر سوئیچ هستند هر چند دقیقه یکبار رقمهایی تصادفی نشان میدهند که کاربر میتواند این ارقام را به اضافه پسووردی کوچکتر وارد کند.
بعضی سایتها مانند فیسبوک تبلیغ میکنند که کاربر با ورود به سیستم آنها و داشتن نام کاربری در آنها، میتواند به سایتهای سراسر وب دسترسی پیدا کند.
محققان میگویند که این ممکن است کار کاربر را راحتتر کند اما خطرهای بالقوهای هم دارد، برای نمونه اگر هکرها راهی برای دست یافتن به یک پسوورد پیدا کنند خواهند توانست به پایگاههای مختلف اطلاعاتی وارد بشوند.
پژوهشگران جورجیا تک میگویند دلیل این که پسووردها هر بار طولانیتر میشوند اینست که رایانهها و کارتهای گرافیکی رفتهرفته پرسرعتتر میشوند.
شاید مغز ما هم مجبور باشد بزرگتر و سریعتر بشود. به هر حال باید راهی برای از بر کردن این رشتههای دور و دراز از حروف پیدا کنیم.
سایت خبری سیانان روز بیستم اوت در مقاله ای با این مضمون، مینویسد: «محققان برای شکستن رمزهای هشتحرفی از دستههایی از کارتهای گرافیکی استفاده کردند و با این کار توانستند در عرض کمتر از دو ساعت از پسوورد عبور کنند اما وقتی محققان همین قدرت پردازشی را بر روی پسووردهای دوازدهحرفی امتحان کردند متوجه شدند شکستن این رمز ۱۷ هزار و ۱۳۴ سال کار دارد.»
جاشوآ دیویس، یکی از دانشمندان پژوهشگر مؤسسه تحقیقاتی جورجیا تک، میگوید: «طول گذرواژه شما در بعضی موارد میتواند مشخصکننده میزان آسیبپذیری باشد.»
ریچارد بوید نیز که از پژوهشگران ارشد این پروژه است میگوید: «اینکه در آینده چطور خواهد شد معلوم نیست اما فعلاً گذرواژههای دوازدهحرفی باید تبدیل به استاندارد کار بشود.»
یک تریلیون حدس
پژوهشگران، پسووردهای دوازدهحرفی را (به جای یازدهحرفی یا سیزدهحرفی) انتخاب کردهاند زیرا رقمی است که بین «آسانی کار و امنیت» قرار دارد.
فرض آنها این است که یک هکر کارکشته ممکن است بتواند ۱ تریلیون رمز را در ثانیه امتحان کند. در چنین حالتی شکستن رمز یک پسوورد یازدهحرفی ۱۸۰ سال به طول میانجامد اما تنها با افزودن یک حرف دیگر به رمز، این مدت به ۱۷ هزار و ۱۳۴ سال افزایش مییابد.
پسووردها طی سالها مرتباً طولانیتر شدهاند و کارشناسان امنیتی توصیه میکنند که بهجای حروف از جملههای کامل استفاده شود، جملههایی مانند: «من دو تا بچه دارم، جک و جیل.»
ریچارد بوید میگوید هرچند که قدرت رایانهای ارزان، امروزه کاربرد پسووردهای پیچیده را الزامی کرده اما بسیاری از وبسایتها از آن استفاده نمیکنند.
او میگوید بهترین کار اینست که از پیچیدهترین پسووردی که یک سایت به شما اجازه میدهد استفاده کنید. برای نمونه اگر وبسایتی میگذارد تا از نویسههای غیرحرفی مثل "@y;}v%W$\5\" استفاده کنید این کار را بکنید. این کار باعث میشود حدس رمز شما توسط دیگر رایانهها دشوار بشود.
برخی از وبسایتها اجازه وارد کردن پسووردهای بسیار طولانی را میدهند، طولانیترین موردی که بوید دیده Fidelity.com است؛ یک سایت مالی که به کاربرانش اجازه داشتن رمزهای ۳۲-حرفی را میدهد.
در یکی از وبسایتهای مایکروسایت میخوانیم که مردم بهتر است از بهکار بردن کلمات موجود یا ترکیباتی منطقی از حروف بپرهیزند. این کار باعث میشود که «حملههای لغتآزما» که از لیست واژهها و ترکیب حروف استفاده میکنند نتوانند از سد شما عبور کنند.
محققان «جورجیا تک» پیش از رسیدن به این نتیجه که پسوورد دوازدهحرفی مناسب است «حملهای خشن» را ترتیب دادهبودند.
آنها برای این کار از کارتهای گرافیکی رایانهای ارزان و بسیار پرسرعت استفاده کردند. پردازشگرهای این کارتها همه بهطور همزمان کار میکنند و از این راه سعی میکنند همه ترکیبهای ممکن پسووردها را حدس بزنند. هر چه تعداد حروف و نویسههای پسوورد بیشتر باشد تعداد حدسهای لازم هم بیشتر میشود.
مشکل یادسپاری
اما پژوهشگران جورجیا تک هم اذغان دارند که به خاطر سپردن دوازده حرف آنهم برای سایتهای مختلف کاری دشوار است. البته آنها چند راه حل هم برای این مسئله برمیشمرند.
وبسایتی به نام «پسوورد سیف» فهرستی از کلمههای عبور را برای شما ذخیره میکند ولی بوید و دیویس میگویند این فهرست هم از دسترس هکرها در امان نیست.
شرکتهای دیگر، ژتونهایی میفروشند که میتوانید همراه خود ببرید. این دستگاهها که به اندازه زنجیر سوئیچ هستند هر چند دقیقه یکبار رقمهایی تصادفی نشان میدهند که کاربر میتواند این ارقام را به اضافه پسووردی کوچکتر وارد کند.
بعضی سایتها مانند فیسبوک تبلیغ میکنند که کاربر با ورود به سیستم آنها و داشتن نام کاربری در آنها، میتواند به سایتهای سراسر وب دسترسی پیدا کند.
محققان میگویند که این ممکن است کار کاربر را راحتتر کند اما خطرهای بالقوهای هم دارد، برای نمونه اگر هکرها راهی برای دست یافتن به یک پسوورد پیدا کنند خواهند توانست به پایگاههای مختلف اطلاعاتی وارد بشوند.
پژوهشگران جورجیا تک میگویند دلیل این که پسووردها هر بار طولانیتر میشوند اینست که رایانهها و کارتهای گرافیکی رفتهرفته پرسرعتتر میشوند.
شاید مغز ما هم مجبور باشد بزرگتر و سریعتر بشود. به هر حال باید راهی برای از بر کردن این رشتههای دور و دراز از حروف پیدا کنیم.