قدرت رمز عبور را با توضیح بررسی کنید. ما با یک رمز عبور مقاوم در برابر هک آمده ایم

11.03.2024 ویندوز 7، XP

به سایت وبلاگ خوش آمدید! مدتهاست می خواستم مقاله ای در مورد رمز عبور یک حساب بنویسم تا هک کردن آن بسیار دشوار باشد. این مقاله به شما یاد می دهد که چگونه یک رمز عبور پیچیده ایجاد کنید. ما تکنیک هایی را بررسی خواهیم کرد که نه تنها به ایمن کردن رمز عبور شما کمک می کند، بلکه به خاطر سپردن آن برای شما دشوار نیست.

اکنون دیگر نمی توانیم زندگی خود را بدون اینترنت تصور کنیم. تقریباً هر سایتی درخواست ثبت نام دارد. محبوب ترین منابع شبکه های اجتماعی هستند. هر روز میلیون ها کاربر وارد حساب کاربری خود می شوند. ما با ارسال داده های مهم در پیام ها خطر اشتباهات زیادی را داریم. خوب است که یک رمز عبور پیچیده برای VK یا یک شبکه اجتماعی محبوب دیگر داشته باشید، این به محافظت از خود در برابر مزاحمان کمک می کند.

چندین روش پیچیده رمز عبور

رمز عبور باید چه باشد؟ این سوال توسط صدها کاربر اینترنتی مطرح شده است. انواع رمزهای عبور زیر متمایز می شوند:

الفبایی؛
نمادین؛
دیجیتال؛
ترکیبی (ترکیبی از گزینه های قبلی)؛
ثبت استفاده

سه نوع اول اعتماد به نفس را القا نمی کنند. اینها راه های بسیار ساده ای برای ایجاد رمز عبور هستند. ما به دلیل بی تجربگی اشتباه می کنیم و آنها را تنظیم می کنیم. بسیار خوب، این یک "رمز عبور" برای یک حساب کاربری در یک انجمن یا مکان مشابه دیگر خواهد بود. و اگر این ورودی دفتر بانک باشد، تمام پول شما از بین خواهد رفت. تنها چیزی که شما را نجات می دهد این است که سرویس امنیتی چنین سایت هایی سیستمی برای رد رمزهای عبور آسان ایجاد کرده است.

حروف، اعداد و نمادها

ترکیبی از حروف، نمادها و اعداد امن ترین نوع رمز عبور است. برای حدس زدن باید به طور جدی مغز خود را درگیر کنید.

"کاربران" با تجربه به مبتدیان توصیه می کنند از این ترکیب خاص استفاده کنند. همچنین، آن را خیلی کوتاه نکنید. یک ترکیب طولانی به شما این امکان را می دهد که داده ها و مکاتبات خود را در برابر اشخاص ثالث ایمن نگه دارید.

نکته اصلی این است که از عبارات پیش پا افتاده زیر استفاده نکنید:

"123"؛
"123456";
"321";
"qwerty"؛
"asdfg".

این و سایر مجموعه های مشابه از شخصیت های صفحه کلید هک شدن را تضمین می کنند. این فقط شما نیستید که اول به ذهنتان می رسد، بلکه صدها نفر. آنها نه حتی توسط یک برنامه خاص، بلکه معمولاً توسط یک بدخواه محاسبه می شوند.

چگونه یک رمز عبور برای نامه یا نوع دیگری از مجوز انتخاب کنیم؟ این موضوع ارزش آن را دارد که خودتان به آن رسیدگی کنید. چندین گزینه پیچیده تر رمز عبور کمک خواهد کرد.

ثبت نام

قبل از وارد کردن نام کاربری و رمز عبور، باید به حروف کوچک بودن برخی از فرم ها توجه کنید. ترکیب حروف بزرگ و کوچک رمز عبور را امن تر می کند.

هنگام نوشتن یک کلمه مخفی، به تنوع آن فکر کنید. حروف بزرگ و کوچک را یک یا چند در یک زمان جایگزین کنید. این روش شرورهای آنلاین را به شدت ناراحت خواهد کرد.

آزاردهنده ترین چیز این است که خودتان سفارش را فراموش کنید. با توجه به توصیه کاربران باتجربه، ارزش دارد که کاراکتر اول را با حروف بزرگ، دومی را با حروف کوچک و سپس یکی یکی متناوب کنید. بهتر است به این توصیه توجه کنید تا بعداً ذهن خود را به هم نریزید.

شما می توانید بدون وارد کردن ویژگی های موردی در "رمز عبور" انجام دهید، اما این روش دیگری برای افزایش پیچیدگی رمز عبور است.

تغییرات

تاریخ تولدی که هر کاربری به یاد می آورد پیش پا افتاده ترین و ساده ترین راه است. اگر آن را به درستی بازی کنید، می تواند گزینه خوبی باشد. با استفاده از "معکوس کردن"، بسیاری موفق به ایجاد یک رمز عبور برنده شده اند که بعید است حل شود.

این روش بر اساس نوشتن کاراکترها به ترتیب معکوس است. هر تاریخی را انتخاب کنید، به عنوان مثال، زمانی که متولد شده اید و متن را به عقب تایپ کنید. اگر عبارت "081978" را در ذهن دارید، سپس آن را برگردانید، "879180" دریافت می کنیم. به یاد آوردن نحوه نوشتن چنین رمز عبور بسیار آسان است.

بیایید سایر ایده های پیچیده تر را در نظر بگیریم. فرض کنید رمز عبور بر اساس نام و نام خانوادگی شما است. ما تایپ می کنیم، از قبل تکنیک را با استفاده از ثبات - "PeTrPeTrOv" می دانیم. حالا بیایید از تاکتیک‌های «شیفت‌کننده» استفاده کنیم. ما از تاریخ استفاده می کنیم، به عنوان مثال، زمانی که کاربر متولد شده است - 21 فوریه 1982. به علاوه ما به همه چیز نمادها اضافه خواهیم کرد. در پایان، رمز عبور مثال زیر را دریافت می کنیم - "PeTrPeTrOv!28912012". نتیجه خیره کننده بود، زیرا برای "کاربر" ساده و آسان است، اما برای مهاجمان نه.

قدرت و امنیت رمز عبور خود را با استفاده از خدمات آنلاین بررسی کنید:

https://password.kaspersky.com/ru/
https://howsecureismypassword.net/

رمزگذاری

رمز عبور باید چه باشد؟ بیایید راه عالی دیگری را پیدا کنیم. بیایید به اصل رمزگذاری نگاه کنیم. در واقع، تمام روش‌هایی که قبلاً مورد بحث قرار گرفت، وجه اشتراکی با این دارند. در اینجا ما با رمزگذاری عبارات نشان خواهیم داد که رمزهای عبور چیست.

ما بی معنی ترین و منحصر به فرد ترین عبارتی را انتخاب می کنیم که به راحتی به خاطر سپرده می شود. بگذارید "سوسک های فضایی" وجود داشته باشد. می توانید از هر خطی از آهنگ ها و شعرها استفاده کنید، ترجیحاً چندان شناخته شده نیستند.

سپس یک کد به عبارت خود اعمال می کنیم. بیایید به چند روش مطمئن نگاه کنیم:

بازنویسی یک کلمه روسی در یک طرح انگلیسی؛
"شیفت کننده"؛
جایگزین کردن حروف با نمادهایی که از نظر ظاهری مشابه هستند (به عنوان مثال، "o" - "()"، "i" - "!"، "a" - "@")؛
حذف کاراکترهای جفت یا جفت نشده؛
انداختن صامت ها یا مصوت ها؛
اضافه کردن کاراکترها و اعداد خاص

بنابراین، بیایید به چند کلمه با معنی فکر کنیم - "سوسک های فضایی". از هر کدام 4 حرف می گیریم، "komtara" می گیریم. به انگلیسی بروید و دوباره تایپ کنید - "rjcvnfhf". ما آن را با شروع رمز با یک حرف بزرگ و اضافه کردن نمادها پیچیده می کنیم.

این همان چیزی است که رمز عبور باید باشد، با استفاده از مثال عبارت اصلی تصور شده - "Rjcvnfhf@955".

یک ترکیب قابل اعتماد با تعداد زیادی نماد اختراع شده است. قدرت رمز عبور با استفاده از خدمات ویژه، به عنوان مثال، passwodmetr.com بررسی می شود. حدس زدن این ترکیب برای کلاهبرداران آسان نبود، زیرا اطلاعات شخصی کاربر درگیر نیست. اما برای "کاربر" چنین "گذرواژه" موهبتی است ، زیرا به خاطر سپردن چنین رمز عبور قابل اعتماد دشوار نخواهد بود.

ژنراتور

برای کسانی که نمی خواهند زمان بیشتری را صرف فکر کردن کنند، توسعه دهندگان مدت هاست که مولدهای رمز عبور پیچیده را اختراع کرده اند. این روش درجاتی از قابلیت اطمینان را فراهم می کند. بهترین آنها هنوز به عنوان "رمزهای عبور" اختراع شده توسط ذهن خود در نظر گرفته می شوند.

ژنراتور چیست و چگونه از آن استفاده کنیم؟ این یک برنامه هوشمند است که رمزهای عبور تصادفی - ترکیبات کاملاً تصادفی را نمایش می دهد. او از بسیاری از روش‌های مورد بحث استفاده می‌کند، اما «گردش‌ها» را در نظر نمی‌گیرد.

مولد رمز عبور پیچیده از اینترنت دانلود می شود. به عنوان مثال، اجازه دهید "keepass" را در نظر بگیریم. مانند هر ژنراتور دیگری، کار با آن دشوار نیست. برنامه و خود نسل با فشار دادن یک دکمه خاص راه اندازی می شوند. پس از اتمام عملیات، رایانه شخصی یک گزینه رمز عبور صادر می کند. تنها کاری که باید انجام دهید این است که ترکیب حاصل را به صورت بدون تغییر یا با اضافات وارد کنید.

به خاطر سپردن رمزهای عبور دشوار ایجاد شده توسط دوست آهنی بسیار دشوار است. به ندرت کسی آنها را در ذهن خود نگه می دارد. معمولاً رمزهای عبور زیادی وجود دارد، زیرا ما در یک سایت نمی نشینیم و مرتباً در منابع دیگر ثبت نام می کنیم. بنابراین، ذخیره یک دسته از چنین اطلاعاتی برای همه راحت نیست. شما می توانید تمام اوراق را با یادداشت ها به طور کامل گم کنید.

یک راه برای ذخیره سازی وجود دارد - آنها را در یک فایل کامپیوتری چاپ کنید. این یکی از قابل اطمینان ترین موارد است. فقط باید به یاد داشته باشید که سیستم PC برای همیشه دوام نمی آورد و همچنین غیر قابل استفاده می شود.

همه روش‌های ایجاد رمزهای عبور پیچیده قبلاً در بالا مورد بحث قرار گرفته‌اند، و می‌توانید یک رمز عبور ایمیل ایجاد کنید که به طور قابل اعتماد از داده‌های شما در برابر اشخاص ثالث محافظت کند.

در اینجا چند نکته مفید برای ایجاد رمز عبور آورده شده است:

اطلاعات شخصی کاربر (نام بستگان، نام حیوانات خانگی، شماره تلفن، آدرس، تاریخ تولد و غیره) را ذکر نکنید.
شما نمی توانید از الفبای سیریلیک در رمز عبور خود استفاده کنید.
از عباراتی استفاده نکنید که به راحتی می توان با استفاده از فرهنگ لغت رمزهای عبور محبوب محاسبه کرد (yaster، عشق، آلفا، سامسونگ، گربه، مرسدسو سایر موارد مشابه و سایر مشتقات و ترکیبات آنها).
طول کاراکترها را در نظر بگیرید - ترجیحاً حداقل 10.
رمز عبور را با استفاده از ترکیبی از روش های مختلف پیچیده کنید - حروف بزرگ و کوچک، اعداد، نمادها.
از رایج ترین گذرواژه ها - قالب ها استفاده نکنید، اصلی فکر کنید (روباتی که رمز عبور شما را محاسبه می کند نمی تواند به اندازه یک شخص هوشمند باشد).

پیچیدگی رمز عبور

پیچیدگی رمز عبور- معیاری از اثربخشی که با آن رمز عبور می‌تواند در برابر روش‌های حدس زدن یا brute force مقاومت کند. در شکل معمول خود، پیچیدگی رمز عبور تخمینی است از چند تلاش برای حدس زدن یک مهاجم، بدون دسترسی مستقیم به رمز عبور، به طور متوسط. تعریف دیگر این واژه تابعی از طول رمز عبور و همچنین پیچیدگی و غیرقابل پیش بینی بودن آن است.

استفاده

استفاده از رمزهای عبور پیچیده خطر نقض امنیتی را کاهش می دهد، اما رمزهای عبور پیچیده جایگزین نیاز به سایر اقدامات امنیتی موثر نیست. اثربخشی یک رمز عبور با قدرت معین کاملاً به طراحی و اجرای نرم‌افزار سیستم‌های احراز هویت بستگی دارد، به ویژه اینکه مهاجم با چه سرعتی می‌تواند حدس زدن رمز عبور را تأیید کند و اطلاعات رمز عبور کاربر تا چه حد ایمن ذخیره و منتقل می‌شود. همچنین برخی از راه‌های هک امنیت رایانه که به پیچیدگی رمز عبور مربوط نمی‌شوند، خطرات را نشان می‌دهند. اینها روشهایی مانند فیشینگ، keylogging، استراق سمع تلفن، مهندسی اجتماعی، جستجوی اطلاعات مفید در زباله، حملات کانال جانبی، آسیب پذیری نرم افزار هستند.

تعیین پیچیدگی رمز عبور

دو عامل وجود دارد که پیچیدگی رمز عبور را تعیین می کند: سهولتی که مهاجم می تواند صحت رمز عبور حدس زده را تأیید کند و میانگین تعداد تلاش هایی که مهاجم باید انجام دهد تا رمز عبور صحیح را پیدا کند. عامل اول با نحوه ذخیره رمز عبور و استفاده از آن تعیین می شود، در حالی که عامل دوم با طول رمز عبور، مجموعه کاراکترهای استفاده شده و نحوه ایجاد آن تعیین می شود.

بررسی صحت رمز عبور حدس زده

واضح ترین راه برای آزمایش یک حدس، تلاش برای استفاده از آن برای دسترسی به منبعی است که با رمز عبور حدس زده محافظت شده است.

با این حال، این روش می تواند کند باشد و تعداد زیادی از سیستم ها دسترسی به حساب شما را پس از چندین بار تلاش نادرست به تاخیر می اندازند یا مسدود می کنند. از سوی دیگر، سیستم هایی که از رمزهای عبور برای احراز هویت استفاده می کنند باید آنها را به شکلی ذخیره کنند تا آنها را در برابر مقادیر وارد شده بررسی کنند. به طور معمول، به جای خود رمز عبور، تنها یک تابع هش رمزنگاری رمز عبور ذخیره می شود. اگر یک تابع هش به اندازه کافی پیچیده باشد، معکوس کردن آن بسیار دشوار است. یعنی اگر یک مهاجم یک مقدار رمز عبور هش شده در دست داشته باشد، نمی تواند مستقیماً رمز عبور را از آن بازیابی کند. با این حال، اگر تابع هش رمزنگاری به سرقت رفته باشد، دانستن مقدار هش به مهاجم این امکان را می‌دهد تا رمز عبور حدس را به سرعت بررسی کند.

روش دیگری برای حدس زدن سریع زمانی امکان پذیر است که از رمز عبور برای تولید یک کلید رمزنگاری استفاده شود. در چنین مواردی، مهاجم می تواند به سرعت رمز عبور را بر اساس میزان موفقیت رمزگشایی داده های رمزگذاری شده بررسی کند.

اگر سیستم رمز عبور از نمک رمزنگاری استفاده نمی‌کند، مهاجم می‌تواند مقدار هش را برای تغییرات رایج رمز عبور و همچنین برای همه رمزهای عبور کمتر از یک طول مشخص از قبل محاسبه کند که امکان بازیابی رمز عبور بسیار سریع را فراهم می‌کند. فهرست‌های بزرگی از هش‌های رمز عبور از پیش محاسبه‌شده را می‌توان با استفاده از جدول رنگین کمان به طور موثر ذخیره کرد. چنین جداول در اینترنت برای برخی از سیستم های احراز هویت رمز عبور عمومی موجود است.

ایجاد رمز عبور

رمزهای عبور یا به صورت خودکار (با استفاده از مولد اعداد تصادفی) یا توسط انسان ایجاد می شوند. پیچیدگی یک رمز عبور تصادفی انتخاب شده در برابر حمله brute-force را می توان با دقت محاسبه کرد. در بیشتر موارد، گذرواژه‌ها در ابتدا توسط شخصی ایجاد می‌شوند که از او خواسته می‌شود رمز عبور را انتخاب کند، گاهی اوقات با توصیه یا مجموعه‌ای از قوانین راهنمایی می‌شود. این معمولاً در هنگام ایجاد حساب کاربری برای سیستم های رایانه ای یا وب سایت ها رخ می دهد. در این مورد، تنها تخمین پیچیدگی رمز عبور امکان پذیر است، زیرا افراد تمایل دارند از الگوهایی در چنین وظایفی پیروی کنند و این الگوها همیشه در دست مهاجم قرار می گیرند. علاوه بر این، لیستی از رمزهای عبور اغلب برای استفاده در برنامه های حدس زدن رمز عبور رایج است. هر یک از فرهنگ لغت های متعدد برای انواع زبان ها چنین فهرستی است. همه موارد موجود در چنین لیستی در صورت استفاده به عنوان رمز عبور ضعیف در نظر گرفته می شوند. چندین دهه تجزیه و تحلیل رمزهای عبور در سیستم های رایانه ای چند کاربره نشان داده است که بیش از 40٪ از رمزهای عبور را می توان فقط با استفاده از برنامه های رایانه ای حدس زد و حتی بیشتر از آن را می توان حدس زد وقتی اطلاعات مربوط به یک کاربر خاص در هنگام حمله در نظر گرفته شود.

تولید رمز عبور خودکار، اگر به درستی انجام شود، به حذف هرگونه ارتباط بین رمز عبور و کاربر آن کمک می کند. برای مثال، بعید است که نام حیوان خانگی کاربر توسط چنین سیستمی تولید شود. برای یک رمز عبور انتخاب شده از یک فضای به اندازه کافی بزرگ از امکانات، نیروی بی رحم ممکن است تقریبا غیرممکن شود. با این حال، ایجاد رمزهای عبور واقعا تصادفی ممکن است دشوار باشد و به طور کلی به خاطر سپردن آن برای کاربر دشوار است.

آنتروپی به عنوان معیار پیچیدگی رمز عبور

صنعت کامپیوتر معمولاً پیچیدگی رمز عبور را بر حسب آنتروپی اطلاعات (مفهومی از نظریه اطلاعات) ارزیابی می کند که بر حسب بیت اندازه گیری می شود. به جای تعداد تلاش های لازم برای حدس زدن دقیق رمز عبور، لگاریتم پایه 2 این عدد گرفته می شود و تعداد بیت های آنتروپی در رمز عبور نامیده می شود. یک رمز عبور مثلاً با پیچیدگی 42 بیتی که به این روش محاسبه می شود، با یک رمز عبور تصادفی تولید شده با طول 42 بیت مطابقت دارد. به عبارت دیگر، برای شکستن رمز عبور با پیچیدگی 42 بیتی، باید 2 42 تلاش انجام دهید، و تمام گزینه های ممکن را با استفاده از روش brute force خسته کنید. بنابراین، افزودن یک بیت آنتروپی به رمز عبور، تعداد حدس‌های مورد نیاز را دو برابر می‌کند و کار مهاجم را دو برابر دشوارتر می‌کند. به طور متوسط، یک مهاجم باید نیمی از گزینه های رمز عبور ممکن را قبل از یافتن گزینه صحیح بررسی کند. (قانون اعداد بزرگ)

رمزهای عبور تصادفی

گذرواژه‌های تصادفی شامل رشته‌ای از کاراکترها با طول خاصی هستند که از مجموعه‌ای از کاراکترها با استفاده از یک فرآیند انتخاب تصادفی که در آن هر کاراکتر به یک اندازه استفاده می‌شود، استخراج شده‌اند. پیچیدگی یک رمز عبور تصادفی به آنتروپی واقعی مولد اعداد تصادفی ضمنی بستگی دارد. اغلب از مولدهای اعداد شبه تصادفی استفاده می شود. بسیاری از مولدهای رمز عبور در دسترس عموم از مولدهای اعداد تصادفی موجود در کتابخانه های نرم افزاری استفاده می کنند که آنتروپی محدودی را ارائه می دهند. با این حال، اکثر سیستم عامل های مدرن دارای مولدهای اعداد تصادفی رمزنگاری قوی هستند که برای تولید رمز عبور مناسب هستند. همچنین می توان از تاس های معمولی برای ایجاد رمز عبور تصادفی استفاده کرد. برنامه های رمز عبور تصادفی اغلب تمایل دارند تضمین کنند که نتیجه، سیاست های رمز عبور محلی را برآورده می کند. به عنوان مثال، همیشه یک رمز عبور با ترکیبی از حروف، اعداد و کاراکترهای خاص ایجاد کنید. پیچیدگی یک رمز عبور تصادفی، که از نظر آنتروپی اطلاعات اندازه گیری می شود، برابر خواهد بود

که در آن N تعداد کاراکترهای ممکن و L تعداد کاراکترهای رمز عبور است. H با بیت اندازه گیری می شود.

آنتروپی در هر کاراکتر برای مجموعه کاراکترهای مختلف

مجموعه کاراکتر	شخصیت ها ن	آنتروپی در هر 1 کاراکتر اچ
اعداد عربی (0-9)	10	3.3219 بیت
سیستم هگزادسیمال (0-9، A-F)	16	40000 بیت
الفبای لاتین بدون حروف بزرگ (a-z)	26	4.7004 بیت
نویسه های الفبایی و عددی بدون حروف بزرگ (a-z، 0-9)	36	5.1699 بیت
الفبای لاتین با حروف بزرگ (a-z، A-Z)	52	5.7004 بیت
نویسه های حروف الفبا و عددی بزرگ (a-z، A-Z، 0-9)	62	5.9542 بیت
همه کاراکترهای اسکی قابل چاپ	95	6.5699 بیت

رمزهای عبور ایجاد شده توسط افراد

افراد زنده اغلب رمزهایی با آنتروپی ناکافی بالا ایجاد می کنند. برخی از شعبده بازان از این ناتوانی انسان برای سرگرم کردن و سرگرم کردن تماشاگران با حدس زدن اعداد تصادفی که تماشاگران آرزوی آن را داشته اند استفاده می کنند. به عنوان مثال، در یک تجزیه و تحلیل از سه میلیون رمز عبور هشت کاراکتری، حرف "e" 1.5 میلیون بار استفاده شده است، در حالی که حرف "f" تنها 250000 بار استفاده شده است. اگر به طور مساوی توزیع شود، هر شخصیت 900000 بار ظاهر می شود. رایج ترین عدد "1" است، در حالی که رایج ترین حروف a، e، o و r هستند. . NIST (ایالات متحده آمریکا) طرح زیر را برای تخمین آنتروپی رمز عبور تولید شده توسط انسان پیشنهاد می کند:

آنتروپی کاراکتر اول 4 بیت است.
آنتروپی هفت کاراکتر بعدی، هر کدام 2 بیت.
از نماد نهم تا بیستم 1.5 بیت آنتروپی در هر نماد.
از 21 به بعد، هر کاراکتر دارای 1 بیت آنتروپی است.
اگر از حروف بزرگ و کاراکترهای غیر الفبایی نیز استفاده شود، 6 بیت دیگر اضافه می شود.

این بدان معنی است که یک رمز عبور 8 کاراکتری ساخته شده توسط انسان، بدون حروف بزرگ و بدون حروف الفبا، دارای پیچیدگی در حدود 18 بیت است. با این حال، این طرح بر این فرض استوار است که کاربران رمزهای عبور با همان آنتروپی متن انگلیسی ساده را انتخاب می کنند.

آستانه سختی بیت

برای اهداف عملی، گذرواژه‌ها باید برای کاربر نهایی پیچیده و کاربردی باشند، اما همچنین به اندازه کافی قوی باشند تا در برابر حملات مخرب محافظت کنند. رمزهای عبور پیچیده را می توان به راحتی فراموش کرد و به احتمال زیاد روی کاغذ نوشته می شود، که خطراتی را به همراه دارد. از طرف دیگر، اگر کاربران را ملزم به حفظ گذرواژه‌ها کنید، پسوردهای ساده‌تری را ارائه می‌کنند که خطر هک شدن را به‌طور جدی افزایش می‌دهد.

برخی از معیارهای امنیتی اساسی برای روش brute force، در زمینه تلاش برای یافتن کلید مورد استفاده در رمزگذاری، ایجاد شده است. این مشکل مشابه این روش‌ها نیست که تعداد نجومی تلاش‌ها را شامل می‌شود، اما نتایج می‌تواند به شما در تصمیم‌گیری در مورد انتخاب رمز عبور کمک کند. در سال 1999، پروژه Electronic Freedom Foundation رمز 56 بیتی DES را در کمتر از یک روز با استفاده از سخت افزار طراحی شده خاص شکست. در سال 2002، distributed.net یک کلید 64 بیتی را در 4 سال و 9 ماه و 23 روز شکست. و در 12 اکتبر 2011، distributed.net تخمین زد که شکستن یک کلید 72 بیتی با استفاده از قابلیت های فعلی، 124.8 سال طول می کشد. به دلیل پیچیدگی بسیار زیاد و به دلیل محدودیت های درک ما از قوانین فیزیک، نمی توان انتظار داشت که هر کامپیوتر دیجیتالی (یا ترکیبی) بتواند با استفاده از نیروی بی رحم، رمز 256 بیتی را بشکند. به هر شکلی، در تئوری این احتمال وجود دارد (الگوریتم شور) که کامپیوترهای کوانتومی قادر به حل چنین مسائلی باشند، با این حال، اینکه آیا این امر در عمل امکان پذیر خواهد بود به طور قطع مشخص نیست.

در نتیجه، نمی توان پاسخ دقیقی به یک مشکل متفاوت، یعنی مشکل پیچیدگی رمز عبور بهینه داد. NIST استفاده از رمز عبور آنتروپی 80 بیتی را برای بهترین امنیت توصیه می کند که می توان با استفاده از یک الفبای 95 کاراکتری (یعنی مجموعه کاراکترهای ASCII) با رمز عبور 12 کاراکتری (12 * 6.5 بیت = 78) به دست آورد.

حداقل طول رمز عبور از 12 تا 14 کاراکتر است. افزایش رمز عبور تنها با 2 کاراکتر، 500 برابر گزینه های بیشتری نسبت به افزایش 18 کاراکتر حروف الفبا می دهد.
در صورت امکان رمزهای عبور تصادفی ایجاد کنید
از رمزهای عبور مبتنی بر تکرار، کلمات فرهنگ لغت، ترتیب حروف یا اعداد، نام کاربری، نام بستگان یا حیوانات خانگی، ارجاعات عاشقانه (حالی یا گذشته)، یا اطلاعات بیوگرافی خودداری کنید.
شامل اعداد و سایر علائم در رمز عبور، در صورت مجاز بودن سیستم.
تا حد امکان از حروف بزرگ و کوچک استفاده کنید.
از استفاده از رمز عبور یکسان برای سایت ها یا اهداف مختلف خودداری کنید.

برخی از توصیه‌ها توصیه می‌کنند که رمز عبور را در جایی یادداشت نکنید، در حالی که برخی دیگر به تعداد زیادی از سیستم‌های محافظت شده با رمز عبور که کاربر باید به آنها دسترسی داشته باشد اشاره می‌کند و از ایده نوشتن رمز عبور تا زمانی که فهرست در یک لیست نگهداری می‌شود، حمایت می‌کنند. مکان امن مانند کیف پول یا گاوصندوق.

نمونه هایی از رمزهای عبور ضعیف

برخی از رمزهای عبور مشابه ضعیف تر از بقیه هستند. به عنوان مثال، تفاوت بین داشتن یک رمز عبور مشخص شده به عنوان کلمه فرهنگ لغت در مقابل یک کلمه درهم (یعنی جایگزینی حروف رمز عبور با مثلاً اعداد - یک رویکرد رایج) می تواند چند ثانیه اضافی برای ابزار شکستن رمز عبور هزینه داشته باشد. کمی پیچیدگی رمز عبور مثال‌های زیر انواع روش‌های ایجاد رمزهای عبور ضعیف را نشان می‌دهند. هر یک بر اساس یک الگوی ساده است که منجر به آنتروپی بسیار پایین می شود و حدس زدن آنها را بسیار سریع می کند.

رمز عبور پیش فرض: رمز عبور، پیش فرض، مدیر، مهمان و دیگران. لیستی از رمزهای عبور پیش فرض به طور گسترده در سراسر اینترنت توزیع شده است.
کلمات فرهنگ لغت: آفتاب پرست، RedSox، کیسه های شنی، bunnyhop!، IntenseCrabtree و دیگران، از جمله کلمات از فرهنگ لغت غیر انگلیسی.
کلمات با اعداد اضافه شده: password1، deer2000، ivan1234 و دیگران. خیلی سریع قابل بررسی است.
کلمات با جایگزینی حروف ساده: p@ssw0rd، l33th4x0r، g0ldf1sh و دیگران. می توان به طور خودکار با سرمایه گذاری کمی بررسی شد.
کلمات دوگانه: خرچنگ، توقف، درخت درخت، پاس و دیگران.
دنباله های رایج صفحه کلید: qwerty، 12345، asdfgh، fred و دیگران.
دنباله های اعداد بر اساس مجموعه های شناخته شده: 911، 314159... یا 271828...، 112358... و موارد دیگر.
اطلاعات شخصی: ivpetrov123، 1/1/1970، شماره تلفن،% نام کاربری، شماره TIN، آدرس و موارد دیگر.

با توجه به پیچیدگی برخی از الگوهای حمله، احتمالات زیادی برای ضعیف بودن رمز عبور وجود دارد. اصل اصلی این است که رمز عبور باید آنتروپی بالایی داشته باشد و با هیچ الگوی هوشمندانه یا اطلاعات شخصی تعیین نشود. خدمات آنلاین اغلب امکان بازیابی رمز عبور را فراهم می کند که یک هکر می تواند از آن برای پیدا کردن رمز عبور استفاده کند. انتخاب پاسخی که حدس زدن آن دشوار است به محافظت از رمز عبور شما کمک می کند.

سیاست رمز عبور

خط مشی رمز عبور راهنمای انتخاب رمز عبور رضایت بخش است. معمولاً این است:

به کاربر کمک کنید یک رمز عبور قوی انتخاب کند.
اطمینان از مناسب بودن کلمه عبور برای مخاطب هدف.
توصیه هایی برای کاربران در مورد استفاده از رمزهای عبور خود.
الزامات تغییر هر رمز عبوری که گم شده یا بی اعتبار شده است و ممکن است بیش از مدت زمان مشخصی استفاده شده باشد.
برخی از خط مشی ها حاوی الگویی از کاراکترهایی هستند که رمز عبور باید حاوی آنها باشد.

سیاست های رمز عبور اغلب شامل تاریخ انقضا می شود. تاریخ انقضا دو هدف را دنبال می کند:

اگر زمان شکستن رمز عبور 100 روز تخمین زده شود، تاریخ انقضای کمتر از 100 روز می تواند اطمینان حاصل کند که مهاجم زمان کافی برای شکستن آن را ندارد.
اگر رمز عبور به خطر افتاده باشد، نیاز به تغییر منظم آن باید زمان دسترسی مهاجم به سیستم را محدود کند.

ایجاد و مدیریت رمز عبور

با توجه به طول و مجموعه کاراکترهای ممکن، سخت ترین رمز عبور برای شکستن رشته هایی از کاراکترهای تصادفی هستند. آنها می توانند برای مدت طولانی در برابر حمله brute force مقاومت کنند (به دلیل آنتروپی بالا)، اما به خاطر سپردن آنها نیز سخت ترین هستند. الزام کاربران به داشتن گذرواژه‌های پیچیده باعث می‌شود پسوردها روی کاغذ، تلفن‌های همراه، PDA نوشته شوند یا در صورت بروز خطا در حافظه با دیگران به اشتراک گذاشته شوند. بروس اشنایر توصیه می کند رمزهای عبور خود را یادداشت کنید.

ساده است، مردم دیگر نمی توانند رمزهای عبور آنقدر خوب را به خاطر بسپارند که به طور قابل اعتماد در برابر حملات فرهنگ لغت محافظت کنند، و اگر رمز عبوری را انتخاب کنند که برای به خاطر سپردن بسیار پیچیده باشد و آن را یادداشت کنند، بسیار ایمن تر خواهد بود. ایمن نگه داشتن یک تکه کاغذ کوچک برای همه ما بسیار آسان است. توصیه می کنم افراد رمز عبور خود را روی یک کاغذ کوچک یادداشت کنند و آن را همراه با سایر اشیاء قیمتی در کیف پول خود نگه دارند.

متن اصلی(انگلیسی)

به سادگی، مردم دیگر نمی توانند رمزهای عبور را به اندازه کافی خوب به خاطر بسپارند تا به طور قابل اعتماد در برابر حملات فرهنگ لغت دفاع کنند، و اگر رمز عبوری پیچیده تر از آن را انتخاب کنند و سپس آن را یادداشت کنند، بسیار ایمن تر هستند. همه ما در ایمن کردن تکه های کوچک کاغذ مهارت داریم. توصیه می کنم افراد رمز عبور خود را روی یک تکه کاغذ کوچک بنویسند و آن را با سایر کاغذهای کوچک ارزشمند خود نگهداری کنند: در کیف پولشان.

بروس اشنایر 2005

تکنیک های حافظه

خط‌مشی‌های رمز عبور گاهی تکنیک‌های حافظه را برای کمک به یادآوری رمزهای عبور ارائه می‌کنند:

گذرواژه‌های یادگاری: برخی از کاربران عبارات یادگاری را توسعه می‌دهند و از آنها برای ایجاد رمزهای عبور با آنتروپی بالا استفاده می‌کنند که هنوز نسبتاً راحت‌تر به خاطر سپرده می‌شوند (به عنوان مثال، اولین حرف هر کلمه در یک عبارت به خاطر سپرده شده). همچنین به جای حروف می توانید از هجاها برای به خاطر سپردن راحت تر استفاده کنید.
Mnemonic after the fact: پس از ایجاد رمز عبور، باید عبارت یا جمله ای را که با آن همراه است ایجاد کنید. لازم نیست هوشمند باشد، فقط به یاد ماندنی باشد. این اجازه می دهد تا رمز عبور تصادفی باشد.
الگوهای رمز عبور: هر گونه الگوی در رمز عبور حدس زدن (خودکار یا غیر خودکار) را آسان تر می کند و بار کاری را برای مهاجم کاهش می دهد.

حفاظت از رمز عبور

معمولاً به کاربران رایانه توصیه می شود که «هرگز رمزهای عبور خود را در جایی یادداشت نکنید» و «هرگز از رمز عبور یکسان در بیش از یک حساب استفاده نکنید». در حالی که یک کاربر معمولی می تواند ده ها حساب کاربری محافظت شده با رمز عبور داشته باشد. کاربرانی که دارای چندین حساب کاربری هستند اغلب تسلیم می شوند و از یک رمز عبور برای همه حساب ها استفاده می کنند. نرم افزاری وجود دارد که به شما امکان می دهد رمزهای عبور را به صورت رمزگذاری شده ذخیره کنید. روش دیگر این است که رمز عبور را به صورت دستی رمزگذاری کنید و رمز نگاری را روی کاغذ بنویسید و روش رمزگشایی و کلید را به خاطر بسپارید. روش دیگر این است که گذرواژه‌های حساب‌های معمولی را کمی تغییر دهید و برای تعداد کمتری از برنامه‌های کاربردی پر ارزش، مانند بانکداری آنلاین، رمزهای عبور پیچیده و متنوع انتخاب کنید.

مدیران رمز عبور

یک مصالحه معقول برای استفاده از تعداد زیادی رمز عبور، نوشتن آنها در مدیریت رمز عبور است. چنین برنامه ای به کاربر اجازه می دهد تا از صدها رمز عبور مختلف استفاده کند، در حالی که تنها یک رمز عبور را به خاطر می آورد که داده های رمزگذاری شده را باز می کند. چنین رمز عبوری طبیعتاً باید تا حد امکان پیچیده باشد و نباید در جایی نوشته شود.

همچنین ببینید

یادداشت

آناستازیا سیماکینا 40 درصد از رمزهای عبور به دلیل سادگی قابل هک هستند // وب سایت cnews.ru (بازیابی شده در 7 نوامبر 2011)

کارشناسان امنیت رایانه از دانشگاه کمبریج ساختار بیش از 70 میلیون رمز عبور را تجزیه و تحلیل کردند. و آنها متوجه شدند که پیچیده ترین رمزهای عبور در جهان توسط کاربران آلمانی و کره ای ساخته شده است. علاوه بر این، آنها این کار را به طور طبیعی و طبیعی و بدون آموزش خاصی انجام می دهند. و راز پایداری ترکیبات در خصوصیات زبان آنها نهفته است. آنها از همان نمادهای لاتین، همان اعداد استفاده می کنند، اما کلمات "سخت" بومی خود را - نام ها، نام ها، اصطلاحات و غیره به عنوان مبنایی می گیرند. به عنوان مثال، Annaberg-Buchholz#122. پیدا کردن و به خاطر سپردن این گزینه ها آسان است، اما انتخاب آنها در مقایسه با کلمات واژگانی در زبان های دیگر بسیار دشوارتر است.

اگر شما خواننده عزیز کره ای یا آلمانی نمی دانید، البته این بدان معنا نیست که باید رمزهای عبور پیچیده را نادیده بگیرید. آنها کلید امنیت داده های شما در اینترنت (در سیستم های پرداخت آنلاین، در وب سایت ها، انجمن ها) هستند. این مقاله به شما می گوید که الزامات کلیدی برای دسترسی به حساب شما باید چه باشد (چه چیزی باید باشد) و چگونه آن را ایجاد کنید.

تعریف سختی

پیچیدگی کلید معیار مقاومت در برابر انتخاب در سطح نمادین با استفاده از روش های دستی و خودکار (محاسبه منطقی، انتخاب فرهنگ لغت) است. این با تعداد تلاش هایی که کرکر انجام می دهد مشخص می شود، یعنی چقدر زمان می برد تا ترکیبی را که کاربر کامپایل کرده است محاسبه کند.

عوامل زیر بر پیچیدگی رمز عبور تأثیر می گذارد:

تعداد کاراکترهای موجود در کلید.هر چه تعداد کاراکترها در سکانس بیشتر باشد، بهتر است. ترکیبی از 5 کاراکتر احتمال هک شدن سریع بالایی دارد. اما انتخاب یک دنباله از 20 شخصیت می تواند سال ها، دهه ها و حتی قرن ها طول بکشد.
حروف بزرگ و کوچک متناوب.مثال‌ها: کلید dfS123UYt با استفاده از حروف بزرگ مرتبه‌ای پیچیده‌تر از ترکیب مشابه است، اما فقط با حروف کوچک - dfs123uyt.
مجموعه شخصیت هاانواع نمادها ثبات را افزایش می دهد. اگر یک کلید از حروف کوچک و بزرگ، اعداد و کاراکترهای خاص به طول 15-20 کاراکتر بسازید، عملاً شانسی برای پیدا کردن آن وجود ندارد.

چگونه ترکیب های پایدار بسازیم؟

روش‌های زیر به شما کمک می‌کنند تا یک کلید نمادین بسیار پیچیده پیدا کنید که به راحتی قابل یادآوری است.

1. خطوط یک شکل هندسی یا هر شیء را روی صفحه کلید کامپیوتر خود به صورت بصری ایجاد کنید. و سپس کاراکترهایی را که خطوط در امتداد آنها قرار دارند تایپ کنید.

توجه!

از "طرح های" ساده - خطوط، مربع یا مورب خودداری کنید. پیش بینی آنها آسان است.

2. جمله پیچیده ای بسازید که منطق را به چالش بکشد. به عبارت دیگر، برخی جناس:

به عنوان مثال: گربه وااسکا یک پیک در مشتری گرفت.
سپس 2-3 حرف اول هر کلمه را از جمله ساخته شده بردارید:

گربه + Va + Na + بله + st + پایک
هجاها را با حروف لاتین تایپ کنید:

Rjn + Df + Yf + >g + ek + oer
پس از آوانویسی، تعدادی اعدادی را که برای شما آشنا هستند، بین هجاها وارد کنید: تاریخ تولد، قد، وزن، سن، آخرین یا اولین رقم یک شماره تلفن.

Rjn066Df 45Yf 178>g 115ek1202oer

همین! همانطور که می بینید، معلوم شد که یک ترکیب نسبتا "قوی" است. برای به خاطر سپردن سریع آن، فقط به کلید (جمله جناس) و اعداد استفاده شده نیاز دارید.
12.08.1983 05.01.1977

3. 2 تاریخ به یاد ماندنی را به عنوان پایه در نظر بگیرید. به عنوان مثال، دو تولد (مال شما و عزیزتان).
12|08/1983|05\01|1977

تاریخ، ماه و سال را با چند کاراکتر خاص جدا کنید:
حالا صفرهای تاریخ را با حرف کوچک "o" جایگزین کنید.

12|o8/1983|o5\o1|1977

معلوم می شود که یک کلید نسبتاً پیچیده است.

برای ایجاد یک کلید، چند کلمه ساده که با حروف انگلیسی نوشته شده است را انتخاب کنید، به عنوان مثال رمز عبور من بسیار قوی است

اولین جفت حروف را بردارید. در مورد ما "من" است. "m" را در لیست عمودی و "y" را در لیست افقی پیدا کنید. در تقاطع خطوط، اولین کاراکتر رمز عبور را دریافت خواهید کرد.

به همین ترتیب با استفاده از جفت های زیر، نمادهای باقیمانده کلید را پیدا کنید.

اگر رمز عبور خود را فراموش کردید، از یک کلمه کلیدی و جدول ساده برای بازیابی آن استفاده کنید.

چگونه قدرت رمز عبور را بررسی کنیم؟

مقاومت یک ترکیب نماد در برابر انتخاب را می توان در سرویس های وب خاص یافت. بیایید محبوب ترین ها را در نظر بگیریم:

سرویس آنلاین از آزمایشگاه آنتی ویروس کسپرسکی. بر اساس مجموعه کاراکترها و طول کلید، مدت زمان لازم برای کرک کردن آن در رایانه های مختلف را تعیین می کند. پس از تجزیه و تحلیل دنباله، آمار زمان جستجو در ZX-Spectrum (ماشین افسانه ای 8 بیتی دهه 80)، مک بوک پرو (مدل های 2012)، ابررایانه Tianhe-2 و شبکه بات نت Conficker را نشان می دهد.

ابزار آنلاین در پورتال خدمات عظیم 2IP.ru. پس از ارسال کلید به سرور، وضعیت خود (معتمد، غیرقابل اعتماد) و زمان صرف شده برای کرک کردن آن را نمایش می دهد.

کلاهبرداران اینترنتی روزانه میلیون ها رمز عبور را از صندوق های پستی و حساب های کاربری سرقت می کنند. اما ناامید نشوید - ما نکات بسیار ساده اما موثری را به شما ارائه می دهیم که از شما در برابر از دست دادن کنترل بر منابع خود محافظت می کند.

شما آن را حدس زدید، درست است؟ برای پیش پاافتادگی متاسفم، اما این توصیه اصلی است - که اکثر کاربران هنوز از آن غفلت می کنند. جای تعجب نیست که رمزهای عبور مانند qwerty تا به امروز در میان محبوب ترین ها باقی مانده اند.

از نام شخصیت های مورد علاقه خود، نام یک باشگاه فوتبال یا نام حیوان خانگی به عنوان رمز عبور استفاده نکنید، زیرا این اطلاعات به راحتی در شبکه های اجتماعی شما یافت می شود. یک رمز عبور پیچیده باید از ترکیبی تصادفی از کاراکترها و نمادهای مختلف تشکیل شده باشد.

2. از حروف، اعداد و علائم بزرگ و کوچک استفاده کنید

کیفیت سازگاری، به صورت عددی در واحدهای ویژه بیان می شود.
تعداد عملیات مورد نیاز برای انتخاب؛
زمان مورد نیاز برای محاسبه ترکیب (محلی و از راه دور).

ایجاد موفقیت آمیز کلید و استفاده ایمن از اینترنت!