وجود ۳۵۰ میلیون آسیب‌پذیری ناشی از گذرواژه‌های بانکی ضعیف

آیا گذرواژه‌ای که از اطلاعات مالی‌تان حفاظت می‌کند باید ضعیف‌تر از رمزی باشد که برای قفل کردن سلفی‌ها و ویدئوهای بی‌اهمیت و مبادلات توییتری‌ خود در شبکه‌های اجتماعی از آن استفاده می‌کنید؟
طبق تحقیقات قانونی سایبری گروه آموزشی دانشگاه ‌New Haven، در تحقیقی راجع به قدرت کلمه‌ی عبور مورد نیاز برای دسترسی به حساب وب‌گاه های بانک‌‌های Wells Fargo، Capital One و ۱۵ بانک دیگر، محققان دریافتند که ۳۵ درصد افراد کلمه‌ی عبور ضعیفی داشته‌اند.
فرانک بریتینگر پروفسوریار و متخصص امنیت سایبری در دانشگاه New Haven گفت: «ما‌ نمی‌تونیم باور کنیم رمزهایی که مردم برای محافظت از جواهراتشان انتخاب می‌کنند کم‌اهمیت‌تر از رمزهایی است که برای قفل کردن حساب‌های رسانه‌های اجتماعی‌شان مانند توییتر انتخاب می‌کنند.»
UNH (دانشگاه New Haven) با جدا کردن ۶ بانک از ۱۷ بانک برای گزارش دادن، یافته‌هایش را منتشر کرد. UNH نام بانک‌هایی که سیاست‌های رمزگذاری ضعیفی دارند را اعلام کرد که شامل بانک Wells Fago، Capital One، Chase Bank، Citi Bank، اتحادیه‌ی اعتبار فدرال اول وبستر و بانک BBT& T Crop می‌باشد، که حدودا ۳۵۰ میلیون حساب می‌شود. این تحقیق توسط ۵ محقق دانشجوی لیسانس با گروه آموزش و تحقیقات قانونی سایبری دانشگاه New Haven صورت گرفت.
نقطه‌ی مشترک یافته‌های دانشگاه UNH در مورد حقیقت همه‌ی بانک‌های مورد تحقیق این بود که روش‌های رمزگذای وب‌گاه هیچ تفاوتی بین حروف کوچک و بزرگ قایل نشده‌اند. یعنی بر اساس این گزارش، تفاوتی بین گذرواژه‌ی قوی و ضعیف‌تر وجود ندارد.
بریتینگر گفت :«ما از بانک‌ها انتظار داریم که با در نظر گرفتن روش‌های رمزگذاری مشتریان بانک، از بالاترین استاندارد استفاده کنند. اگر بانک‌ها قدم ساده‌ی پشتیبانی از کلمات عبورِ حساس به بزرگی و کوچکی حروف را بردارند، حساب مشتریان کمتر در معرض خطر کشف رمز خواهد بود.»
مشخص نیست که دقیقاً هر کدام از این شش بانک چه روش رمزگذاری دارند. برای مثال، آیا ۸ حرفی حساس به کوچکی و بزرگی حروف است؟ آیا از علامت‌های مخصوص مانند # یا % استفاده شده است؟ بریتینگر گفت که تحقیقات وی روی این تمرکز داشت که معمول‌ترین کلمه‌های عبور ۸ نویسه‌ای چه هستند و ترکیبی از اعداد و حروف برای آن چه می‌تواند باشد.
بریتینگر گفت: « مردم رمزهای خود را همیشه با حروف بزرگ و کوچک می‌سازند. این بانک‌ها با پشتیبانی نکردن از کلمات عبور حساس به کوچکی و بزرگی حروف، به نظر می‌رسد که باعث نا امن شدن بیشتر کلمات عبور شده‌اند.»
وی گفت که بانک‌ها با اجازه ندادن به مشتریان به ساخت کلمه‌ی عبور حساس به حروف به طور چشم‌گیری این امکان را به نفوذگرها داده‌اند که با حمله‌ی جست و جوی فراگیر رمز بتواند کلمه‌ی عبور را حدس بزند.
وی افزود تفاوت بین ۶۲ ترکیب از نویسه‌ها و ۲۶ ترکیب بسیار زیاد است. وی تخمین زد که یک حمله‌ی جست‌وجوی رمز روی یک کلمه‌ی عبور ۸ نویسه‌ای حساس به بزرگی و کوچکی حروف که از نویسه‌ی‌ خاصی مانند نمادها هم در آن استفاده نشده است، حداقل ۸ ساعت طول خواهد کشید. در مورد یک کلمه‌ی رمز مشابه که حساس به حروف است و هیچ نمادی هم ندارد، می‌توات گفت که تقریباً ۲۶ روز طول می‌کشد تا یک نفوذگر بتواند با یک ابررایانه، آن را بشکند.
طی این تحقیق، گروه آموزشی و تحقیقات قانونی سایبری دانشگاه New Have هم‌چنین با مشکل توانایی بانک در پاسخ‌دهی به بازخورد مشتریان در مورد تهدیدهای امنیتی واقعی و مشاهده شده، مواجه شدند. بریتینگر گفت وقتی که محققانش تلاش می‌کردند که در مورد تهدید امنیتی کلمه‌ی عبور به بانک‌ها هشدار دهند، هیچ ساز و کار رسمی وجود نداشت.
بر اساس این گزارش آمده است: «تماس به این بانک‌ها و هشدار به آن‌ها در مورد یک مسئله‌ی امنیتی تقریباً غیرممکن است. ما نتوانستیم هیچ آدرس رایانامه یا شماره‌ی تلفنی برای گزارش این مشکل امنیتی پیدا کنیم، اما آدرس رایانامه و شماره‌ی تلفن برخی بانک‌ها را مورد نفوذ قرار دادیم (از طریق فیشینگ).»
بریتینگر گفت تمامی بانک‌ها از طریق خطوط تلفنی‌شان از این موضوع با خبر شدند. وی گفت که محققان توسط برخی از این بانک‌ها تهدید شدند، بانک‌هایی که نماینده‌شان نمی‌دانستند چگونه به این تحقیقات پاسخ دهند و نگرانی‌های رو به افزایش در مورد یک اداره‌ی امنیتی یا IT را نادیده گرفتند.
بریتینگر گفت: «اگر این بانک‌ها بخواهند یک تیم تحقیقاتی دانشگاهی را نادیده بگیرند، وقتی که یک مشتری با آن‌ها تماس بگیرد و راجع به یک آسیب‌پذیری امنیتی آشکار با آن‌ها صحبت کنند، آن موقع چه می‌شود؟»
بریتینگر گفت که یافته‌های ما یک سؤال مهم را ایجاد می‌کند: چرا سکو‌های شبکه‌های اجتماعی و بسیاری از سکوهای دیگر که مربوط به حساب‌های مالی و شخصی افراد نیست، از روش‌های رمزگذاری سخت‌گیرانه‌تری استفاده می‌کنند؟

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.