گذرواژه‌های افشاءشده انجام حملات لغت‌نامه‌ای را آسان‌تر می‌کند

۲به لطف افشای اطلاعات برخط کاربران، حدس گذرواژه‌های هدفمند نسبت به قبل کار بسیار راحتی شده است. در مقاله‌ای که در کنفرانس سامانه‌های امنیتی و ارتباطی ACM ارائه شد، محققان چینی و انگلیسی سامانه‌ای برای حدس گذرواژه‌های هدفمند ارائه کردند که نشان می‌دهد بخش قابل توجهی از گذرواژه‌های کاربران برخط در برابر حملات آسیب‌پذیر هستند.

با استفاده از این چارچوبِ حدس گذرواژه‌های هدفمند که TarGuess نامیده می‌شود، محققان با ۱۰۰ حدس در مورد کاربران عادی به ۷۳ درصد و در مورد کابران مطلع از امنیت به ۳۲ درصد موفقیت دست یافته‌اند.
محققان در این چارچوب از ۱۰ پایگاه داده‌ی بزرگ گذرواژه که به‌طور برخط افشاء شده‌اند استفاده کردند. ۵ مورد آن‌ها مربوط به وب‌گاه‌های انگلیسی مانند یاهو و ۵ مورد هم از وب‌گاه‌های چینی مثل Dodonew بودند.

این محقان در مقاله‌ی خود عنوان کردند: «ما فکر می‌کنیم که سازوکارهای دفاعی موجود در برابر تهدیدات حدس گذرواژه‌های هدفمند، بی‌تأثیر بوده و این نوع تهدیدات خیلی بیشتر از آنچه که فکر را می‌کردیم خطرناک هستند. ما معتقدیم که الگوریتم‌های جدید و آگاهی از تهدیدات حدس گذرواژه‌ها هدفمند می‌تواند به گذرواژه‌های موجود و تحقیقات راجع‌به گذرواژه‌ها در آینده کمک بسزایی بکند.»

هر فردی در حوزه امنیت رایانه و هر کاربر اینترنت می‌داند که اگر گذرواژه‌ها به اندازه‌ی کافی قوی نباشند، امنیت زیادی تأمین نمی‌کنند. براساس داده‌های نقض شده می‌توان دید که بین ۰.۷۹ تا ۱۰.۴۴ درصد از گذرواژه‌ها با استفاده از ۱۰ پایگاه داده‌ی گذرواژه به راحتی قابل حدس زدن هستند و بسیاری از آن‌ها گذرواژه‌‌های ساده و همیشگی «۱۲۳۴۵» و «password» هستند.

این محققان همچنین اشاره کردند که بخش کمی از کاربران نیز از اطلاعات شخصی خود در گذرواژه‌ها استفاده می‌کنند به‌طور مثال بین ۰.۷۹ تا ۱.۸۷ درصد از کاربران از نام خود برای گذرواژه استفاده می‌کنند. از بین کاربران چینی نیز بسیاری از افراد از تاریخ تولد خود استفاده می‌کنند. استفاده از آدرس رایانامه و نام کاربری نیز به‌عنوان گذرواژه دیده شده است.
مطلب قابل توجه این است که بسیاری از کاربران یک گذرواژه را همه جا استفاده می‌کنند. پس از نقض داده‌های عظیمی که رخ داد و اطلاعات میلیون‌ها نفر را افشاء کرد، محققان متوجه شدند که با استفاده از اطلاعات حساب کاربری مربوط به یک سرویس می‌توانند به سرویس‌های دیگری نیز دسترسی پیدا کنند.

با استفاده از الگوریتم TarGuess که محققان ارائه کردند، اثبات شده است که به‌طور مثال اگر کاربر ِ هدف از گذرواژه‌ی «sister» در حساب دیگری استفاده کرده باشد، حمله‌ی حدس گذرواژه موفق خواهد بود. حتی اگر کاربر از این گذرواژه در حساب‌های دیگر استفاده نکرده باشد، درصد موفقیت با ۱۰۰ حدس بین ۲۰ تا ۵۰ (با ۱۰۶ حدس) خواهد بود. به‌عبارت دیگر گذرواژه‌های مربوط به حساب دیگر، در حدس گذرواژه در سایر سرویس‌ها نیز کمک‌کننده است.

اگر اطلاعات زیادی از کاربر هدف وجود داشته باشد، محققان به نرخ موفقیت بالایی دست می‌یابند. به‌طور مثال محققان وقتی به اطلاعاتی همچون آدرس رایانامه، نام کاربری، تاریخ تولد، شماره تلفن و شماره ملی کاربران دسترسی داشته باشند، می‌توانند ۲۰ درصد از گذرواژه‌های مسافران قطار چینی را حدس بزنند. در این مثال زمانی که محققان فقط از نام کاربری مطلع باشند، درصد موفقیت به ۶ کاهش می‌یابد.

محققان گفتند این بررسی نشان داد که گذرواژه‌ی بسیاری از کاربران با چند حدس قابل دستیابی است و همچنین اشاره کردند نیاز است تا ارائه‌دهندگان سرویس محدودیتی مثلاً ۱۰۰ باره بر روی تعداد دفعات ورود ناموفق بگذارند.
یافته‌های این تحقیق نشان می‌دهد که کاربران باید از گذرواژ‌ه‌های قوی برای حساب کاربری خود استفاده کرده و از ابزارهای مدیریت گذرواژه بهره ببرند و یک گذرواژه را برای تمامی حساب‌های کاربری خود استفاده نکنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter