پسورد قوی شما ممکن است ضعیف‌تر از آنچه که فکر می‌کنید باشد!

برنامه‌های سنجش پسورد موجود، اغلب گمراه‌کننده‌اند. اگر شما جزو افرادی هستید که برای تعیین پسورد به برنامه‌های پسورد­سنج اعتماد می‌کنند، باید منتظر خبرهای بدی باشید. طبق تحقیقات جدید دانشگاه کنکوردیا، معیارهای قدرت این برنامه‌ها بسیار متناقض‌اند و اغلب شما را گمراه می‌کنند. خاویر دوکارنه دوکارناوالت و محمد منان، پسورد­سنج‌هایی که توسط سایت‌های پرطرفدار و برنامه‌های مدیریت پسورد استفاده می‌شوند را مورد ارزیابی قراردادند. سایت‌های بررسی‌شده شامل وب‌سایت‌های اپل، دراپ باکس، دروپال، گوگل، ای بی، مایکروسافت، پی پال، اسکایپ، توییتر، یاهو و سرویس ایمیل روسی به نام یاندکس میل است. همچنین این دو پژوهشگر به بررسی برنامه‌های مدیریت پسورد همچون LastPass، 1Password، و keePass پرداختند و FedEx و سایت مرکزی خدمات مشتری راه‌آهن چین را نیز برای گوناگونی نمونه‌ها اضافه کردند. سپس دوکارنه دوکارناوالت و منان لیستی شامل 9.5 میلیون پسورد از مآخذ عمومی مانند پسوردهای هک شده‌ی افراد واقعی تهیه کرده و آن‌ها را روی سرویس‌های پسورد­سنج آزمایش کردند تا قدرت این برنامه‌ها را بسنجند.

قوانین غیر مؤثر
اغلب پسورد­سنج‌ها به دنبال طول و تنوع کاراکتری (مانند حروف کوچک و بزرگ، اعداد و نمادها) بودند. برخی نیز به شناسایی لغات مشترک و الگوهای ضعیف اهمیت می‌دادند.با این‌حال، پسورد­سنج‌هایی که به ترکیب پسورد اهمیت می‌دادند، اغلب از الگوهایی که به‌ سادگی قابل هک شدن هستند چشم‌پوشی می‌کردند و تبدیلات رایج حروف (leet transformation) مانند جایگزین کردن حرف l با شماره‌ی 1 را وارد محاسبه نمی‌کردند. در حالی‌ که هکرها از چنین تبدیلاتی برای هک کردن پسوردها استفاده می‌کنند.

نتایج متناقض
در کمال تعجب پسوردهایی که تقریبا مانند هم هستند نتایج بسیار متفاوتی داشتند. مثلاً Paypal01 توسط استانداردهای اسکایپ ضعیف ولی با استانداردهای پی پال قوی شناخته شد. دراپ باکس Password1 را بسیار ضعیف ولی یاهو آن را بسیار قوی تشخیص داد و حتی توسط 3 پسورد­سنج مایکروسافت 3 امتیاز مختلف (قوی، ضعیف، متوسط) گرفت. پسورد #football1 توسط دراپ باکس بسیار ضعیف شناخته شد ولی توییتر آن را عالی ارزیابی کرد. در برخی موارد، اختلافات جزئی ارزیابی را به دلیل تأکید بیش‌ از حد روی حداقل ضروریات تحت تأثیر قرار داد. پسورد­سنج FedEx، عبارتpassword$1 را واقعا ضعیف اما Password$1 را خیلی قوی تشخیص داد. یاهو عبارت qwerty را در طبقه‌ی خیلی ضعیف دسته‌بندی کرد ولی qwerty1 را در طبقه‌ی قوی گذاشت. مشکلات مشابهی در گوگل به وجود آمد که مثلاً passwordo را ضعیف ولی passwordo+ را قوی دانست. پسوردسنج FedEx عبارت +ˆv16#5{]( را احتمالا به دلیل اینکه شامل هیچ حرف بزرگی نیست) بسیار ضعیف ارزیابی کرد. محققان توضیح دادند که «برخی پسورد سنج‌ها بسیار ضعیف و گنگ هستند (مثل یاهو و یاندکس) به‌ طوری‌ که گاها به ماهیت آن ها می توان شک کرد.»

جعبه سیاه، جعبه سیاه
دوکارنه دوکارناوالت و منان بیان می‌کنند که میزان قدرت پسورد­سنج‌ها بنا به آسیب‌پذیری آن‌ها است و این می‌تواند برای کاربرانی که شاهد نتایج متغیر پسورد­سنج‌های گوناگون هستند مشکل بوجودآورد. پژوهشگران همچنین اظهار داشتند که: «به‌ جزء دراپ باکس و keepass (تا حدودی) در آزمایش ما، هیچ پسورد­سنج دیگری نتوانست توضیح مناسبی درباره‌ی طراحی برنامه و یا منطق پشت تکنیک‌های ارزیابی قدرت پسوردها ارائه دهد.» به‌ استثنای دراپ باکس و keepass به نظر می رسد بقیه‌ی پسورد­سنج‌ها به‌ صورت ad-hoc طراحی‌ شده‌اند و اغلب پسوردهای ضعیف را قوی تشخیص می‌دادند. چنانچه پژوهشگران بیان داشتند: «پسورد­سنج نسبتا ساده‌ی دراپ باکس در تحلیل پسوردها بسیار مؤثر است و احتمالا گامی به‌ سوی مسیر درست برداشته است (keepass نیز از چنین الگوریتمی استفاده می‌کند.)» دوکارنه دوکارناوالت و منان توصیه می‌کنند که سرویس‌دهندگان محبوب وب همگی از الگوریتم یکسانی برای سنجش پسوردها استفاده کنند. ایشان به خصوص استفاده از الگوریتم zxcvbn و یا توسعه دادن آن که توسط دراپ باکس استفاده می شود یا نسخه متن‌باز keepass که از این الگوریتم استفاده می کند را توصیه می کنند.

0







از طریق این فرم، می توانید بدون ثبت نام نظر دهید و یا اگر قبلا ثبت نام کرده اید، با ورود ناحیه ی کاربری می توانید علاوه بر ثبت نظر، به مدیریت نظرات خود نیز بپردازید.
(فیلد اجباری)
(فیلد اجباری)
(فیلد اجباری)
(فیلد اجباری)