پسورد قوی شما ممکن است ضعیف‌تر از آنچه که فکر می‌کنید باشد!

پسورد قوی شما ممکن است ضعیف‌تر از آنچه که فکر می‌کنید باشد!

برخی الگوریتم‌های سنجش میزان قوی بودن پسورد گمراه‌کننده‌اند! اگر شما جزو افرادی هستید که برای تعیین پسورد به برنامه‌های پسورد‌سنج اعتماد می‌کنند، باید بدانید که طبق تحقیقات دانشگاه کنکوردیا، معیارهای قدرت این برنامه‌ها بسیار متناقض‌ بوده و اغلب شما را گمراه می‌کنند. 

خاویر دوکارنه دوکارناوالت و محمد منان، پسورد‌سنج‌هایی که توسط سایت‌های پرطرفدار و برنامه‌های مدیریت پسورد استفاده می‌شوند را مورد ارزیابی قرار دادند. سایت‌های بررسی‌ شده شامل وب‌سایت‌های اپل، دراپ‌باکس، دروپال، گوگل، ایی‌بی، مایکروسافت، پی‌پال، اسکایپ، توییتر، یاهو و سرویس ایمیل روسی به نام یاندکس‌میل بود. همچنین این دو پژوهشگر به بررسی برنامه‌های مدیریت پسوردی همچون LastPass ،1Password و keePass پرداختند؛ سپس دوکارنه دوکارناوالت و منان لیستی شامل 9.5 میلیون پسورد از مأخذهای عمومی مانند پسوردهای هک شده‌ٔ افراد واقعی تهیه کرده و آن‌ها را روی سرویس‌های پسورد‌سنج آزمایش کردند تا قدرت این برنامه‌ها را بسنجند.

قوانین ناکارآمد در مورد انتخاب پسوردهای قوی
اغلب پسورد‌سنج‌ها به دنبال طول و تنوع کاراکتری (مانند حروف کوچک و بزرگ، اعداد و نمادها) بودند. برخی نیز به شناسایی لغات مشترک و الگوهای ضعیف اهمیت می‌دادند. با این‌ حال، پسورد‌سنج‌هایی که به ترکیب پسورد اهمیت می‌دادند، اغلب از الگوهایی که به‌ سادگی قابل هک شدن هستند چشم‌پوشی می‌کردند و تبدیل‌های رایج حروف مانند جایگزین کردن حرف l با شماره‌ٔ 1 را وارد محاسبه نمی‌کردند و این در حالی‌ است که هکرها از چنین تبدیلاتی برای هک کردن پسوردها استفاده می‌کنند.

نتایج متناقض در مورد میزان قوی بودن پسوردها
در کمال تعجب، پسوردهایی که تقریباً مانند هم هستند، نتایج بسیار متفاوتی داشتند. مثلاً Paypal01 توسط استانداردهای اسکایپ ضعیف ولی با استانداردهای پی‌پال قوی شناخته شد. دراپ‌باکس Password1 را بسیار ضعیف ولی یاهو آن را بسیار قوی تشخیص داد و حتی توسط 3 پسورد‌سنج مایکروسافت، 3 امتیاز مختلف (قوی، ضعیف، متوسط) گرفت!

پسورد #football1 توسط دراپ‌باکس بسیار ضعیف شناخته شد ولی توییتر آن را عالی ارزیابی کرد. در برخی موارد هم اختلافات جزئی ارزیابی به دلیل تأکید بیش‌ از حد روی حداقل ضروریات، تحت‌تأثیر قرار گرفت.

الگوریتم سایت FedEx عبارت password$1 را واقعاً ضعیف اما Password$1 را خیلی قوی تشخیص داد. یاهو عبارت qwerty را در طبقه‌ٔ خیلی ضعیف دسته‌بندی کرد ولی qwerty1 را در طبقه‌ی قوی گذاشت.

مشکلات مشابهی هم در گوگل به وجود آمد که مثلاً passwordo را ضعیف ولی passwordo+ را قوی دانست. پسوردسنج FedEx عبارت +ˆv16#5{] را احتمالاً به دلیل اینکه شامل هیچ حرف بزرگی نیست، بسیار ضعیف ارزیابی کرد.

دوکارنه دوکارناوالت و منان بیان می‌کنند که میزان قدرت پسورد‌سنج‌ها مبتنی بر آسیب‌پذیری آن‌ها است و این می‌تواند برای کاربرانی که شاهد نتایج متغیر پسورد‌سنج‌های گوناگون هستند، مشکل به وجود آورد. پژوهشگران همچنین اظهار داشتند که به‌ جزء DropBox و KeePass (تا حدودی) در آزمایش‌های ایشان، هیچ پسورد‌سنج دیگری نتوانست توضیح مناسبی درباره‌ٔ طراحی برنامه و یا منطق پشت تکنیک‌های ارزیابی قدرت پسوردها ارائه دهد.

آشنایی با الگوریتم zxcvbn
دوکارنه دوکارناوالت و منان توصیه می‌کنند که سرویس‌دهندگان محبوب وب همگی از الگوریتم یکسانی برای سنجش پسوردها استفاده کنند. ایشان به خصوص استفاده از الگوریتم zxcvbn و یا توسعه دادن آن که توسط دراپ‌باکس استفاده می‌شود را توصیه کردند (مشاهدهٔ ریپازیتوری گیت‌هاب zxcvbn)