'%3e%3crect%20width='24'%20height='24'%20transform='translate(1568%20947)'%20fill='%23dbdbdb'/%3e%3cg%20transform='translate(1466%20765)'%3e%3cpath%20d='M2.875,5.75A2.875,2.875,0,1,1,5.75,2.875,2.879,2.879,0,0,1,2.875,5.75Zm0-5A2.125,2.125,0,1,0,5,2.875,2.13,2.13,0,0,0,2.875.75Z'%20transform='translate(111.125%20188.625)'%20fill='%230b032d'/%3e%3cpath%20d='M8.965,4.25a.378.378,0,0,1-.375-.375C8.59,2.15,6.83.75,4.67.75S.75,2.15.75,3.875a.378.378,0,0,1-.375.375A.378.378,0,0,1,0,3.875C0,1.74,2.095,0,4.67,0S9.34,1.74,9.34,3.875A.378.378,0,0,1,8.965,4.25Z'%20transform='translate(109.33%20195.125)'%20fill='%230b032d'/%3e%3cpath%20d='M0,0H12V12H0Z'%20transform='translate(108%20188)'%20fill='none'%20opacity='0'/%3e%3c/g%3e%3c/g%3e%3c/svg%3e){kind=small}
برخی الگوریتمهای سنجش میزان قوی بودن پسورد گمراهکننده هستند و اگر شما هم جزو افرادی هستید که برای تعیین پسورد به پسوردسنج در نظر گرفته شده در برخی وب اپلیکیشنها اعتماد میکنند، باید بدانید که طبق تحقیقات انجامشده در دانشگاه Concordia، معیارهای قدرت این اپلیکیشنها بسیار متناقض بوده و اغلب کاربران را گمراه میکنند.
Xavier de Carné de Carnavalet و Mohammad Mannan پسوردسنجهایی که توسط سایتهای پرطرفدار و برنامههای مدیریت پسورد استفاده میشوند را مورد ارزیابی قرار دادند (این سایتها شامل اپل، دراپباکس، دروپال، گوگل، اییبی، مایکروسافت، پیپال، اسکایپ، توییتر، یاهو و سرویس ایمیل روسی یاندکسمیل بود.) همچنین این دو پژوهشگر به بررسی برنامههای مدیریت پسوردی همچون LastPass ،1Password و keePass پرداختند سپس لیستی شامل 9/5 میلیون پسورد از مأخذهای عمومی مانند پسوردهای هکشدهٔ افراد واقعی تهیه کرده و آنها را روی سرویسهای پسوردسنج آزمایش کردند تا قدرت این برنامهها را بسنجند.
جالب است بدانید اغلب پسوردسنجها به دنبال طول و تنوع کاراکتر مانند حروف کوچک و بزرگ، اعداد و علائم خاص مثل % یا @ بودند و برخی نیز به شناسایی لغات مشترک و الگوهای ضعیف اهمیت میدادند. با این حال، پسوردسنجهایی که به ترکیب پسورد اهمیت میدادند اغلب از الگوهایی که به سادگی قابلیت هک داشتند چشمپوشی میکردند و تبدیلهای رایج حروف مانند جایگزین کردن حرف l با شمارهٔ 1 را در محاسبهٔ خود دخیل نمیکردند در حالی که هکرها از چنین کارهایی برای هک کردن پسوردها استفاده میکنند.
نتایج متناقض در مورد میزان قوی بودن پسوردها
در کمال تعجب، پسوردهایی که تقریباً مشابه بودند نتایج بسیار متفاوتی داشتند. مثلاً Paypal01 توسط استانداردهای اسکایپ ضعیف ولی با استانداردهای پیپال قوی شناخته شد و یا دراپباکس Password1 را بسیار ضعیف ولی یاهو آن را بسیار قوی تشخیص داد و حتی توسط سه پسوردسنج مایکروسافت سه امتیاز مختلف (قوی، ضعیف، متوسط) گرفت!
پسورد #football1 توسط دراپباکس بسیار ضعیف شناخته شد ولی توییتر آن را عالی ارزیابی کرد و در برخی موارد هم اختلافات جزئی ارزیابی به دلیل تأکید بیش از حد روی حداقل ضروریات، تحتتأثیر قرار گرفت.
الگوریتم سایت فِداِکس عبارت password$1 را واقعاً ضعیف اما Password$1 را خیلی قوی تشخیص داد و یا یاهو عبارت qwerty را در طبقهٔ خیلی ضعیف دستهبندی کرد ولی qwerty1 را در طبقهی قوی گذاشت. سایت فِداِکس همچنین عبارت +ˆv16#5{] را احتمالاً به دلیل اینکه شامل هیچ حرف بزرگی نیست، بسیار ضعیف ارزیابی کرد (مشکلات مشابهی هم در گوگل دیده شد بدین صورت که مثلاً passwordo را ضعیف ولی passwordo+ را قوی دانست.)
این دو محقق معتقدند که میزان قدرت پسوردسنجها مبتنی بر آسیبپذیری آنها است و این میتواند برای کاربرانی که شاهد نتایج متغیر پسوردسنجهای گوناگون هستند، مشکلاتی را ایجاد کند. این پژوهشگران همچنین اظهار داشتند که به جزء DropBox و KeePass، در آزمایشهای ایشان هیچ پسوردسنج دیگری نتوانست توضیح مناسبی دربارهٔ طراحی برنامه و یا منطق پشت تکنیکهای ارزیابی قدرت پسوردها ارائه دهد.
آشنایی با الگوریتم zxcvbn
این محققین توصیه میکنند که سرویسدهندگان محبوب وب همگی از الگوریتم یکسانی برای سنجش پسوردها استفاده کنند. ایشان به خصوص استفاده از الگوریتم zxcvbn که توسط دراپباکس استفاده میشود را توصیه کردند.
