پسورد قوی شما ممکن است ضعیف‌تر از آنچه که فکر می‌کنید باشد


برخی الگوریتم‌های سنجش میزان قوی بودن پسورد گمراه‌کننده هستند و اگر شما هم جزو افرادی هستید که برای تعیین پسورد به پسورد‌سنج در نظر گرفته شده در برخی وب اپلیکیشن‌ها اعتماد می‌کنند، باید بدانید که طبق تحقیقات انجام‌شده در دانشگاه Concordia، معیارهای قدرت این اپلیکیشن‌ها بسیار متناقض‌ بوده و اغلب کاربران را گمراه می‌کنند. 

Xavier de Carné de Carnavalet و Mohammad Mannan پسورد‌سنج‌هایی که توسط سایت‌های پرطرفدار و برنامه‌های مدیریت پسورد استفاده می‌شوند را مورد ارزیابی قرار دادند (این سایت‌ها شامل اپل، دراپ‌باکس، دروپال، گوگل، ایی‌بی، مایکروسافت، پی‌پال، اسکایپ، توییتر، یاهو و سرویس ایمیل روسی یاندکس‌میل بود.) همچنین این دو پژوهشگر به بررسی برنامه‌های مدیریت پسوردی همچون LastPass ،1Password و keePass پرداختند سپس لیستی شامل 9/5 میلیون پسورد از مأخذهای عمومی مانند پسوردهای هک‌شده‌ٔ افراد واقعی تهیه کرده و آن‌ها را روی سرویس‌های پسورد‌سنج آزمایش کردند تا قدرت این برنامه‌ها را بسنجند.

جالب است بدانید اغلب پسورد‌سنج‌ها به دنبال طول و تنوع کاراکتر مانند حروف کوچک و بزرگ، اعداد و علائم خاص مثل % یا @ بودند و برخی نیز به شناسایی لغات مشترک و الگوهای ضعیف اهمیت می‌دادند. با این‌ حال، پسورد‌سنج‌هایی که به ترکیب پسورد اهمیت می‌دادند اغلب از الگوهایی که به‌ سادگی قابلیت هک داشتند چشم‌پوشی می‌کردند و تبدیل‌های رایج حروف مانند جایگزین کردن حرف l با شماره‌ٔ 1 را در محاسبهٔ خود دخیل نمی‌کردند در حالی‌ که هکرها از چنین کارهایی برای هک کردن پسوردها استفاده می‌کنند.

نتایج متناقض در مورد میزان قوی بودن پسوردها
در کمال تعجب، پسوردهایی که تقریباً مشابه بودند نتایج بسیار متفاوتی داشتند. مثلاً Paypal01 توسط استانداردهای اسکایپ ضعیف ولی با استانداردهای پی‌پال قوی شناخته شد و یا دراپ‌باکس Password1 را بسیار ضعیف ولی یاهو آن را بسیار قوی تشخیص داد و حتی توسط سه پسورد‌سنج مایکروسافت سه امتیاز مختلف (قوی، ضعیف، متوسط) گرفت!

پسورد #football1 توسط دراپ‌باکس بسیار ضعیف شناخته شد ولی توییتر آن را عالی ارزیابی کرد و در برخی موارد هم اختلافات جزئی ارزیابی به دلیل تأکید بیش‌ از حد روی حداقل ضروریات، تحت‌تأثیر قرار گرفت.

الگوریتم سایت فِداِکس عبارت password$1 را واقعاً ضعیف اما Password$1 را خیلی قوی تشخیص داد و یا یاهو عبارت qwerty را در طبقه‌ٔ خیلی ضعیف دسته‌بندی کرد ولی qwerty1 را در طبقه‌ی قوی گذاشت. سایت فِداِکس همچنین عبارت +ˆv16#5{] را احتمالاً به دلیل اینکه شامل هیچ حرف بزرگی نیست، بسیار ضعیف ارزیابی کرد (مشکلات مشابهی هم در گوگل دیده شد بدین صورت که مثلاً passwordo را ضعیف ولی passwordo+ را قوی دانست.)

این دو محقق معتقدند که میزان قدرت پسورد‌سنج‌ها مبتنی بر آسیب‌پذیری آن‌ها است و این می‌تواند برای کاربرانی که شاهد نتایج متغیر پسورد‌سنج‌های گوناگون هستند، مشکلاتی را ایجاد کند. این پژوهشگران همچنین اظهار داشتند که به‌ جزء DropBox و KeePass، در آزمایش‌های ایشان هیچ پسورد‌سنج دیگری نتوانست توضیح مناسبی درباره‌ٔ طراحی برنامه و یا منطق پشت تکنیک‌های ارزیابی قدرت پسوردها ارائه دهد.

آشنایی با الگوریتم zxcvbn
این محققین توصیه می‌کنند که سرویس‌دهندگان محبوب وب همگی از الگوریتم یکسانی برای سنجش پسوردها استفاده کنند. ایشان به خصوص استفاده از الگوریتم zxcvbn که توسط دراپ‌باکس استفاده می‌شود را توصیه کردند.

منبع