پرونده: روش‌های نوین احراز هویت در فضای مجازی؛ بخش اول: ایمنی ناکافی رمز‌های عبور

پرونده: روش‌های نوین احراز هویت در فضای مجازی؛ بخش اول: ایمنی ناکافی رمز‌های عبور
تاریخ انتشار : ۲۴ مرداد ۱۴۰۰

زمانی که کاربر برای یک حساب مجازی (شبکه‌های اجتماعی یا وبسایت) ثبت‌نام می‌کند، در واقع یک شناسه (ID) یکتا و منحصربه‌فرد به همراه یک رمز عبور برای دسترسی داشتن به آن حساب برای وی ساخته می‌شود.

به گزارش گرداب، توسعه روزافزون زیرساخت‌های فناوری اطلاعات و ارتباطات در کشور و افزایش کاربران و استفاده‌کنندگان از اینترنت و سایر فناوری‌های اطلاعاتی، ارتباطی و مخابراتی نظیر خطوط تلفن‌های ثابت و همراه، شبکه‌های دیتای کشوری و محلی و ارتباطات ماهواره‌ای از جمله دلایلی است که لزوم ایجاد و توسعه سازوکاری برای برقراری امنیت در فضای تولید و تبادل اطلاعات را توجیه می‌کند.

همچنین توسعه خدمات الکترونیک در کشور نظیر دولت الکترونیک، بانکداری الکترونیک، تجارت الکترونیک، آموزش الکترونیک و سایر خدمات ازاین‌دست و از سوی دیگر رشد جرایم در حوزه فضای تولید و تبادل اطلاعات کشور مثل کلاهبرداری‌های اینترنتی، جعل داده‌ها و عناوین، سرقت اطلاعات، تجاوز به حریم خصوصی اشخاص و گروه‌ها، هک و نفوذ به سامانه‌های رایانه‌ای و اینترنتی، هرزه‌نگاری و جرایم اخلاقی و برخی جرایم سازمان‌یافته اقتصادی، اجتماعی و فرهنگی ایجاب می‌کند که سازوکار‌های تأمین امنیت به سرعت تمامی موارد گفته شد بالا باشد.

هر قفلی کلیدی دارد
از زمانی که بشر به فکر محافظت از اموال و دارایی‌هایش بوده به ساخت قفل و یک کلید که بتواند آن را بگشاید افتاد. چرا که اولین نیاز انسان‌ها بعد از به‌دست‌آوردن هر چیز ارزشمندی امنیت بود.

روش‌های نوین احراز هویت در فضای مجازی؛ بخش اول: ایمنی ناکافی رمز‌های عبور

در چین و مصر بیش از ۴۰۰۰ سال قبل از نوعی قفل چوبی استفاده می‌شد. در هزارهٔ دوم ق. م در مصر و بین‌النهرین قفل‌کردن خزانه‌ها و انبار‌های گندم و پرستشگاه‌ها متداول بوده است.

در قرن پانزدهم میلادی، صنعتگران اروپایی قفل‌های ساده‌ای از فلز ساختند. اولین‌بار قفل‌های طرح جدید را رابرت بارون و جوزف برامه در دههٔ ۱۷۸۰ میلادی در انگلستان ساختند.

قفل‌ها رفته‌رفته پیشرفته‌تر شدند و مؤلفه‌های یکتایی آن‌ها تغییر کرد و به‌نوعی از رمز‌هایی که از اعداد یا حروف بودند تشکیل شدند. با ورود کامپیوتر و سیستم‎های دیجیتالی، قفل و کلید‌ها همان ماهیت خود را برای حفاظت و امنیت امور حفظ کردند، اما دیجیتالی شدند.

روش‌های نوین احراز هویت در فضای مجازی؛ بخش اول: ایمنی ناکافی رمز‌های عبور
شاید اولین تجربه همه ما در مواجه با احراز هویت با رمز عبور، صفحه ورود ویندوز‌های XP بوده که پس از انتخاب حساب و واردکردن رمز عبور، هویت کاربر احراز می‌شد و اجازه استفاده از ویندوز را پیدا می‌کردیم.

بعداً این مدل بسیار توسعه پیدا کرد و در طیف وسیعی از ابزار‌های الکترونیکی و دیجیتالی از کارت‌های اعتباری و بانکی گرفته تا تلفن‌های همراه و مودم‌های اینترنت WiFi مورداستفاده قرار می‌گیرند. اما مشکل احراز هویت یا Authentication problem در صورت وارد کردن رمز اشتباه، همیشه یکی از چالش‌های پیش روی کاربران بوده است.

احراز هویت اولین قدم در تعاملات انسان و ماشین است. طبق تعریف، احراز هویت فرایندی امنیتی است که تعاملات بین انسان و رایانه را ممکن می‌کند؛ به بیان ساده‌تر، احراز هویت از کاربر می‌پرسد که «شما چه کسی هستید؟»

زمانی که کاربر برای یک حساب مجازی (شبکه‌های اجتماعی یا وبسایت) ثبت‌نام می‌کند، در واقع یک شناسه (ID) یکتا و منحصربه‌فرد به همراه یک رمز عبور برای دسترسی داشتن به آن حساب برای وی ساخته می‌شود. تمام هدف سامانه‌های احراز هویت برای آن است که فردی غیر شما به‌حساب شخصی‌تان دسترسی نداشته باشد.

برای اینکه کاربر بتواند هویت خود را ثابت کند باید اطلاعاتی را ارائه دهد که تنها کاربر و سرور از آن باخبر باشند؛ به این اطلاعات به‌اصطلاح عامل (Factor) تأیید هویت گفته می‌شود. عوامل تأیید هویت سه نوع هستند:

عامل دانشی: عاملی که کاربر برای ورود به سامانه یا حساب باید بداند را عامل دانش می‌گویند که می‌تواند یک نام کاربری، گذرواژه یا شماره PIN باشد. این نوع می‌تواند به لحاظ امنیتی ضعیف باشد، زیرا ممکن است فراموش شود یا حدس زده شود یا با دیگران به اشتراک گذاشته شود.

عامل تملیکی: هر چیز و شیئی که کاربری برای ورود به سامانه باید داشته باشد به‌عنوان یک عامل مالکیت شناخته می‌شود. مانند رمز‌های یکبار مصرف OPT، کلید‌های مهم، کارت‌های شناسایی تراشه دار و نشانه‌های فیزیکی و ... همه از این نوع عامل به‌حساب می‌آیند.

عامل وراثتی: استفاده از خصوصیات و مشخصه‌های زیستی و بیولوژیکی افراد به‌عنوان عامل وراثتی شناخته می‌شود. اسکن اثر انگشت، تشخیص چهره و ... جز این عامل می‌باشند.

روش‌های نوین احراز هویت در فضای مجازی؛ بخش اول: ایمنی ناکافی رمز‌های عبور

اما همان‌طور که گفته شد اکثر سامانه‌های احراز هویت بر گذرواژه و نام کاربری (User/Pass) استوار است. به دلیل تولید اطلاعات کاربری توسط کاربران (user-generated credentials) خطری که همواره در کمین است، احتمال تولید و ایجاد اطلاعات ناایمن است به این معنی که کاربران همواره به دنبال ایجاد رمز عبور ساده‌ای هستند که به‌راحتی به‌خاطر سپرده شود. همچنین کاربران به اصول اولیه ایجاد رمز عبور ایمن آگاه نیستند و معمولاً از الگو‌های ساده‌ای برای این کار استفاده می‌کنند. ازاین‌رو طبق تحقیقات ۹۰ درصد رمز‌های عبور ضعیف تلقی می‌شود. بیشترین تعداد رمز‌های عبور در سطح دنیا از قرار زیر است:
۱. ۱۲۳۴۵۶،
۲. ۱۲۳۴۵۶۷۸۹،
۳. qwerty
۴. password
۵. ۱۲۳۴۵۶۷،
۶. ۱۲۳۴۵۶۷۸،
۷. ۱۲۳۴۵،
۸. Iloveyou
۹. ۱۱۱۱۱۱،
۱۰. ۱۲۳۱۲۳

روش‌های نوین احراز هویت در فضای مجازی؛ بخش اول: ایمنی ناکافی رمز‌های عبور
که به لحاظ مؤلفه‌ها و نکات امنیتی برای تولید یک رمز قدرتمند که شکستن آن سخت باشد، بسیار ضعیف هستند.


برای اینکه رمز عبوری که تولید می‌کنید به لحاظ امنیتی قدرتمند باشد و امکان شکستن آن پائین باشد باید به ۳ نکته زیر توجه کنید:
• هرچه طولانی‌تر، امن‌تر: متخصصان امنیتی حداقل تعداد کاراکتر‌های یک رمز عبور را ۸ رقمی یا حرف می‌دانند که حد متوسط آن ۱۲ کاراکتر است.


• رمز عبور باید ترکیب عدد و حرف باشد: رمز عبور ما اگر ترکیبی از حروف و اعداد و سمبل‌ها و ... باشد برای کرک شدن زمان بیشتری را طلب می‌کنند و در نتیجه امنیت بیشتری دارند.


• عدم استفاده از فرمول و الگو خاص در تولید رمز عبور: استفاده از فرمول و الگو ضمن ایجاد حس امنیت کاذب به کاربران، طبق تحقیقات کار برای هکر‌ها را راحت‌تر می‌کند.

آسیب دیگری که به رمز عبور‌ها وارد است حمله جامع یا Brute-Force است. این حمله سعی می‌کند تا هر ترکیب متفاوتی از رمز عبور مدنظر را حدس بزند. هکر‌ها با تنظیم نرم‌افزار تولید رمز عبور به‌صورت اتوماتیک بستری را به وجود می‌آورند تا هرچه زودتر ترکیبات بیشتری را در سریع‌ترین زمان ممکن تولید و امتحان کنند.

در سال ۲۰۱۲ یک هکر با استفاده از یک پردازنده گرافیکی (GPU) توانست با نوشتن برنامه‌ای هر رمز عبور ۸ کاراکتری برای ورود به ویندوز را که متشکل از حروف بزرگ و کوچک و اعداد و نماد‌ها است را در کمتر از ۶ ساعت بشکند. نرم‌افزار او این توانایی را داشت که در هر ثانیه ۳۵۰ میلیارد رمز عبور را امتحان کند. به‌طورکلی هر رمز عبوری که کمتر از ۱۲ کاراکتر باشد در برابر شکست شدن آسیب‌پذیر است. درسی که حملات Bruit-Force به ما می‌دهد آن است که هرچه رمز طولانی‌تر، امنیت بیشتر.

خطر دیگری که مشابه حمله جامع است، حمله‌ای است تحت عنوان حمله فرهنگ لغت یا Dictionary attack که قابلیت ترکیب حروف و اعداد و نماد‌ها را ندارد و فقط می‌تواند همانند یک دیکشنری به ترتیب از همنشینی یا اعداد و یا حروف بهره برد.

روش‌های نوین احراز هویت در فضای مجازی؛ بخش اول: ایمنی ناکافی رمز‌های عبور

و، اما یکی دیگر از آسیب‌ها و خطراتی که در کمین همه رمز عبور‌ها و نام کاربری‌ها است Phishing است. فیشینگ به زبان ساده نوعی مهندسی اجتماعی است و عبارت است از ایجاد و طراحی یک صفحه ورود (Log-in Page) جعلی و فریب کاربر و کشاندن وی به این صفحه جعلی و تلاش برای سرقت نام کاربری و رمز عبورش.

صفحات جعلی به طرز هوشمندانه و دقیقی طراحی می‌شوند که با صفحه اصلی و حقیقی تفاوت بسیار اندکی دارند و فقط باتوجه‌به چند نکته ریز می‌توان تشخیص تقلبی بودن آن‌ها را داد. یکی از اصلی‌ترین راه‌های تشخیص صفحات فیشینگ توجه به آدرس آن است که صدالبته هکر‌ها و نفوذگران سعی می‌کنند آدرس تاحدامکان به آدرس اصلی شبیه باشد و با سوءاستفاده از عدم توجه کافی کاربران از این مانع امنیتی نیز عبور کنند.

در این آدرس اینترنتی می‌توانید با وارد کرد تعداد کاراکتر رمز عبور خود، ببیند که چه مدت‌زمانی طول می‌کشد تا رمز عبورتان کرک و شکسته شود. همچنین با کوتاه و بلندکردن طول رمز عبور و ترکیب آن با اعداد و حروف و نماد‌ها پی به هر چه قدرتمندتر شدن رمز عبورتان خواهید برد.

این آسیب‌های وارده بر سامانه احراز هویت مبتنی بر رمز عبور صاحبان مشاغل و کسب‌وکار‌های دیجیتالی و مجازی به را واهمه انداخته است. ازاین‌رو محققان این حوزه دست‌به‌کار شده و روش‌هایی را برای بهبود امنیت سامانه‌های احراز هویت به راه انداختند.
_________________________

منابع: 

 https://www.wtoc.com/2020/05/07/national-password-day-how-make-your-accounts-safer/

https://blog.avast.com/strong-password-ideas