كيفية إنشاء كلمة مرور مثالية


كلمة المرور عاداتك معيبة

البشر ، كقاعدة عامة ، لا يتعاملون بشكل جيد مع العادات التي لم تظهر في بيئة الأجداد. في أي مكان في السافانا القديمة ، كان من الضروري حفظ قائمة بعدة عبارات هجائية رقمية هزلية لغرض حماية أشياء مثل عنوان المنزل وبطاقة الائتمان ورقم الضمان الاجتماعي.


في الواقع ، عند عرض تعقيدات المشكلة ، يميل معظم الأشخاص - 55٪ وفقًا لدراسة من المملكة المتحدة - إلى حلها بأقصى قدر ممكن ، واختيار كلمة مرور بسيطة واحدة واستخدامها لمعظم الخدمات التي يقدمونها استخدم كل يوم. حتى عام 2015 ، لا تزال كلمة المرور الأكثر شيوعًا قيد الاستخدام “123456.”

قد يبدو اختيار كلمة مرور آمنة واختيار كلمة مرور آمنة مختلفة لكل خدمة تستخدمها ثم حفظ القائمة بأكملها مضيعة للوقت. في الواقع ، أنت’يكون على حق. من الممكن للغاية اختيار كلمة مرور آمنة واحدة أو كلمتين ، واستخدامها لكل خدمة تمتلكها ، وتجنب تعريض بياناتك لخطر السرقة. للقيام بذلك ، ومع ذلك ، تحتاج إلى فهم بعض المفاهيم الأساسية المتعلقة بكيفية استخدام كلمات المرور وتخزينها وسرقتها.

ما الذي يجعل كلمة المرور جيدة?

هل سبق لك أن شاهدت فيلم تجسس حيث يحاول البطل المناسب اختراق الرجل السيئ’ق الكمبيوتر؟ حتى في المفترض “واقعي” الأفلام ، اتضح أن كلمة المرور هي بعض العبارة التي’ق مرتبطة الشرير شخصيا. ربما يكون’أو اسم حبه الأول أو حيوان أليف للطفولة أو الاسم الرمزي لمشروعهم الشرير. مهما كان ، فإن البطل يتمكن دائمًا من إلغاء قفل جهاز الكمبيوتر في غضون ثلاثة أو أربعة تخمينات ، عادة في الوقت المناسب.

ألوم هذا الكسل السردي على الكثير من كلمات المرور السيئة التي انتهى بها الناس. يميل الناس إلى التفكير, “أوه ، الأشرار لن يخمنوا أبدًا اسم أسماك ذهبية من حين كنت في الثالثة من عمري.”

المفسد في حالة تأهب: انهم لا’تي بحاجة ل. من أجل تخمين كلمة المرور الخاصة بك ، عادة ما يلجأ المتسللون إلى أشكال مختلفة على طريقة معروفة باسم “القوة الغاشمة.” هذا هجوم مشابه لمحاولة تخمين كل مجموعة من قفل المجموعة لفتحه. عند السرعات البشرية فقط ، قد يستغرق الأمر حتى كلمة مرور قصيرة لتخمين استخدام هذه الطريقة ، ولكن أجهزة الكمبيوتر يمكن أن تفعل ذلك بسرعة.

سمح’يقول أن كلمة المرور الخاصة بك هي “ABCDEF.” كلمة المرور هذه فظيعة لأسباب عديدة ، وأنا’سوف نصل إلى ذلك ، ولكن السبب الرئيسي هو أنه يفتقر إلى التعقيد. يبلغ طوله ستة أحرف فقط ، ويستخدم حالة واحدة فقط. سمح’تقول أنك بدأت تحاول تخمين كلمة المرور هذه ، بدءًا من مجموعة مثل “اااااا,” الذهاب الى “aaaaab,” “aaaabb,” وهلم جرا. باستخدام هذه الطريقة ، هناك بالضبط 321،272،406 تخمينات محتملة يمكنك القيام بها’كل مزيج ممكن من ستة أحرف صغيرة. الآن ، أكثر من ثلاثمائة مليون تخمين يبدو وكأنه هيك الكثير. هنا’على الرغم من ذلك ، يمكن لجهاز كمبيوتر سطح المكتب العادي ، باستخدام برنامج تكسير كلمة المرور المتاح مجانًا مائة مليون التخمين في الثانية الواحدة (قد تختلف الأميال الخاصة بك). ستستمر كلمة مرور الحروف الصغيرة المكونة من ستة أحرف في كل ثانية مدتها 3.2 ثانية ضد أحد المتطفلين ذوي الكفاءة.

في الواقع ، لقد فازوا’ر تحتاج حتى أن تأخذ هذا الوقت الطويل. الاعتقاد الخاطئ الآخر عن المتسللين هو أنهم إذا أرادوا كسر كلمة المرور الخاصة بك ، فإنهم’سأذهب إلى شاشة تسجيل الدخول الخاصة بالخدمة التي يريدون اختراقها والبدء في إجراء التخمينات. هذا سبب آخر يجعل الأشخاص يختارون كلمات مرور بسيطة - حيث يعتقدون أنه حتى لو كان من السهل تخمين كلمة مرور ، فإن نظام تسجيل الدخول التلقائي سيغلق المتطفلين بعد’لقد قدم بضع محاولات.

هذا للأسف ليس هو الحال. تخزن جميع مواقع الويب والتطبيقات الأخرى كلمات المرور في جدول بيانات في قاعدة بياناتها. اذا هم’إعادة القيام بعملهم الصحيح ، وفاز الموقع’ر تخزين كلمات المرور هذه في نص عادي ، ولكن في نوع من التشفير المشفر يسمى التجزئة. ربما فاز القراصنة’حاول سرقة كلمة مرورك مباشرةً من شاشة تسجيل الدخول (ما لم تكن كذلك)’إعادة استخدام رجل في منتصف الهجوم ، ولكن هذا’ق مقال مختلف). بدلا من ذلك ، هم’سوف تسرق قائمة كلمات المرور المجزأة.

بمجرد أن يتم سرقة قائمة التجزئة هذه ، أي شخص’ليالي اختيار كلمة مرور بسيطة محكوم عليها بشكل أساسي خارج البوابة. انظر ، يتم إنشاء كل علامة تجزئة بواسطة خوارزمية خاصة تقوم بتقطيع وتقطيع وتقطيع كلمة مرور حتى تكتمل’ليس فقط غير معروف ، ولكن من المستحيل للهندسة العكسية. لا يوجد سوى شيئين يمنعان التجزئة من أن يكونا آمنين تمامًا.

  1. من الممكن تحديد الخوارزمية التي تم استخدامها لإنشاء علامة تجزئة.
  2. نفس المدخلات سوف تنتج دائمًا نفس ناتج التجزئة عند استخدام نفس الخوارزمية.
  3. انظر الى اين ستذهب هذه?

يعرف المتسللون أن الكثير من الناس يستخدمون كلمات مرور بسيطة. منذ هم’من حيث الذكاء ، فإنهم يعرفون بالفعل كيف تبدو علامات تجزئة إخراج كلمات المرور البسيطة هذه في كل خوارزمية تجزئة رئيسية قيد الاستخدام. فى ماذا’ق المعروف باسم “هجوم القاموس المحسوب مسبقا,” هم’لقد قمت بالفعل بطهي تجزئات كلمات المرور البسيطة هذه ، حتى يقوموا بسرقة قائمة’سأكون قادرًا على فضحك ليس فقط ، ولكن أيضًا الآلاف من الأشخاص الآخرين الذين يلجأون إليك’ر قراءة هذا المقال. ماذا’أكثر من ذلك ، المبادئ وراء هذا الهجوم تعني أن ...

حتى في “مركب” كلمات السر ارين’ر آمنة بشكل خاص

لذلك ، بدأ الكثير من الناس في الحصول على الرسالة. ربما بدلا من “البيسبول,” كلمة مرور غير آمنة شائعة الاستخدام ، أنت’لقد قررنا استخدام كلمة مرور تتضمن أرقامًا ، سواء الأحرف الكبيرة أو الصغيرة ، وبعض الأحرف الخاصة للتمهيد: “1B4seba11!” فمثلا. قد تعتقد أن كلمة المرور الأخيرة أكثر أمانًا ، ولكن مفهوم السلامة ليس سوى وهم ، كما هو متميز عن لعبة البيسبول.

هناك بعض الضربات ضد “1B4seba11!” من حيث أمنها ككلمة مرور. يبدو رائعا رغم ذلك ، أليس كذلك’ر؟ باستخدام مجموعة المعايير التي تفي بها - التي يزيد طولها عن ثمانية أحرف ، تستخدم كل من الأحرف الكبيرة والصغيرة ، وتستخدم الأرقام ، وشخصية خاصة واحدة على الأقل - هناك أكثر من كوادريليون واحد تركيبات ممكنة.

يمكن أن يقوم برنامج تكسير كلمة مرور سطح المكتب الافتراضي الخاص بنا بعمل مائة مليون تخمين في الثانية الواحدة ، لذا فإن تخمين كلمة المرور سيستغرق حوالي عشرة ملايين ثانية أو 116 يومًا. أن’ق وقت طويل ، ولكن ليس لفترة طويلة. إذا كان شخص ما يرغب بشدة في حماية كلمة مرورك - مثل الحساب البنكي الذي يحتوي على كل مدخرات التقاعد - فلن يكون هناك أربعة أشهر بالفعل’ر وقت طويل للانتظار.

هناك’ق أكثر ، ولكن. انظر ، نحن’إذا افترضنا أن كل من يحاول كسر كلمة المرور يستخدم جهاز كمبيوتر عادي على سطح المكتب. اذا هم’إعادة خطيرة ، ومع ذلك ، فإنه’ليس من غير المألوف العثور على المتسللين الذين يستخدمون أجهزة مخصصة الصنع.

هذا’تم عرض مؤخرًا أن وحدات معالجة الرسومات (وحدات معالجة الرسومات) المتطورة أفضل في أداء عملية كسر كلمة المرور من وحدات المعالجة المركزية (CPU) العادية. تبلغ تكلفة وحدة معالجة الرسومات (GPU) المتطورة حوالي 500 دولار ، وقد تتضمن منصة مخصصة ما يصل إلى خمسة وعشرين وحدة معالجة الرسومات ، وكلها تعمل بشكل متوازٍ. ومع ذلك ، فالنتيجة هي آلة تكلف أقل من سيارة مستعملة لائقة ، ويمكنها كسر 350 مليار كلمة مرور محيرة في الثانية. أن’يكفي أن تأخذ كلمة المرور المعقدة المكونة من ثمانية أحرف وتمزيقها إلى تمزيق في ست دقائق مسطحة.

هناك’أحد الأسباب الأخيرة وراء اختفاء كلمات المرور المعقدة إلى حد كبير طريق الدودو من حيث الأمن. سمح’العودة إلى الأمثلة السابقة لأجهزة تكسير كلمة المرور. هذا هو الجزء ، بالمناسبة ، حيث يجب أن أعترف أنني كذبت عليك قليلاً.

انظر ، هذا التقدير البالغ 100 مليون تخمين في الدقيقة لسطح المكتب ، و 350 مليار للأجهزة المخصصة ، لا ينطبق إلا إذا تم تجزئة كلمة المرور باستخدام خوارزمية أقدم. دون’احصل على أي أفكار لك’إعادة آمنة الآن’من الشائع جدًا بالنسبة للشركات أن تستخدم خوارزميات التجزئة مثل MD5 أو SHA-1 ، وكلاهما عفا عليه الزمن منذ أوائل عام 2000’س. سيتناول سطح المكتب الحديث العادي MD5 لتناول الإفطار. إذا حاول المتسللون إجبار خوارزمية حديثة مثل SHA-512 على فرض الغاشمة ، فسيتم إبطاء أكثر الأجهزة تطوراً إلى أقل من نصف مليون تخمين في الثانية. أن’ما يكفي للحفاظ على كلمة المرور الخاصة بك آمنة لسنوات ، من الناحية النظرية.

في الممارسة العملية ، ومع ذلك ، فإن كلمة المرور الخاصة بك سوف تنشغل بأسرع من ذلك بكثير. لماذا ا؟ كل ذلك يعود إلى طريقة القاموس.

انظر ، البشر يمكن التنبؤ بهم للأسف. سمح’أعود إلى مثال 1B4seba11! حتى مع التعقيد الذي تضافه الحالات الإضافية والأرقام والأحرف الخاصة ، ستكون هذه كلمة مرور سهلة لجهاز الكمبيوتر لتخمينها.

بادئ ذي بدء ، يتم وضع كلمة المرور بطريقة يمكن التنبؤ بها ، إذا كنت’إعادة إنسان. بالنسبة لمعظم الأشخاص ، يكون من المنطقي وضع أحرف خاصة في نهاية الكلمة ، وبالتالي فإن أداة تكسير كلمة المرور تعطي الأولوية لمجموعات الاختبار التي تحتوي على أحرف خاصة في هذا الموقع. ثانياً ، استبدال الرقم أربعة بالرسالة أ ، واستبدالها بـ I’s و L’مع رقم واحد هو ممارسة شائعة جدا ، وبالتالي فإن برنامج تكسير يبحث عن مجموعات مع الكثير من المجموعات والأربعة فيها. ولكن العامل الذي يلعن كلمة المرور هذه تمامًا هو ذلك يعتمد على كلمة حقيقية من القاموس. ليست فقط كلمة حقيقية من القاموس ، بل هي كذلك’تستند إلى كلمة حقيقية يستخدمها الأشخاص لكلمات المرور الخاصة بهم في كثير من الأحيان ، وذلك باستخدام تعديلات شائعة للغاية. أي تكسير كلمة المرور مصممة تصميما جيدا ربما العبارة بالضبط “1B4seba11!” كواحد من ملايين التخمينات القليلة الأولى التي يقوم بها - والشيء نفسه ينطبق على أي كلمة في القاموس.

الآن ال “مركب” كلمات المرور دون’العمل ، ما تبقى?

قد يكون استخدام كلمة مرور بسيطة بلا معنى ، وحتى كلمات المرور المعقدة هي نوع من الفوضى. ينبع هذا من حقيقة أن البشر يمكن التنبؤ بهم إلى حد ما ، فنحن نستخدم كلمات المرور التي تتضمن كلمات موجودة في القاموس ، ونتبع قواعد النحو والإملاء ، وتحتوي على أنماط يمكن التنبؤ بها من الحروف والأرقام. ماذا نفعل حيال ذلك؟ هل نستسلم وندع المتسللين يفوزون?

لا! وعدت في بداية هذا المقال بأنك’د ستكون قادرًا على تأمين جميع بياناتك عن طريق تذكر كلمة مرور واحدة أو كلمتين فقط ، وبواسطة golly I’لست كاذبا.

هنا’s الخدعة: كلمات المرور الخاصة بك يجب أن تشمل العشوائية.

إذا كان طول كلمة المرور أكثر من 20 حرفًا ، ولا يحتوي على تسلسل أبجدي رقمي يمكن التنبؤ به أو صياغته ، فحتى شيء مثل الكتلة الفائقة الحوسبة الفائقة سيستغرق قرون لتخمينه.

هنا’مثال على ذلك. ذهبت إلى موقع مركز الخليج للأبحاث ، وأخذت 22 حرفًا (ذلك’كل ما تحتاجه) من سلسلة 256 بت تم إنشاؤها عشوائيًا. هذه السلسلة هنا: Q7PkgND6amgQ2nrx2Ej8vV

بعد ذلك ، ذهبت إلى مدقق كلمة المرور المفضلة ، zxcvbn ، والذي يقدر المدة التي ستستغرقها عملية كسر كلمة المرور المختلفة لكسر كلمة المرور الخاصة بك.

كلمات السركلمات السر

كما ترون ، فإن أي شخص يحاول كسر كلمة المرور هذه ، حتى باستخدام جهاز كمبيوتر سريع للغاية ، يجب أن يكون مستعدًا للانتظار لوقت طويل جدًا.

بالطبع هناك’مشكلة كبيرة واضحة في كلمة المرور هذه: أي عبارة مرور مستحيلة على الكمبيوتر أن ينكسر هي أيضا مستحيلة على الإنسان أن يتذكرها. أعني ، إذا كان من الممكن لك أن تتذكر عدة كلمات مرور عالية الإنتروبيا مثل Q7PkgND6amgQ2nrx2Ej8vV لكل خدمة تستخدمها ، فتوقف عن قراءة هذه المقالة الآن. فزت في كلمات المرور وفي الحياة.

لبقية منا ، هناك’ق الغش. ابحث عن مدير كلمات المرور مثل LastPass. سوف يتذكر LastPass ويسترجع كلمات المرور الطويلة والصعبة التي يصعب تذكرها مثل Q7PkgND6amgQ2nrx2Ej8vV وكل ما عليك’يجب أن تقلق بشأن تذكر كلمة مرور رئيسية واحدة ، بالإضافة إلى ربما كلمة مرور مماثلة لبريدك الإلكتروني. في كل مرة تحتاج فيها إلى اختيار كلمة مرور جديدة ، انتقل إلى GRC ، وقم بتمييز 22 حرفًا من سلاسل 256 بت التي تنشئها ، ثم ضعها في LastPass ككلمة المرور التي’إعادة استخدام للخدمة. بسيط ، صحيح?

هناك’ليالي آخر شيء. لا يزال LastPass يتطلب كلمة مرور رئيسية ، وتريد أن تكون شيئًا ما’معقد مثل Q7PkgND6amgQ2nrx2Ej8vV ، ولكن يمكن لأي شخص أن يحفظه بالفعل.

الحل لهذه المشكلة هو نظام يسمى DiceWare. هذا في الواقع بسيط للغاية ، وهو يعمل على نظرية أنه يمكنك استخدام سلسلة طويلة من الكلمات الإنجليزية غير الهمجية لإنشاء كلمة مرور - طالما أن هذه الكلمات ليست موجودة’ر بأي ترتيب معقول. على سبيل المثال ، إذا طلبت منك اختيار عبارة عشوائية ، فقد تفكر في ذلك, “الثعلب البني السريع يقفز فوق الكلب الكسول.” المشكلة مع هذا هو أنه’عبارة معروفة بترتيب منطقي ، ومن المحتمل أن يكتشف الكمبيوتر هذا بسرعة كبيرة. ومع ذلك ، يتطلب DiceWare من المستخدمين تحريك النرد (مثل الاسم يقول) من أجل إنشاء عدد من خمسة أرقام يتوافق مع كلمة عشوائية في قاموس اللغة الإنجليزية. القيام بذلك عدة مرات ، وأنت’ليرة لبنانية لديها عبارة مفهومة ذلك’لا تزال غير قابلة للحل مع أجهزة الكمبيوتر الكبيرة. يمكنك القيام بذلك يدويًا أو عبر الإنترنت. باستخدام مولد DiceWare عبر الإنترنت هنا ، قمت بإنشاء عبارة المرور “الإله الإغريقي enrico igloo delia,” وهو أمر سهل التذكر نسبيًا ولكنه سيستغرق قرون حتى أسرع جهاز كمبيوتر لكسره.

لذلك ، هناك لديك. استخدم LastPass لتذكر كلمات المرور الخاصة بك ، واستخدم مقتطفات من مفاتيح 256 بت لكلمات مرور LastPass ، واستخدم كلمة مرور DiceWare ككلمة المرور الآمنة الوحيدة التي يجب أن تحتفظ بها بالفعل في رأسك. باستخدام هذه الطريقة ، يجب أن تكون كلمة مرورك آمنة ضد معظم أجهزة الكمبيوتر الحديثة - ولكن تذكر فقط أن أجهزة الكمبيوتر سوف تزداد سرعة فقط.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

7 + 1 =

map