نفترض جميعا أن المتسللين لن يقوموا باختراق كلمات المرور الخاصة بنا، حتى لو كانت بسيطة تتكون من بضعة أحرف فقط. ولكن ما مدى سهولة اختراق شخص ما لتسجيل الدخول عبر الإنترنت؟.
وفقا لبحث جديد، يمكن فك أي شيء مكون من ستة أحرف، بغض النظر عما إذا كانت الأرقام والرموز مضمنة، على الفور. والأمر نفسه ينطبق على أي شيء يتكون من سبعة أو ثمانية أحرف ولكن يتكون من أرقام فقط أو أحرف صغيرة. لكن الأخبار لا تتحسن كثيرا لأي مجموعة مكونة من ثمانية أحرف.
وفي الواقع، يمكن تخمينها في حوالي 39 دقيقة وفقا لشركة الأمن السيبراني الأمريكية Hive Systems، ومقرها ريتشموند، فيرجينيا.
وعلى الجانب الآخر، فإن الطريقة التي تضمن عدم اختراق كلمة المرور الخاصة بك لنحو 438 تريليون سنة هي استخدام 18 حرفا مكونة من أرقام وأحرف كبيرة وصغيرة ورموز.
وبالطبع، سيستغرق ذلك وقتا طويلا للإدخال في كل مرة. ويشير البحث إلى أن كلمة مرور أكثر قابلية للإدارة من 11 حرفا تتميز بالميزات البديلة نفسها، سيتم اختراقها في حوالي 34 عاما.
وأعدت Hive Systems الجدول المرمز بالألوان لعام 2022، والذي يوضح مدى أمان كلمات مرور المستخدمين حقا.
وقالت الشركة إن بياناتها “تستند إلى المدة التي سيستغرقها متسلل من ميزانية المستهلك لاختراق تجزئة كلمة المرور الخاصة بك باستخدام جهاز كمبيوتر مكتبي به بطاقة رسومات من الدرجة الأولى”.
وكتبت Hive Systems في منشور مدونة: “إذا كنت تستخدم نفس كلمة المرور على مواقع متعددة، فأنت في وضع سيء”.
وناقشت الشركة أيضا التجزئة، وهي تقنية تحمي كلمات المرور المسروقة، وكيف يتغلب المتسللون على الخوارزمية أحادية الاتجاه.
وفي سياق كلمات المرور، “التجزئة” هي نسخة مختلطة من النص يمكن إعادة إنتاجها إذا كنت تعرف برنامج التجزئة الذي تم استخدامه.
وعلى سبيل المثال، إذا تم تجزئة كلمة “password” باستخدام برنامج MD5، فسيكون الإخراج 5f4dcc3b5aa765d61d8327deb882cf99.
ويتم تخزين كلمات المرور التي تستخدمها على مواقع الويب في الخوادم على هيئة تجزئات بدلا من نص عادي مثل “كلمة المرور”، بحيث إذا شاهدها شخص ما، من الناحية النظرية، فلن يعرف كلمة المرور الفعلية.
وفي المثال المعطى لـ “password”، لن يرى المخترق سوى 5f4dcc3b5aa765d61d8327deb882cf99.
ومن المستحيل عكس هذه التجزئة لإنتاج كلمة “كلمة المرور”، ولكن ما يفعله المتسللون هو عمل قائمة بكل مجموعات الأحرف على لوحة المفاتيح حتى يتمكنوا من البدء في تجزئتها.
ومن خلال البحث عن التطابقات بين هذه القائمة والتجزئة من كلمات المرور المسروقة، يمكن للمتسللين معرفة كلمة المرور الحقيقية للمستخدم، والتي بدورها تتيح لهم الوصول إلى عمليات تسجيل الدخول الخاصة بك لمواقع الويب المختلفة.
وقالت Hive Systems: “راجعنا خروقات بيانات كلمات المرور من عام 2007 حتى الآن، والتي أبلغ عنها من خلال HaveIBeenPwned، لمعرفة ما الذي يحاول المهاجمون اختراقه بالفعل وما إذا كان ذلك تغير بمرور الوقت”.
وبشكل عام، فإن عمليات تسجيل الدخول إلى مواقع الويب التي ربما لا يهتم بها الأشخاص، مثل المنتديات والمطاعم، تستخدم وتستمر في استخدام MD5 وSHA-1. وهذه صفقة كبيرة جدا على افتراض أن الأشخاص يعيدون استخدام كلمات المرور نفسها على مواقع أكثر أهمية مثل البنوك والحكومة والرسائل الخاصة والبريد الإلكتروني ووسائل التواصل الاجتماعي”.
وفي ضوء البحث الجديد، حث الخبراء الجمهور على استخدام كلمات مرور أكثر تعقيدا مع مجموعات فريدة من الأحرف والأرقام، إلى جانب المصادقة الثنائية (2FA).
وتتطلب المصادقة الثنائية (2FA) من المستخدمين تقديم جزء إضافي من المعلومات، مثل رمز التعريف الشخصي المرسل عبر رسالة نصية، بالإضافة إلى كلمة المرور.
وحلل Dojo، مزود آلات البطاقات ومقره لندن، الشهر الماضي بيانات 100000 كلمة مرور تم اختراقها من المركز الوطني للأمن الإلكتروني التابع للحكومة البريطانية (NCSC).
ووجد أن “123456” و”qwerty” و”password” – كلها خيارات يسهل تذكرها ولكنها سيئة السمعة – كانت من بين كلمات المرور الأكثر اختراقا.
وبشكل عام، عثر على أسماء الحيوانات الأليفة أو مصطلحات التحبيب – بما في ذلك “الحب” و”الطفل” و”الملاك” – على أنها كلمات المرور الأكثر شيوعا التي يتم اختراقها، قبل الحيوانات والألوان والكلمات البذيئة.
ووصف دان ديميشيل، نائب الرئيس لإدارة المنتجات في شركة LastPass لموفر إدارة كلمات المرور، بالقول إن كلمات المرور القوية “خط الدفاع الأول والأكثر أهمية ضد أي هجوم إلكتروني”.
وقال: “كلمة المرور القوية تتكون من 16 حرفا على الأقل وتتضمن مزيجا من الأحرف الكبيرة والصغيرة بالإضافة إلى الأرقام والرموز”.
