کرک شدن نیمی از رمزهای عبور در کمتر از یک دقیقه

شرکت ایده ارتباط تراشه (نماینده رسمی محصولات کسپرسکی در ایران): کسپرسکی بار دیگر پژوهش خود درباره میزان آسیب ‌پذیری رمزهای عبور واقعی افشا شده در دارک وب را به ‌روز رسانی کرد. نتایج نگران ‌کننده است: تقریبا از هر دو رمز عبور، یکی در کمتر از یک دقیقه قابل کرک است و سه مورد از هر پنج رمز عبور نیز کمتر از یک ساعت زمان نیاز دارند. چگونه می ‌توان از رمزهای عبور ناامن فاصله گرفت و به روش‌ های امن ‌تر روی آورد؟

هر سال، صدها میلیون رمز عبور واقعی کاربران در دارک وب افشا می شود. کسپرسکی 231 میلیون رمز عبور منحصر به فرد را از نشت های اطلاعاتی دارک وب بین سال های 2023 تا 2026 بررسی کرد و نتایج بسیار نگران کننده بود: بخش عمده ای از این رمزهای عبور به شدت ضعیف هستند. برای کرک کردن 60 درصد از این رمزهای عبور، یک هکر تنها به یک ساعت زمان و چند دلار هزینه نیاز دارد. علاوه بر این، سرعت کرک شدن رمزهای عبور هر سال بیشتر می شود؛ به طوری که در پژوهشی مشابه در سال 2024، درصد رمزهای عبور آسیب پذیر کمتر بود.

در این مطلب بررسی می کنیم که رمزهای عبور معمولی تا چه اندازه قابل اعتماد هستند (هشدار: تقریبا اصلا قابل اعتماد نیستند) و چگونه می توانید با استفاده از روش های امن تر، از داده ها و حساب های کاربری خود محافظت کنید. همچنین به الگوهایی می پردازیم که بیش از همه در رمزهای عبور واقعی کاربران دیده می شوند.

امروزه رمزهای عبور تقریبا هیچ وقت به صورت متن ساده ذخیره نمی شوند. برای مثال، اگر هنگام ساخت حساب کاربری از رمز عبور "Password123!" استفاده کنید، سرور آن را به همان شکل ذخیره نمی کند. در عوض، رمز عبور با استفاده از الگوریتم های خاصی هش (Hash) می شود و به رشته ای با طول ثابت شامل حروف و اعداد تبدیل می گردد. این رشته که "هش" نام دارد، همان چیزی است که روی سرور ذخیره می شود. برای نمونه، هش MD5 مربوط به "Password123!" به این شکل است:

2c103f2c4ed1e59c0b4e2e01821770fa.

هر بار که کاربر رمز عبور خود را وارد می کند، سیستم دوباره آن را هش کرده و با هش ذخیره شده روی سرور مقایسه می کند؛ اگر این دو مقدار یکسان باشند، رمز عبور صحیح است. اما اگر مهاجم به این هش دسترسی پیدا کند، باید آن را به رمز اصلی تبدیل کند؛ فرایندی که به آن "کرک کردن رمز عبور" گفته می شود. این کار معمولا با استفاده از کارت های گرافیک قدرتمند، چه شخصی و چه اجاره ای، انجام می شود و روش های مختلفی برای آن وجود دارد:

• حمله Brute Force یا جستجوی فراگیر: کامپیوتر تمام ترکیب های ممکن از کاراکترها را امتحان می کند و برای هرکدام هش می سازد. این روش ساده ترین راه برای شکستن رمزهای عبور کوتاه یا رمزهایی است که فقط از یک نوع کاراکتر مانند اعداد تشکیل شده اند.
• جداول رنگین کمانی (Rainbow Tables): این روش برای افرادی که از رمزهای عبور ساده استفاده می کنند بسیار خطرناک است. در واقع، نوعی "دفترچه تلفن" از رمزهای عبور و هش های از پیش کرک شده محسوب می شود. فقط کافی است مهاجم هش موردنظر را در این جداول پیدا کند تا رمز متناظر آن مشخص شود.
• کرک هوشمند (Smart Cracking): این الگوریتم ها با استفاده از پایگاه داده رمزهای عبور افشا شده آموزش دیده اند. آن ها الگوهای رایج را می شناسند و ابتدا محتمل ترین ترکیب ها را بررسی می کنند. این روش ها کلمات فرهنگ لغت، جایگزینی کاراکترها (مثل a به جای @ یا s به جای $) و ساختارهای رایجی مانند "کلمه + عدد + نماد" را در نظر می گیرند و هم زمان هش ها را با جداول رنگین کمانی تطبیق می دهند. ترکیب این روش ها سرعت کرک شدن رمزهای عبور را به شکل قابل توجهی افزایش می دهد.

علاوه بر این، مهاجمان می توانند رمزهای عبور را به صورت متن ساده نیز سرقت کنند. روش های مختلفی برای این کار وجود دارد؛ از حملات فیشینگ که قربانی را به صفحه ای جعلی هدایت می کنند تا رمز عبور خود را وارد کند، گرفته تا کی لاگرها که کلیدهای فشرده شده را ثبت می کنند و همچنین بدافزارهایی مانند استیلر (Stealer) یا تروجان (Trojan) که اسناد، کوکی ها، اطلاعات کلیپ بورد و سایر داده ها را سرقت می کنند. متاسفانه بسیاری از کاربران هنوز رمزهای عبور خود را به صورت متن ساده در یادداشت ها، پیام رسان ها یا فایل های مختلف ذخیره می کنند، یا آن ها را در مرورگر نگه می دارند؛ جایی که مهاجمان می توانند تنها در چند ثانیه به آن ها دسترسی پیدا کنند.

کسپرسکی هر سال حدود صد میلیون نشت رمز عبور به صورت متن ساده را ردیابی کرده و از این پایگاه های داده برای هشدار دادن به کاربران کسپرسکی پسورد منیجر (Kaspersky Password Manager) استفاده می کند تا در صورت افشای اطلاعات، مطلع شوند.

کسپرسکی پایگاه داده پژوهش قبلی خود را با اضافه کردن 38 میلیون رمز عبور واقعی دیگر که توسط مهاجمان در انجمن های دارک وب منتشر شده بودند، گسترش داد و نتایج را دوباره بررسی کرد. آزمایش ها با استفاده از یک کارت گرافیک RTX 5090 و روی رمزهای عبوری که با الگوریتم MD5 هش شده بودند انجام شد. داده های مورد استفاده در این تحلیل نیز از سرویس Kaspersky Digital Footprint Intelligence به دست آمده است.

متاسفانه رمزهای عبور همچنان به همان اندازه ضعیف باقی مانده اند، در حالی که فرایند کرک کردن آن ها هر سال سریع تر و ساده تر می شود. امروزه 60 درصد رمزهای عبور در کمتر از یک ساعت کرک می شوند؛ این رقم دو سال پیش 59 درصد بود. اما بخش واقعا نگران کننده ماجرا چیز دیگری است: تقریبا نیمی از تمام رمزهای عبور (48 درصد) در کمتر از یک دقیقه کرک می شوند.

زمان کرک کردن رمز عبور: دو سال پیش و امروز

مهاجمان این افزایش سرعت را مدیون پردازنده های گرافیکی هستند که هر سال قدرتمندتر می شوند. در حالی که کارت گرافیک RTX 4090 در سال 2024 می توانست هش های MD5 را با سرعت 164 گیگاهش (میلیارد هش) در ثانیه brute-force کند، RTX 5090 جدید این سرعت را 34 درصد افزایش داده و به 220 گیگاهش در ثانیه رسانده است.

هرچند قیمت چنین کارت گرافیک قدرتمندی اکنون به چند هزار دلار می رسد، اما این هزینه مانع بزرگی برای مهاجمان محسوب نمی شود؛ زیرا سرویس های ابری ارزان قیمت زیادی برای اجاره توان پردازش GPU وجود دارد. بسته به نوع پیکربندی و مدل، هزینه اجاره از چند سنت تا چند دلار در ساعت متغیر است. همان طور که دیدیم، تنها یک ساعت برای مهاجم کافی است تا سه مورد از هر پنج رمز عبور افشا شده را کرک کند. علاوه بر این، بسته به ابعاد عملیات، مهاجمان می توانند به جای یک GPU، ده ها یا حتی صدها GPU اجاره کنند.

نکته مهم این است که کرک کردن تمام رمزهای عبور موجود در یک پایگاه داده، زمان بسیار بیشتری نسبت به کرک کردن یک رمز عبور واحد نیاز ندارد. در هر مرحله، مهاجم پس از محاسبه هش مربوط به یک ترکیب مشخص از کاراکترها، بررسی می کند که آیا همان هش در جایی از پایگاه داده وجود دارد یا خیر. هرچه پایگاه داده بزرگ تر باشد، احتمال پیدا شدن تطابق نیز بیشتر می شود. در صورت یافتن تطابق، آن رمز عبور به عنوان "کرک شده" علامت گذاری می شود و الگوریتم به سراغ مورد بعدی می رود.

قدرت هر رمز عبور به سه عامل اصلی بستگی دارد: طول رمز، تنوع کاراکترها و میزان تصادفی بودن آن. رمزهای عبوری که توسط انسان ساخته می شوند، معمولا کمترین مقاومت را در برابر کرک شدن دارند؛ زیرا انسان ها برخلاف تصور، الگوهای قابل پیش بینی زیادی دارند. ما معمولا از کلمات موجود در دیکشنری و ترکیب هایی استفاده می کنیم که الگوریتم های هوشمند مدت هاست آن ها را یاد گرفته اند. همچنین اغلب از ساخت رمزهای طولانی و کاملا تصادفی خودداری می کنیم و حتی در رمزهایی که تصور می کنیم کاملا تصادفی هستند نیز می توان الگوهایی پیدا کرد. جالب تر اینکه حتی رمزهای عبوری که با کمک هوش مصنوعی تولید می شوند نیز همچنان نشانه هایی از الگوهای انسانی را در خود دارند. ما پیش تر در مطلبی جداگانه، درباره روش ساخت رمز عبور قوی اما در عین حال قابل حفظ کردن، توضیح داده ایم.

طول رمز عبور مهم ترین عامل تاثیرگذار بر زمان موردنیاز برای کرک شدن آن است. همان طور که در جدول زیر مشاهده می شود، تقریبا هر رمز عبور هشت کاراکتری را می توان در کمتر از 24 ساعت کرک کرد.

درصد رمزهای عبور با طول ‌های مختلف که در یک بازه زمانی مشخص قابل کرک هستند

اما قابل پیش بینی بودن رمز عبور نیز به همان اندازه اهمیت دارد. فکر می کنید با اضافه کردن یک عدد یا نماد خاص به یک کلمه قابل حفظ، امنیت رمز عبور خود را بیشتر کرده اید؟ تا حدی درست است، اما این افزایش امنیت بسیار ناچیز خواهد بود. الگوهایی که کاربران برای ساخت رمز عبور استفاده می کنند، معمولا به راحتی قابل حدس زدن هستند و گاهی حتی جنبه طنز پیدا می کنند؛ هرچند در عمل، این موضوع اصلا خنده دار نیست.

تحلیل بیش از 200 میلیون رمز عبور نشان داد که الگوهای تکرار شونده و قابل پیش بینی زیادی در رمزهای کاربران وجود دارد؛ الگوهایی که به الگوریتم های هوشمند کمک می کنند رمزهای عبور را با سرعت و دقت بالایی کرک کنند.

بیش از نیمی از تمام رمزهای عبور (53 درصد) با یک یا چند رقم به پایان می رسند، در حالی که نزدیک به یک ششم آن ها (17 درصد) با عدد شروع می شوند. همچنین از هر هشت رمز عبور، یکی (12 درصد) شامل دنباله هایی شبیه سال هاست؛ سال هایی بین 1950 تا 2030. حدود 10 درصد رمزهای عبور نیز به طور مشخص شامل سال هایی بین 1990 تا 2026 هستند. احتمالا دلیل این موضوع آن است که کاربران سال تولد خود یا افراد نزدیک، یک سال مهم یا حتی سال ساخت حساب کاربری یا رمز عبور را به رمز خود اضافه می کنند. نکته جالب اینجاست که توزیع این تاریخ ها نشان می دهد بخش بزرگی از کاربران فعال اینترنت متولد سال های 2000 تا 2012 هستند.

اما در میان تمام ترکیب های عددی، محبوب ترین گزینه همان چیزی بود که احتمالا حدس زده اید: "1234". به طور کلی، الگوهای مبتنی بر فشردن دنباله ای کلیدهای کیبورد مانند "qwerty" یا "ytrewq" نیز در حدود 3 درصد رمزهای عبور دیده می شوند.

بیشتر سیاست های امنیتی رمز عبور در سال های اخیر کاربران را مجبور می کنند حداقل از یک کاراکتر خاص استفاده کنند. در این میان، نماد @ محبوب ترین گزینه بوده و در یک مورد از هر 10 رمز عبور دیده می شود. پس از آن، نقطه (.) در رتبه دوم و علامت تعجب (!) در جایگاه سوم قرار دارند.

کلمات احساسی و هیجانی اغلب پایه اصلی رمزهای عبور کاربران را تشکیل می دهند و با وجود همه هشدارهای امنیتی، واژه های مثبت همچنان محبوب تر هستند. از جمله پرتکرارترین آن ها می توان به "love"، "angel"، "team"، "mate"، "life" و "star" اشاره کرد. البته کلمات منفی هم دیده می شوند که بیشتر شامل ناسزاها و اصطلاحات رایج انگلیسی هستند.

نکته جالب اینجاست که حتی میم ها و ترندهای اینترنتی هم وارد دنیای رمزهای عبور شده اند. بین سال های 2023 تا 2026، استفاده از واژه "Skibidi" در رمزهای عبور 36 برابر افزایش پیدا کرده است! طبیعتا واژه "toilet" هم رشد داشته، هرچند نه به همان شدت.

بیش از نیمی از رمزهای عبوری که در نشت های اطلاعاتی اخیر شناسایی کردیم (54 درصد)، پیش تر نیز در افشاگری های دیگر دیده شده بودند. بخشی از این موضوع به دلیل انتقال داده های یکسان بین پایگاه های داده مختلف است، اما دلیل نگران کننده تری هم وجود دارد: بسیاری از کاربران سال ها رمز عبور خود را تغییر نمی دهند.

بررسی تاریخ های موجود در رمزهای عبور نشان می دهد ترکیب هایی که شامل سال های 2020 تا 2024 هستند همچنان محبوب باقی مانده اند. به نظر می رسد بسیاری از کاربران هنگام ساخت رمز عبور، سال جاری را به آن اضافه می کنند و سپس برای چند سال آن را بدون تغییر رها می کنند. بر همین اساس می توان تخمین زد که میانگین عمر یک رمز عبور حدود سه تا پنج سال است.

این روند بسیار خطرناک است. از یک سو، الگوریتم های هوشمند در چنین بازه زمانی می توانند حتی رمزهای عبور پیچیده تر را نیز کرک کنند. از سوی دیگر، هرچه رمز عبور مدت بیشتری بدون تغییر باقی بماند، احتمال افشای آن در اثر نشت اطلاعات، آلودگی به بدافزار یا حملات فیشینگ بیشتر می شود.

اوضاع زمانی بدتر می شود که یک رمز عبور برای چند حساب مختلف استفاده شود. در چنین شرایطی، مهاجمان حتی نیازی به کرک کردن رمز عبور ندارند؛ کافی است آن را در یکی از نشت های اطلاعاتی پیدا کنند و سپس روی سایر سرویس ها امتحان کنند.

اگر هنگام خواندن این مطلب متوجه شده اید که رمزهای عبور شما هم جزو رمزهای قابل کرک هستند، نگران نشوید. چند توصیه ساده اما بسیار مهم می توانند امنیت حساب های شما را تا حد زیادی افزایش دهند.

ضعیف ترین رمزهای عبور معمولا همان هایی هستند که کاربران خودشان می سازند. ایجاد و حفظ کردن صدها رمز عبور منحصربه فرد شامل 16 تا 20 کاراکتر تصادفی، کاری دشوار و تقریبا غیرواقعی است.

به همین دلیل بهتر است ساخت و نگهداری رمزهای عبور را به یک نرم افزار مدیریت رمز عبور (Password Manager) بسپارید. این ابزارها علاوه بر تولید رمزهای عبور پیچیده و تصادفی، آن ها را به صورت رمزگذاری شده ذخیره کرده و میان تمام دستگاه های شما همگام سازی می کنند. کسپرسکی پسورد منیجر (Kaspersky Password Manager) تنها نیاز دارد که شما یک رمز عبور اصلی را به خاطر بسپارید؛ رمزی که فقط خودتان آن را می دانید.

هرگز رمزهای عبور خود را داخل فایل ها، پیام ها یا اسناد مختلف یادداشت نکنید. این روش ها از رمزگذاری قدرتمند پسورد منیجرها برخوردار نیستند و در صورت آلودگی سیستم به تروجان یا Infostealer، اطلاعات شما خیلی سریع در اختیار مهاجمان قرار می گیرد.

بسیاری از کاربران رمزهای عبور خود را در مرورگر ذخیره می کنند؛ مخصوصا چون مرورگرها این کار را به صورت خودکار پیشنهاد می دهند. اما تحقیقات نشان می دهد بدافزارها اکنون می توانند رمزهای ذخیره شده در اکثر مرورگرهای محبوب را تقریبا بلافاصله استخراج کنند. کسپرسکی پسورد منیجر (Kaspersky Password Manager) امکان وارد کردن رمزهای ذخیره شده از مرورگر را فراهم می کند. مهم تر از همه، پس از انتقال رمزها، ذخیره سازی رمز عبور در مرورگر را پاک کنید.

در سرویس هایی که پشتیبانی می کنند، بهتر است به جای رمز عبور از کلید عبور استفاده شود؛ روشی مبتنی بر رمزنگاری که امنیت بسیار بیشتری دارد. در این مدل، سرویس فقط کلید عمومی را ذخیره می کند و کلید خصوصی همیشه روی دستگاه کاربر باقی می ماند و هرگز ارسال نمی شود. هنگام ورود، دستگاه فقط یک درخواست یک بار مصرف را امضا می کند. علاوه بر این، کلید عبور به دامنه اصلی سایت وابسته است و همین موضوع حملات فیشینگ مبتنی بر آدرس های جعلی را بی اثر می کند. کسپرسکی پسورد منیجر (Kaspersky Password Manager) امکان ذخیره هم زمان رمزهای عبور و Passkeyها را فراهم می کند و همگام سازی آن ها را بین سیستم عامل های مختلف مانند ویندوز، اندروید، مک او اس و iOS ساده تر می سازد.

هرجا که امکان دارد، احراز هویت دو مرحله ای (2FA) را فعال کنید. حتی اگر رمز عبور شما افشا شود، فعال بودن 2FA دسترسی مهاجم به حساب کاربری را بسیار دشوار می کند. برای امنیت بیشتر، بهتر است به جای کدهای پیامکی از برنامه های Authenticator استفاده کنید. کسپرسکی پسورد منیجر (Kaspersky Password Manager) در این زمینه نیز می تواند کمک کننده باشد.

ذخیره سازی صحیح رمزهای عبور تنها بخشی از ماجراست. رعایت اصول بهداشت دیجیتال نیز اهمیت بسیار زیادی دارد: فایل های ناشناس دانلود نکنید، از نرم افزارهای کرک شده و غیرقانونی استفاده نکنید و روی لینک های مشکوک کلیک نکنید. حملات Infostealer در سال های اخیر به شکل مداوم افزایش یافته اند؛ بنابراین استفاده از یک راهکار امنیتی قدرتمند ضروری است. کسپرسکی پریمیوم (Kaspersky Premium) می تواند از تمام دستگاه های شما در برابر تروجان ها، فیشینگ و سایر تهدیدات محافظت کند. علاوه بر این، اشتراک آن شامل کسپرسکی پسورد منیجر (Kaspersky Password Manager) نیز می شود.