انتخاب یك كلمه عبور خوب و قوی چقدر مشكل است؟ بیشتر مردم اعتقاد دارند كه انتخاب یك كلمه عبور خوب ساده است. اما در حقیقت اغلب مردم معمولا كلمات عبور ضعیفی انتخاب میكنند.
در سال 1990 تلاش برای نفوذ به یك پایگاه داده بزرگ از كلمات عبور منجر به كشف بیش از 300 كلمه عبور در همان 15 دقیقه اول شد! یك پنجم از كلمات عبور در هفته اول و تقریبا یك چهارم از آنها تا پایان عملیات پیدا شدند. بیش از نصف كلمات عبوری كه مورد نفوذ قرار گرفته بودند از شش كاراكتر یا كمتر تشكیل شده بودند و برخی از حسابهای كاربری اصلا كلمه عبور نداشتند! انتخاب یك كلمه عبور مناسب در حقیقت مصالحه ای بین انتخاب چیزی است كه به سختی حدس زده میشود و چیزی كه به راحتی به خاطر سپرده میشود. برای مثال ممكن است @G7x.m^l یك كلمه عبور خوب باشد، در حالیكه هیچكس نمیتواند آن را به راحتی به خاطر بسپارد. برعكس، به خاطر سپردن نام شما برای شما كار بسیار بسیار ساده ای است و در مقابل حدس زدن آن نیز برای هكرها كار ساده ای خواهد بود.
برخی قوانین ساده و اولیه
برخی راهكارهای ساده برای انتخاب كلمه عبور مناسب عبارتند از:
یك كلمه عبور حداقل باید از 8 كاراكتر تشكیل شده باشد.
سعی كنید برخی علائم نگارشی یا ارقام را در كلمه عبور خود وارد كنید.
بهتر است كلمه عبور شما از تركیبی از حروف بزرگ و كوچك الفبا تشكیل شده باشد.
یك عبارت یا تركیبی از كلمات را انتخاب كنید تا به خاطر سپردن كلمه عبور كار ساده تری گردد.
كلمه ای كه در یك دیكشنری از جمله دیكشنریهای زبانهای دیگر وجود داشته باشد را انتخاب نكنید.
حروفی را كه روی صفحه كلید پشت سر هم قرار دارند مانند qwertyui انتخاب نكنید.
هیچ كاراكتری را بیش از یكبار بصورت پشت سر هم تكرار نكنید.
فقط از علائم نگارشی یا ارقام یا حروف الفبا استفاده نكنید. بلكه تركیبی از آنها را بكار ببرید.
كلماتی كه به سادگی قابل حدس زدن هستند انتخاب نكنید، مانند:
شماره تلفنها
شماره اتومبیل
اسامی دوستان یا خویشاوندان
نام یا جزئیات كار خود
تاریخ
هرگز نام كاربری خود را بعنوان كلمه عبور استفاده نكنید.
از كلمات عبور متفاوت برای حسابهای كاربری مختلف استفاده كنید.
كلمات عبور خود را هر از گاهی تغییر داده و از كلمات عبور قدیمی خود دوباره استفاده نكنید.
یك رقم یا علامت نگارشی را درست به ابتدا یا انتهای یك كلمه اضافه نكنید.
از معكوس كلمات معنی دار استفاده نكنید.
حروف را با ارقامی كه از نظر ظاهری به آنها شبیه هستند جایگزین نكنید. برای مثال جایگزین كردن تمامی حروف I در كلمه عبور با رقم 1 كار درستی نیست.
شكستن كلمات عبور
ایده ای كه پشت شكستن كلمات عبور وجود دارد بی نهایت ساده است: یك فهرست بزرگ از كلمات انتخاب میشود، هر كلمه رمز شده و سپس چك میشود كه آیا كلمه رمز شده با كلمه عبور كاربر همخوانی دارد یا خیر. این فهرست كلمات معمولا با استفاده از دیكشنریهای زبان انگلیسی و سایر زبانها، اسامی معمول، اسامی حیوانات، شخصیتهای تلویزیونی و سینمایی، حروف پشت سر هم روی صفحه كلید و اصطلاحات بدست می آید. برای اینكه فرد هكر بتواند كلماتی را كه درون فهرست كلماتش وجود ندارد و ممكن است كاربر انتخاب كرده باشد به دست آورد، یك مجموعه بزرگ از قوانین ساده را به هر یك از كلمات داخل فهرست اعمال كرده و چك میكند كه آیا كلمه به دست آمده همان كلمه عبور كاربر است یا خیر. این قوانین شامل افزودن ارقام یا علائم نگارشی به ابتدا یا انتهای كلمات، معكوس كردن كلمات، تبدیل كلمات به حروف بزرگ، جایگزین كردن حروف با ارقام یا حروف مشابه دیگر و … میباشد. از آنجاییكه كامپیوترها سریع هستند، اعمال این قوانین و رمز كردن نتیجه زمان زیادی مصرف نمیكند و حدسهای زیادی در زمان كوتاهی قابل انجام است. بعلاوه یك پایگاه داده روی یك CD كه تمامی كلمات یك دیكشنری بزرگ را به همراه بسیاری از قوانینی كه این كلمات را رمز میكند داراست، عملیات پیدا كردن كلمه عبور را به یك جستجوی ساده در یك پایگاه داده تبدیل میكند.
یك كلمه عبور خوب از چند كاراكتر تشكیل شده؟
یك جواب ساده به این سوال این است كه معمولا یك كلمه طولانیتر بهتر است. تصور كنید كه شما تركیب معناداری از كاراكترها را بعنوان كلمه عبور خود انتخاب كرده اید. فرض كنید این تركیب شامل حروف و ارقام باشد. جدول زیر نشان میدهد كه تعداد كلماتی كه با این تركیب با درنظر گرفتن طولهای متفاوت میتوان ساخت چقدر است. همچنین زمان لازم برای حدس زدن یك كلمه عبور نیز تخمین زده شده است.
| طول كلمه عبور | تعداد كلماتی كه با این طول میتوان ساخت | زمان لازم برای حدس زدن این كلمه |
| 1 | 62 | بصورت دستی میتوان آن را پیدا كرد |
| 2 | 3844 | زمان چندانی لازم نیست |
| 3 | 238328 | كمتر از یك ثانیه |
| 4 | 14776336 | دو ثانیه |
| 5 | 916132832 | دو دقیقه و نیم |
| 6 | 56800235584 | دو ساعت و نیم |
| 7 | 3521614606208 | یك هفته |
| 8 | 218340105584896 | یك سال |
| 9 | 13537086546263552 | هفتاد سال |
| 10 | 839299365868340224 | چهار قرن |
| 11 | 5203656068387093888 | دویست و پنجاه هزار سال |
| 12 | 3226266762397899821056 | شانزده میلیون سال |
البته باید توجه داشت كه بسیاری از سیستمها طول یك كلمه عبور را محدود میكنند و كلمه عبوری را كه شما وارد كرده اید به اندازه مورد قبول خود تغییر میدهند. از آنجایی كه در سیستمهای یونیكس طول كلمه مورد قبول معمولا 8 كاراكتر است، در ادامه این مقاله فرض بر این قرار گرفته است كه یك كلمه عبور با طول 8 كاراكتر مورد استفاده قرار میگیرد.
یك كلمه عبور خوب باید از چه كاراكترهایی تشكیل شده باشد؟
در قسمت قبل فرض شده بود كه كلمات عبور از حروف كوچك و بزرگ و ارقام تشكیل شده باشند. اما اگر این مجموعه كاراكترها را كاهش یا افزایش دهیم چه اتفاقی می افتد؟ جدول زیر برخی گزینه ها را در مورد كلمات عبور متشكل از 8 كاراكتر بیان میدارد:
| نوع كلمه عبور | تعداد كاراكترها | تعداد كلمات عبور | زمان نفوذ |
| ASCII 7 بیتی | 128 | 72057594037927936 | سیصد و پنجاه سال |
| كاراكترهای قابل نمایش | 95 | 6634204312890625 | سی و سه سال |
| حروف و ارقام | 62 | 218340105584896 | یك سال |
| فقط حروف | 52 | 53459728531456 | نود و شش روز |
| حروف كوچك با یك حرف بزرگ | 26/خاص | 1670616516608 | سه روز |
| فقط حروف كوچك | 26 | 208827064576 | نه ساعت |
| كلمات انگلیسی (8 حرفی یا بیشتر) | خاص | 250000 | كمتر از یك ثانیه |
بنابراین واضح است كه هرچه انواع كاراكترهای بیشتری مورد استفاده قرار بگیرد نفوذ به كلمه عبور سخت تر خواهد بود. شما باید سعی كنید حداقل تركیبی از حروف كوچك و بزرگ را بكار بگیرید، همچنین باید از ارقام، علائم نگارشی و یا كدهای كنترلی نیز در كلمه عبور خود استفاده كنید.
كلمات عبوری كه به ندرت استفاده میشوند
فقط یك حالت وجود دارد كه نوشتن كلمه عبور ایده خوبی است و آن زمانی است كه زیاد از آن كلمه عبور استفاده نمیكنید. برای مثال كلمه عبور اصلی یك سرور معمولا هر روز مورد استفاده قرار نمیگیرد. در چنین شرایطی بهتر است كلمه عبوری طولانی و پیچیده انتخاب كنید كه به خاطر سپردن آن بسیار سخت باشد، سپس آن را یادداشت كرده و در محل امنی نگهداری كنید. زمانی كه نیاز باشد از كلمه عبور استفاده كنید آن را از محل خود خارج كرده و پس از وارد كردن كلمه عبور نیز دوباره آن را در محل امن خود قرار دهید. این كلمه عبور نیز باید هر از گاهی تغییر كند. البته قطعا شرایط فرق میكند. اگر شما فكر میكنید كه امكان دارد كلمات عبور خود را فراموش كنید، شاید بهتر باشد كه از كلمه عبور پیچیده ای استفاده كرده و آن را یادداشت نمایید. فقط به خاطر داشته باشید كه اگر كسی به یادداشت شما دسترسی پیدا كند در اینصورت به سادگی میتواند وارد سیستم شود. هیچ یادداشت حاوی كلمه عبوری نباید نزدیك كامپیوتر شما و یا نزدیك جایی كه اطلاعات شخصی شما نگهداری شود. آن را در جایی امن نگهداری كنید. یك كشوی قفل شده بسیار بهتر از كیف پول شماست.
مثالهایی از كلمات عبور خوب
تا كنون راجع به كلمات عبور بد بحث كرده ایم. یك كلمه عبور خوب چگونه ساخته میشود؟ سعی كنید دو یا چند كلمه را با هم تركیب كنید یا حروف اول (یا دوم یا آخر) كلمات یك عبارت را كنار هم قرار داده و كلمه جدیدی بسازید. سپس در قسمتهای مختلف كلمه بدست آمده از حروف بزرگ، ارقام و علائم نگارشی استفاده كنید. علاوه بر اینها میتوانید كاراكترهای كنترلی را نیز اضافه كنید.
مثالهایی از كلمات عبور چند كلمه ای
در اینجا مثالهای خوبی از چند كلمه ارائه شده است:
g0t%L0st! كه از عبارت got lost! بدست آمده است
heLP4me$ كه از عبارت help for me (money) بدست آمده است
اینجا نیز یك كلمه عبور بد را میبینید:
T0gether
مثالهایی از كلمات عبور با استفاده از یك عبارت
در اینجا سه مثال خوب برای كلمات عبور با استفاده از یك عبارت بیان شده است:
rsKf0myH با استفاده از عبارت Raindrops keep falling on my head
wru2rxy? با استفاده از عبارت Who are you to ask why
bWilIso3! با استفاده از عبارت Beware the ides of March
در اینجا نیز یك كلمه عبور بد با استفاده از یك عبارت مشاهده میكنید:
Aaaaaaaa با استفاده از عبارت Always assert an ambiguous axiom and argue aggressively
كلمات عبوری كه هرگز نباید استفاده كنید
در اینجا فهرستی از 500 كلمه عبور مشاهده میكنید كه هرگز نباید مورد استفاده قرار بگیرند. شما كلمات عبوری را كه بعنوان كلمه عبور ضعیف در این مقاله مطرح شد نیز به این مجموعه اضافه كنید. ضمنا از كلمات عبوری كه در مقلات به عنوان كلمه عبور خوب معرفی می شوند نیز استفاده نكنید بلكه بر اساس قوانین گفته شده اقدام به ساخت یك كلمه عبور كنید.
منبع:
http://www.auscert.org.au
