نوابغ رمز‌نگاری نزدیک به ۳۲۰ میلیون گذرواژه‌ی درهم‌شده را بازیابی کردند!

کمیته رکن چهارم – نوابغ ناشناسِ گروه CynoSure که دو سال پیش گذرواژه‌ی افشاشده‌ی ۱۱ میلیون کاربر وب‌گاه غیراخلاقی Ashley Madison را بازیابی کرده بودند، این بار همه‌ی ۳۲۰ میلیون گذرواژه‌ای که توسط پژوهش‌گر استرلیایی به نام Troy Hunt منتشر شده بود را بازیابی کرده‌اند. 

حتماً می‌دانید که وب‌گاه‌ها برای امنیت بیش‌تر گذرواژه‌ها را به صورت مستقیم در پایگاه داده ذخیره نمی‌کنند و ابتدا آن‌ها را تبدیل به عبارت یک طرفه‌ی درهم‌شده (هَش) کرده و سپس در پایگاه داده ذخیره می‌کنند. از آن‌جایی که عبارتِ گذرواژه به صورت یک طرفه درهم شده است، با داشتن عبارتِ درهم‌شده نمی‌توان به سادگی گذرواژه را بازیابی کرد. 

ماه گذشته‌، صاحب وب‌گاه HaveIBeenPwned که شامل میلیون‌ها گذرواژه‌ و آدرس رایانامه‌ی مربوط به نفوذ‌های مختلف بود را منتشر کرد با امید به این‌که افرادی که از گذرواژه‌های یکسانی برای حساب‌های مختلف استفاده می‌کنند بالاخره این کار را متوقف نمایند و هم‌چنین وب‌گاه‌ها نیز دیگر گذرواژه‌های تکراری را نپذیرند و به کاربران در این مورد هشدار دهند. در این میان، گروه CynoSure Prime، یک دانشجوی دکترا و فعال در حوزه‌ی امنیت و یک پژوهش‌گر امنیت به نام Royce Williams این چالش را پذیرفتند که گذرواژه‌های منتشر شده را بازیابی نمایند. 

پایگاه‌ داده‌ای که توسط Hunt منتشر شده بود مربوط به نفوذهای مختلف از شرکت‌های مختلف نرم‌افزاری بود و به همین انتظار می‌رفت تعداد زیادی الگوریتم درهم‌سازی برای گذرواژه‌ها به کار رفته باشد. البته طبق انتظار بیش‌تر آن‌ها از الگوریتم درهم‌سازی SHA-۱ بهره می‌برند. الگوریتم SHA-۱ به شدت ناامن است و چند سالی می‌شود که پژوهش‌گران امنیتی هشدارهایی در مورد این‌که این الگوریتم به سادگی قابل شکستن است را می‌دهند و چند ماه پیش یک روش کارآمد برای شکستن SHA-۱ توسط گوگل عرضه شده است. 

یکی دیگر از مشکلات مربوط به افشای گذرواژه‌ها از راه عبارتِ درهم‌شده مربوط به ضعف در الگوریتم درهم‌سازی است. به طور مثال اگر گذرواژه‌ی به صورت «p۴۵۵w۰rd» تعریف شده باشد عبارت درهم‌شده‌ی «b۴۳۴۱ce۸۸a۴۹۴۳۶۳۱b۹۵۷۳d۹e۰e۵b۲۸۹۹۱de۹۴۵d» در پایگاه داده ذخیره می‌شود و فرض بر این است که این عبارت قابل برگشت به عبارت اصلی نیست. 

الگوریتم‌های درهم‌سازی به کار رفته در مورد ۳۲۰ میلیون گذرواژه‌ی منتشر شده، شناسایی شدند و گزارش شده است ۱۵ الگوریتم مختلف در مورد این گذرواژه‌ها به کار رفته است (با استفاده از ابزار MDXfind می‌توان الگوریتم درهم‌سازی رو شناسایی کرد).

در حال حاضر با وارد شدن به آدرس «https://haveibeenpwned.com/Passwords» و وارد کردن گذرواژه می‌توانید بررسی کنید آیا گذرواژه‌ی شما، یا گذرواژه‌ای که قصد استفاده از آن را دارید قبلاً بازیابی شده است یا خیر و اگر هشداری از این وب‌گاه دریافت کردید نباید از این گذرواژه استفاده کنید. 

برخی گذرواژه‌های بازیابی شده شامل اطلاعات شخصی هم می‌باشند که اشاره‌‌ای به جزییات آن‌ها نشده است. به گفته‌ی CynoSure Prime نزدیک به ۹۹٫۹۹۹٪ گذرواژه‌ها بازیابی شده است و درصد کمی از آن‌ها (نزدیک به ۱۱۶ گذرواژه‌ی با الگوریتم درهم‌سازی SHA-۱) هنوز بازیابی نشده است. 

منبع : news.asis.io