رمز‌های عبور هشت‌حرفی دیگر امن نیستند

با پیشرفت توان پردازشی رایانه‌ها شرایط به گونه‌ای شده که دیگر استفاده از رمز‌های با طول ۸ کاراکتر ایمنی چندانی ایجاد نمی‌کند و رمز‌های عبور امن بودن باید حداقل ۱۶ کاراکتر طول داشته باشند.

بررسی‌های شرکت امنیت سایبری Hive Systems نشان می‌دهد که ترکیب حروف در رمز‌های کوتاه اهمیتی ندارد و نباید از آنها استفاده کرد، چون بسیار ساده‌تر از قبل قابل هک شدن هستند.

محققان با سخت‌افزار‌های مختلف که توان پردازشی متفاوتی دارند اقدام به حدس زدن رمز‌های عبور کردند. برخی از پردازنده‌های تجاری حداکثر در مدت ۴ ساعت می‌توانند قوی‌ترین رمز‌های ۸ کاراکتری را بشکنند.

این بررسی نشان داد که توسعه‌دهندگان نرم‌افزار می‌توانند با استفاده از الگوریتم bcrypt به جای MD۵ در هش کردن رمز‌های عبور، شکستن آنها را به مراتب سخت‌تر از قبل کنند.
دسترسی به توان پردازشی بالا برای مهاجمان بسیار ساده‌تر از قبل شده. در این تحقیق از پردازنده‌های تجاری همچون کارت‌های گرافیک سری RTX استفاده شد. همچنین توان پردازشی ابری و استفاده از الگوریتم‌های هوش مصنوعی می‌تواند شکستن هرگونه رمزی را بسیار ساده‌تر از قبل کند.

البته بایستی به این نکته توجه کرد که روش مورد استفاده در این پژوهش روش Brute Force است. در این روش مهاجم بدون اولویت خاصی اقدام به امتحان کردنِ تمام احتمالات ممکن برای یک رمز عبور می‌کند. اگر کاربران از رمز‌های عبور تکراری (مانند ۱۲۳۴۵۶۷۸) استفاده کنند یا در رمز خود کلمات معنادار به کار ببرند دیگر حتی نیازی به استفاده از روش Brute Force نیست و بسیار ساده‌تر می‌توان آن را شکست.

همچنین کاربران باید دقت کنند که استفاده از یک رمز عبور برای سایت‌های مختلف به‌هیچ‌وجه روش امنی نیست؛ زیرا با افشای اطلاعات یک وب‌سایت مهاجمان می‌توانند به تمام حساب‌های کاربری شما دسترسی پیدا کنند.

توصیه محققان این است که تا جای ممکن:
• از رمز‌ها عبور طولانی استفاده شود، با طول حداقل ۱۶ کاراکتر
• رمز‌های عبور ترکیبی کاملاً تصادفی داشته باشند و در آنها از کلمات یا عبارات معنادار استفاده نشود
• در تولید رمز از تمام حروف و علائم استفاده شود (حروف کوچک، حروف بزرگ، عدد، علائم نگارشی و سایر علامت‌ها)
• از رمز‌های عبور تکراری برای سایت‌های مختلف استفاده نشود
• درصورتی‌که ممکن است از یک جمله طولانی به عنوان رمز عبور استفاده شود و نه یک کلمه
بایستی به این نکته توجه کرد که طول رمز عبور یکی از مهم‌ترین عوامل برای ایمن‌تر شدن آن است.

جدول زیر نشان می‌دهد با یک سخت‌افزار مشخص، برای شکستن هر رمز عبور با طول و ترکیبات مختلف که با الگوریتم bcrypt هش شده‌اند، حداکثر چه مدت زمانی لازم است: