بروت فورس ؛ بلای جان امنیت گذرواژه‌ها

«واقعا هیجان‌انگیز است. به نوعی شبیه شکار است؛ اما نه شکار حیوانات؛ بلکه شکار هش‌ها. بهترین شکل بازی قایم موشک!»‌

این حرف‌های یک متخصص امنیت سایبری است که درجه امنیت گذرواژه‌ها را بررسی کرده و برای این کار از حمله بروت فورس (Brute Force) استفاده می‌کند. البته او هشدار می‌دهد که اگر از این نوع حمله برای اهداف غیرقانونی استفاده کنید، باید منتظر عواقب آن نیز باشید.

حمله بروت فورس چیست؟

حمله بروت فورس (brute force) که به‌عنوان حمله جستجوی فراگیر (Exhaustive Search) نیز شناخته می‌شود، یکی از رایج‌ترین حملات سایبری برای پیدا‌کردن گذرواژه‌های کاربران یا صفحه‌ای پنهان در وب‌سایت‌ها است.

این نوع حمله سایبری معادل این صحنه آشنا در فیلم‌ها است: درِ خانه‌ای قفل است و شخصیت دزد داستان دسته‌ای کلید دارد؛ اما نمی‌داند کدام کلید قفل در را باز می‌کند. وقت هم بسیار تنگ است و صاحبخانه هر لحظه ممکن است از راه برسد. برای همین شخصیت فیلم شروع به امتحان‌کردن تمام کلیدها می‌کند تا بالاخره یکی از آن‌ها قفل در را باز کند.

هدف از حمله بروت فورس

حملات بروت فورس معمولا برای دستیابی به اطلاعات شخصی کاربران ازجمله گذرواژه‌ها، نام‌های کاربری و پین‌ها صورت می‌گیرند و هکرها برای این حملات از اسکریپت، بات یا نرم‌افزارهای مخصوص استفاده می‌کنند. اهدافی که هکرها از انجام حمله بروت فورس دنبال می‌کنند، شامل موارد زیر می‌شود:‌

سرقت اطلاعات شخصی مانند گذرواژه یا نام کاربری برای دسترسی به حساب‌های آنلاین و منابع شبکه
جمع‌آوری اطلاعات شخصی کاربران برای فروش به شخص ثالث
ظاهر‌شدن در نقش کاربر برای فرستادن لینک‌های فیشینگ و محتوای جعلی
لطمه‌زدن به اعتبار سازمان با افشای اطلاعات کاربران آن‌ها
هدایت دامنه‌ها به وب‌سایت‌هایی که محتوای مخرب دارند
البته حملات بروت فورس برای اهداف مفید نیز صورت می‌گیرند. بسیاری از متخصصان فناوری اطلاعات از این مدل حمله برای تست امنیت شبکه و به‌طور ویژه، قدرت روش رمزنگاری که در شبکه استفاده شده است، استفاده می‌کنند تا از حملات احتمالی هکرها در آینده جلوگیری کنند.

راه‌های محافظت دربرابر حملات بروت فورس

برای محافظت از گذرواژه‌ها دربرابر حملات بروت فورس روش‌های مختلفی وجود دارد که برخی از آن‌ها از طرف کاربر و برخی دیگر باید از طرف صاحب وب‌سایت رعایت شود. دراینجا به چند مورد از مهم‌ترین آن‌ها اشاره می‌کنیم:‌

۱. محدود‌کردن تعداد دفعات وارد‌کردن گذرواژه نادرست

یکی از راه‌های مؤثر جلوگیری از حملات بروت فورس محدود‌کردن تعداد دفعاتی است که مهاجم فرصت دارد ترکیب‌های مختلف را برای پیدا‌کردن گذرواژه درست امتحان کند.

در برخی وب‌سایت‌ها و سرویس‌ها چنانچه دفعات وارد‌کردن گذرواژه نادرست از حدی بیشتر شود، حساب کاربر مسدود شده و دسترسی به آن تا مدت معینی ممکن نخواهد بود. استفاده از این روش اگرچه جلوی حمله را نمی‌گیرد؛ اما در کار مهاجم وقفه ایجاد می‌کند.

از طرفی، اگر محدود‌کردن تلاش برای ورود به حساب آنلاین بدون فکر و برنامه‌ریزی دقیق انجام شود، ممکن است هزینه‌های اضافی به سازمان تحمیل کند. به‌همین‌دلیل، لازم است ابتدا بررسی شود که آیا این روش برای حفاظت از زیرساخت‌های شرکت روش مناسبی است یا خیر.

۲. استفاده از گذرواژه‌های قوی

یکی از بهترین و موثرترین روش‌ها برای جلوگیری از حملات بروت فورس دیکشنری پرهیز از استفاده از کلماتی است که می‌توان آن‌ها را در فرهنگ لغت پیدا کرد. کاربران همچنین باید از استفاده از اطلاعات شخصی خود ازجمله شماره حساب بانکی برای انتخاب گذرواژه در سرویس‌های وبی که از کلیدهای رمزنگاری قوی استفاده نمی‌کنند، خودداری کنند.

روش‌های جایگزین گذرواژه‌های سنتی

روش دیگری برای کاهش حملات بروت فورس،‌ خودداری از استفاده از رمزهای عبور سنتی است. در عوض می‌توانید از توکن یا رمزهای عبور یک‌بارمصرف استفاده کنید. بدین‌ترتیب، برای دسترسی به وب‌سایت هر بار رمزعبور منحصر‌به‌فردی برای شما ایجاد می‌شود و از حملات بروت فورس جلوگیری می‌شود.

۴. احراز هویت چندعاملی

استفاده از توکن نوعی احراز هویت دوعاملی یا 2FA است. این اقدام امنیتی به‌طور رایج در تراکنش‌های بانکی استفاده می‌شود. در این روش علاوه بر استفاده از روش‌های رایج لاگین، سطح امنیتی دیگری نیز هنگام تراکنش اضافه می‌شود؛ مثلا کدی ازطریق SMS به گوشی هوشمند کاربر فرستاده می‌شود یا اپلیکیشن‌های احرازهویت دوعاملی نظیر Google Authenticator به‌طور خودکار رمزهای عبور یک بار مصرف تولید می‌کنند. بدین‌ترتیب حتی اگر هکر به گذرواژه کاربر دسترسی داشته باشد، برای ورود نیازمند وارد‌کردن کدی است که خوشبختانه به آن دسترسی ندارد.

۵. نمایش کپچا (Captcha)

بعد از چندین تلاش ناموفق برای لاگین، سیستم‌های احراز هویت جلوی حمله بروت فورس بات‌ها را می‌گیرد. کپچا انواع مختلفی دارد، ازجمله تایپ متنی که در تصویر نمایش داده شده، زدن تیک گزینه I’m not a robot (من ربات نیستم) یا تشخیص اشیا در تصاویر. می‌توان قابلیت کپچا را برای اولین تلاش ورود یا بعد از اولین تلاش ناموفق فعال کرد.

راه‌های ایجاد پسورد قوی

شاید موثرترین عامل برای محافظت دربرابر حملات brute force انتخاب گذرواژه‌ای قوی است؛ اما گذرواژه باید چه ویژگی‌هایی داشته باشد تا احتمال کشف آن ازطریق حملات بروت فورس کاهش یابد؟ در اینجا به چند نکته برای ایجاد پسورد قوی اشاره می‌کنیم:

گذرواژه‌های طولانی با انواع کاراکترهای متنوع: در صورت امکان، بهتر است گذرواژه‌های ۱۰ کاراکتری انتخاب کنید که شامل نمادها یا اعداد باشند. چنین گذرواژه‌ای ۱۷۱٫۳ کوینتیلیون، یعنی ۱٫۷۱ در ۱۰۲۰ ترکیب ممکن، ایجاد می‌کند. با استفاده از GPUای که ۱۰٫۳ میلیارد هش را در ثانیه امتحان می‌کند، شکستن این رمزعبور تقریباً ۵۲۶ سال طول می‌کشد. البته یک ابرکامپیوتر می‌تواند این گذرواژه را ظرف چند هفته کرک کند؛ به‌همین‌دلیل، اضافه‌کردن کاراکترهای بیشتر کشف رمزعبور شما را دشوارتر می‌کند.

استفاده از عبارات عبور (passphrase) پیچیده: از آنجایی که تمام وب‌سایت‌ها از گذرواژه‌های بسیار طولانی پشتیبانی نمی‌کنند یا به‌خاطرسپردن آن‌ها دشوار است، می‌توان از عبارات عبور به‌جای گذرواژه تک‌کلمه‌ای طولانی استفاده کنید. حملات دیکشنری به‌خصوص برای کشف گذرواژه‌های تک‌کلمه‌ای طراحی شده‌اند و تقریبا بدون هیچ زحمتی این مدل گذرواژه‌ها را کرک می‌کنند. به‌همین‌دلیل، برای افزایش امنیت سایبری لازم است عبارات عبور را که از چندين کلمه تشکیل شده‌اند با کاراکترهای اضافی و نمادها ترکیب کرد.

برای انتخاب عبارت عبور بهتر است از ذهن خود کمک نگیرید، چون ذهن انسان قادر نیست به کلماتی فکر کند که از الگوی طبیعی زبان پیروی نمی‌کنند و ابزارهای بروت فورس به‌راحتی قادرند کلمات این چنینی را حدس بزنند. به‌همین‌دلیل،، استفاده از روش Diceware پیشنهاد می‌شود. دایس‌ور فهرستی از ۷،۷۷۶ کلمه انگلیسی است که در کنار هر کلمه یک عدد ۵ رقمی از یک تا شش قرار دارد. حالا با پنج بار تاس ریختن، ترکیب عددی که بدست می‌آید را یادداشت کرده و کلمه مربوط به آن را از فهرست دایس‌ور انتخاب کنید. این کار را تا اندازه‌ای که می‌خواهید عبارت عبورتان طولانی شود، تکرار کنید تا به عبارتی برسید که کاملا رندوم است و به اصطلاح، آنتروپی یا همان آشفتگی بالایی دارد.

اگر عبارت انتخابی شما از پنج کلمه تشکیل شده باشد، ۷،۷۷۶۵ ترکیب ممکن برای آن وجود دارد و برای حدس آن به ۱۴ کوینتیلیون (۱۴ با ۱۸ صفر) بار تلاش نیاز است. طبق هشدار ۲۰۱۳ ادوارد اسنودن، حدس‌زدن عبارت عبور هفت کلمه‌ای به کمک ابزاری با قابلیت یک تریلیون حدس در ثانیه، ۲۷ میلیون سال طول خواهد کشید.

در کل، قوی‌ترین گذرواژه دربرابر حملات بروت فورس گذرواژه‌ای است که در عین طولانی بودن و منحصر‌به‌فرد بودن، تا حد ممکن رندوم باشد و از الگوهای قابل پیش‌بینی زبان طبیعی پیروی نکرده باشد. به‌همین‌دلیل، استفاده از اپلیکیشن‌های مدیریت رمزعبور برای افزایش امنیت سایبری توصیه می‌شود.