كيف يمكن اختراق كلمة مرورك في غضون ساعة

على الرغم من مرور اليوم العالمي لكلمات المرور الذي يقام سنويًا في أول خميس من شهر مايو، إلا أن شغفنا بأمان كلمات المرور مستمر، ونأمل أن يكون شغفك كذلك. وبدلاً من تحليل كلمات المرور الاصطناعية التي تم إنشاؤها للدراسات المعملية، بقينا في العالم الحقيقي – نفحص كلمات المرور الفعلية التي تم تسريبها على الويب المظلم. وكانت النتائج مثيرة للقلق: يمكن اختراق 59% من كلمات المرور هذه خلال أقل من ساعة، وكل ما يتطلبه الأمر بطاقة رسومات حديثة والقليل من المعرفة.

يشرح مقال اليوم كيف يخترق القراصنة كلمات المرور وكيفية مواجهة هذا العمل (تأهب شديد: استخدم حماية موثوقة وتحقق تلقائيًا من كلمات مرورك للبحث عن التسريبات).

الطريقة المعتادة لاختراق كلمات المرور

أولاً، دعنا نوضح ما نعنيه بعبارة “احتراق كلمة المرور”. نتحدث عن اختراق تجزئة كلمة المرور – وهي سلسلة فريدة من الأحرف التي تمثل كلمة المرور. وتخزن الشركات عادةً كلمات مرور المستخدمين بإحدى ثلاث طرق:

• نص عادي. هذه هي الطريقة الأبسط والأكثر وضوحًا: إذا كانت كلمة مرور المستخدم، على سبيل المثال، هي qwerty12345، فسيتم تخزينها على خادم الشركة في شكل qwerty12345. وفي حالة حدوث خرق للبيانات، يحتاج المخترق فقط إلى إدخال كلمة المرور مع اسم المستخدم المقابل لتسجيل الدخول. وهذا، بالطبع، إذا لم تكن هناك مصادقة ثنائية العوامل (2FA)، لكن حتى ذلك الحين، يستطيع مجرمو الإنترنت أحيانًا اعتراض كلمات المرور لمرة واحدة.
• في شكل مجزأ. تستخدم هذه الطريقة خوارزميات التجزئة مثل MD5 وSHA-1 لتحويل كل كلمة مرور إلى قيمة تجزئة فريدة في شكل سلسلة أحرف ثابتة الطول يتم تخزينها على الخادم. وعندما يدخل كلمة مروره، يحول النظام تسلسل إدخال الأحرف إلى تجزئة، ويقارنها بالتسلسل المخزن على الخادم. وإذا كانت متطابقة، فإن كلمة المرور صحيحة. وإليك مثال: إذا كانت كلمة مرورك هي qwerty12345 نفسها، فإنها عندما “تُترجم” إلى SHA-1، ستبدو على النحو التالي: 4e17a448e043206801b95de317e07c839770c8b8. وسيحتاج القراصنة الذين يحصلون على هذا التجزئة إلى فك تشفيرها مرة أخرى إلى qwerty12345 (هذا جزء “اختراق كلمات المرور”)، على سبيل المثال، باستخدام جداول قوس قزح. ويمكن بعد ذلك استخدام كلمة مرور مخترقة ليس فقط للوصول إلى الخدمة المخترقة لكن من المحتمل استخدام كلمة المرور المخترقة للوصول إلى حسابات أخرى أعيد استخدام كلمة المرور فيها.
• تجزئة مع بيانات عشوائية (ملح). لا علاقة لهذه الطريقة بطبق لذيذ من الوجبات الجاهزة، فهذه الطريقة تضيف سلسلة عشوائية من البيانات، المعروفة باسم البيانات العشوائية (الملح)، إلى كل كلمة مرور قبل التجزئة. ويمكن أن تكون البيانات العشوائية (الملح) ثابتة أو يتم توليدها بشكل ديناميكي. يتم إدخال تسلسل كلمة المرور + البيانات العشوائية (الملح) في الخوارزمية، مما يؤدي إلى تجزئة مختلفة. وبالتالي، تصبح جداول قوس قزح المحسوبة مسبقًا عديمة الفائدة للقراصنة. ويؤدي استخدام طريقة تخزين كلمات المرور هذه إلى زيادة صعوبة اختراقها.

بالنسبة لدراستنا، شكلنا قاعدة بيانات تضم 193 مليون كلمة مرور مسربة في نص عادي. من أين حصلنا عليها جميعًا؟ عليك أن تعرف أين تبحث. لقد وجدناها على شبكة الويب المظلم، حيث غالبًا ما تكون هذه “الكنوز” متاحة مجانًا. واستخدمنا قاعدة البيانات هذه للتحقق من كلمات مرور المستخدمين للبحث عن أي تسريبات محتملة – لكن كن مطمئنًا نحن لا نخزن أو حتى نرى أي كلمات مرور. ويمكنك قراءة المزيد عن البنية الداخلية لمخزن كلمات المرور في Kaspersky Password Manager وكيف نطابقها مع الكلمات التي تم تسريبها دون معرفة كلمات مرورك.

تكلفة اختراق كلمة المرور

تعد وحدات معالجة الرسومات الحديثة أفضل أداة لتحليل قوة كلمة المرور. على سبيل المثال، تحقق RTX 4090 المقترنة بأداة استعادة كلمات المرور hashcat معدل 164 مليار تجزئة في الثانية (GH/s) لتجزئة MD5 ذات البيانات العشوائية.

لنتخيل كلمة مرور مكونة من 8 أحرف تستخدم كلاً من الأحرف اللاتينية (إما كلها أحرف صغيرة أو كلها أحرف كبيرة) والأرقام (36 حرفًا محتملاً لكل موضع). ويبلغ عدد التوليفات الفريدة الممكنة 2.8 تريليون (يتم حسابه برفع 36 إلى أس ثمانية). ويمكن لوحدة معالجة مركزية قوية تتمتع بقدرة معالجة تصل إلى 6.7 جيجا هاش في الثانية (GH/s)، أن تخترق كلمة المرور هذه في سبع دقائق. لكن وحدة RTX 4090 سالفة الذكر تديرها في 17 ثانية فقط.

في حين أن وحدة معالجة رسومات متطورة كهذه تكلف ما يقل قليلاً عن 2000 دولار أمريكي، إلا أنه حتى المهاجمين غير القادرين على الحصول على واحدة منها يمكنهم بسهولة استئجار قوة حوسبة مقابل بضعة دولارات في الساعة. لكن ماذا لو استأجروا عشرات من وحدات RTX 4090 دفعة واحدة؟ سيوفر هذا طاقة كافية لمعالجة التسريبات الضخمة لقاعدة بيانات التجزئة بسهولة.

59% من كلمات المرور قابلة للاختراق في أقل من ساعة

اختبرنا قوة كلمة المرور باستخدام خوارزميات التخمين والتخمين الذكي. بينما تكرر خوارزميات التخمين جميع التركيبات الممكنة من الأحرف بالترتيب حتى تجد تطابقًا، يتم تدريب خوارزميات التخمين الذكية على مجموعة بيانات كلمات المرور لحساب تكرار تركيبات الأحرف المختلفة وإجراء اختيارات أولًا من التركيبات الأكثر شيوعًا وصولاً إلى أندرها. ويمكنك قراءة المزيد عن الخوارزميات المستخدمة في الإصدار الكامل من بحثنا على Securelist.

كانت النتائج مثيرة للقلق: يمكن اختراق 45% من 193 مليون كلمة مرور في العالم الحقيقي قمنا بتحليلها (أي 87 مليون كلمة مرور!) بواسطة الخوارزمية الذكية في أقل من دقيقة، و59% في غضون ساعة، و67% في غضون شهر، ويمكن اعتبار 23% فقط من كلمات المرور قوية حقًا – تحتاج إلى أكثر من عام لاختراقها.

من المهم ملاحظة أن اختراق جميع كلمات المرور في قاعدة البيانات لا يستغرق وقتًا أطول بكثير من اختراق كلمة مرور واحدة فقط (!). في كل تكرار، بعد حساب التجزئة للمجموعة التالية من الأحرف، يتحقق المهاجم من وجود المجموعة نفسها في قاعدة البيانات العامة. إذا حدث ذلك، يتم وضع علامة “مخترقة” على كلمة المرور المعنية، وبعد ذلك تستمر الخوارزمية في تخمين كلمات المرور الأخرى.

لماذا تعد خوارزميات التخمين الذكية فعالة للغاية

يمكن التنبؤ بالبشر. ونادرًا ما نختار كلمات مرور عشوائية حقًا، وتتضاءل محاولاتنا في توليدها مقارنة بالآلات. نعتمد على العبارات والتواريخ والأسماء والأنماط الشائعة – وهو بالضبط ما صُممت خوارزميات الاختراق الذكية لاستغلاله.

علاوة على ذلك، فإن العقل البشري هو الذي يجعلك إذا طلبت من عينة من الناس أن يختاروا رقمًا بين واحد ومائة، سيختار معظمهم الأرقام نفسها! قامت قناة Veritasium على يوتيوب باستطلاع رأي أكثر من 200,000 شخص ووجدت أن الأرقام الأكثر شعبية هي 7 و37 و42 و69 و73 و77.

نتائج استطلاع رأي Veritasium. المصدر

حتى عند محاولة استخدام سلاسل أحرف عشوائية، فإننا نميل إلى تفضيل المفاتيح الموجودة في منتصف لوحة المفاتيح. وُجد أن حوالي 57% من جميع كلمات المرور التي قمنا بتحليلها تحتوي على كلمة من القاموس أو مجموعة رموز متكررة. ومما يدعو للقلق أن 51% من كلمات المرور هذه يمكن اختراقها في أقل من دقيقة، و67% في أقل من ساعة، واستغرق اختراق 12% فقط منها أكثر من عام. ومع ذلك، تتكون بضع كلمات مرور على الأقل من كلمة من القاموس فقط (يمكن اختراقها في غضون دقيقة). راجع المقال على Securelist للحصول على المزيد من المعلومات عن أنماط كلمة المرور التي صادفناها.

تقوم الخوارزميات الذكية بعمل قصير لمعظم كلمات المرور التي تحتوي على تسلسلات القاموس. بل وتلتقط استبدالات الأحرف – لذا فإن كتابة “pa$$word” بدلاً من “password” أو “@dmin” بدلاً من “admin” لن يجعل كلمة المرور أقوى بكثير. وينطوي استخدام الكلمات الشائعة والتسلسل الرقمي على مخاطر مماثلة. وفي 4% من كلمات المرور التي فحصناها، ظهر ما يلي في مكان ما:

• 12345
• 123456
• love
• 12345678
• 123456789
• admin
• team
• qwer
• 54321
• password

التوصيات

النتائج المستخلصة من دراستنا العملية:

• العديد من كلمات مرور المستخدمين ليست قوية بما فيه الكفاية؛ يمكن اختراق 59% منها خلال ساعة واحدة.
• يقلل استخدام كلمات وأسماء وتسلسلات أحرف قياسية ذات معنى في كلمة المرور بشكل كبير من وقت تخمين كلمة المرور.
• كلمة المرور الأقل أمانًا هي كلمة المرور التي تتكون بالكامل من أرقام أو كلمات فقط.

للحفاظ على أمان حساباتك، ضع في اعتبارك تطبيق التوصيات البسيطة التالية:

• توليد كلمات مرور باستخدام Kaspersky Password Manager.
• إذا قررت إنشاء كلمة مرور بنفسك، فاستخدم عبارات مرور يسهل تذكرها بدلاً من تركيبات الكلمات أو الأسماء أو تسلسلات القاموس ذات المعنى.
• تجنب إعادة استخدام كلمات المرور عبر مواقع مختلفة، لأنه ليس كل الشركات تخزن بيانات المستخدم بشكل آمن.
• تجنب حفظ كلمات المرور في المستعرضات.
• احتفظ بكلمات مرورك مخزنة بأمان في مدير كلمات المرور وأنشئ كلمة مرور رئيسية مقاومة للاختراق.
• تحقق من مدى مقاومة كلمة مرورك للاختراق باستخدام أداة التحقق من كلمة المرور أو مباشرة في Kaspersky Password Manager. وسيحدد كلمات المرور الضعيفة والمكررة، ويفحص جميع كلمات مرورك مقابل قواعد البيانات المخترقة، وينبهك إذا وجد تطابقًا.
• استخدم Kaspersky Premium للمراقبة المستمرة في الخلفية لجميع الحسابات المرتبطة بهواتفك وبعناوين البريد الإلكتروني الخاصة بأفراد عائلتك للبحث عن تسرب البيانات.
• قم بتمكين المصادقة ثنائية العوامل حيثما أمكن ذلك. بالمناسبة ، يتيح لك Kaspersky Password Manager أيضًا حفظ رموز المصادقة ثنائية العوامل وإنشاء رموز لمرة واحدة.