بیش از نیمی از کاربران اینترنت روسی از رمزهای عبور آسان برای حدس زدن استفاده می کنند. این در حالی است که تعداد حملات سایبری در حال افزایش است.
روتین های گرافیکی مدرن می توانند تا 70 درصد رمزهای عبور دامنه را تنها در نیم ساعت حدس بزنند. به همین دلیل، حتی ترکیبات به ظاهر پیچیده نیز می توانند آسیب پذیر باشند. کنستانتین لارین، رئیس بخش اطلاعات سایبری شرکت Bastion در این باره صحبت کرد.
بنابراین، 45٪ از رمزهای عبور سرقت شده رسماً الزامات پیچیدگی را برآورده می کنند، اما در واقعیت هنوز هم مستعد انتخاب خودکار هستند. علاوه بر این، حدود 10٪ از کارکنان شرکت هنوز از ترکیبات اولیه استفاده می کنند که به طور قابل توجهی خطر امنیت داده های شرکت را افزایش می دهد.
بیش از یک سوم حوادث سایبری جدی در سازمان های روسی مربوط به سرقت رمز عبور است. هکرها اغلب از اعتبار کاربران ممتاز و مدیران سیستم استفاده می کنند – این دسترسی فرصت های زیادی را در زیرساخت های تجاری به آنها می دهد.
دیمیتری خوموتوف، مدیر ایدکو، گفت: «در حال حاضر برآورد دقیق کل خسارات ناشی از چنین حوادثی دشوار است، اما بر اساس میلیاردها روبل محاسبه شده است.
انطباق معمولاً رسمی است: کاربران حروف بزرگ، اعداد و نویسههای خاص را اضافه میکنند اما همچنان به ایجاد گذرواژهها بر اساس الگوهای قابل پیشبینی (تاریخ، کلمات اساسی، رشتههای واضح مانند “qwerty”، “asdf” و غیره ادامه میدهند. لارین گفت: “حتی اگر رمز عبور از نقطه نظر سیاست امنیتی پیچیده به نظر برسد، باز هم می تواند یک رمز عبور فرهنگ لغت باشد – به عنوان مثال، در ترکیبی مانند “Zima2026!!”. چنین گزینه هایی با کلمات متداول، تاریخ و جایگزینی کاراکترهای معمولی مدت ها در لیست کلاهبرداران بوده و با موفقیت در زور و بازیابی حساب کاربری مورد استفاده قرار می گیرند.
سرگئی زولوتوخین، مشاور امنیت سایبری در F6 گفت، قدرت محاسباتی در حال افزایش است، بنابراین امروزه رمزهای عبور شامل حداقل 12 کاراکتر، از جمله حروف بزرگ و کوچک، اعداد و کاراکترهای خاص، در برابر نیروی بی رحم محافظت می شوند.
لارین افزود که نشت پایگاه داده یک خطر خاص است. حتی اگر گذرواژهها به صورت هششده ذخیره شوند، مهاجم همچنان میتواند ترکیبهای اصلی را بازیابی کند اگر به اندازه کافی قوی نباشند.
علاوه بر این، استفاده مجدد از رمز عبور اغلب به مجرمان اجازه می دهد تا به چندین سرویس به طور همزمان دسترسی داشته باشند – از ایمیل گرفته تا بانکداری آنلاین.
یک عامل خطر اضافی عدم احراز هویت دو عاملی است. احتمال تصاحب حساب موفق در صورت غیرفعال شدن چندین برابر افزایش می یابد. این امر به ویژه در مواردی که رمزهای عبور در پایگاه داده های نشت شناخته شده گنجانده شده اند صادق است.
برای افزایش حفاظت، لارین توصیه میکند از ترکیبهای قابل پیشبینی و دادههای شخصی اجتناب کنید، از استفاده مجدد از ترکیبها در سرویسها خودداری کنید، و در صورت امکان، از یک مدیر رمز عبور بین پلتفرمی استفاده کنید که بهطور خودکار ترکیبهای مورد اعتماد را تولید و ذخیره میکند. به گفته این همکار، ذخیره رمزهای عبور در مرورگر خطرناک است: وقتی بدافزار دستگاه را آلوده می کند، می تواند داده ها را از حافظه داخلی استخراج کند.
به گفته زولوتوخین، نرم افزارهای مدرن واقعا در جلوگیری از حدس زدن رمز عبور موثر هستند. این می تواند استفاده از یک برنامه ضد ربات هنگام دسترسی به منابع آنلاین و یک روش واضح مانند محدود کردن تلاش برای رمز عبور باشد.
این گفتگو اضافه کرد: “متاسفانه، حتی چنین تنظیمات ساده ای در منابع آنها اغلب توسط صاحبان سرویس نادیده گرفته می شود.”
روشهای احراز هویت بدون رمز عبور مانند بیومتریک و توکنهای سختافزاری رایج شدهاند، اما تعداد زیادی از جفتهای رمز ورود به سیستم در پایگاههای دادهای که قبلاً فاش شده یا در نشتهای جدید در دسترس مجرمان هستند.
زولوتوخین در پایان گفت: “این یک بمب ساعتی واقعا خطرناک برای جامعه است که در ارتباطات اینترنتی جمعی جاسازی شده است. متأسفانه، حتی پیشرفته ترین متخصص در بهداشت دیجیتال نمی تواند در برابر این تهدید محافظت کند.” یک ابزار مؤثر برای مبارزه با چنین خطراتی تنها میتواند تسلط گسترده بر مهارتهای کار با دادههای اطلاعات سایبری توسط متخصصان و انتشار گسترده سیستمهایی از این نوع در همه سازمانهایی باشد که واقعاً به دادههای مشتریان علاقه دارند.»