عدم انتخاب صحیح رمزعبور - قسمت اول

طی تحقیقات تروی هانت – یکی از متخصصان برتر مایکروسافت در زمینه امنیت شبکه و کامپیوتر – در مورد نحوه انتخاب رمزعبور توسط کاربران، وی به این نتیجه رسیده بود اصولا، رمزهای عبور انتخابی بسیار کوتاه (بین 6 تا 10 حرف)، ساده (کمتر از یک درصد از آنها ترکیب حرف و عدد هستند) و قابل پیش ‌بینی (بیش از یک‌سوم آنها جزو عبارات رایج هستند) هستند.
هانت در مقاله‌ ای که در وبلاگ شخصی خود منتشر کرده، مدعی شده است برایش بسیار جالب و عجیب بوده که نتیجه تحقیقاتش در مورد حساب کاربری سیستم سونی نشان داده است 92 درصد حساب ‌های کاربری اعضای این سیستم، رمزهای عبور مشابه یکدیگر دارند. در همین راستا این سوال برایش پیش آمده است که کاربران بر چه اساسی برای حساب ‌های کاربری خود رمزعبور انتخاب می ‌کنند.
شاید بتوان با در نظر گرفتن ریشه و منبع کلمات و اعداد به کار رفته در رمزعبور یا پیش زمینه فکری فرد در مورد شاخصه‌ های انتخاب، این سوال را پاسخ داد.
در واقع باید گفت بخش عظیمی از رمزهای عبور حول محور کوچک و مشخصی از انتخاب ها می چرخند. این یک تحقیق جالب در مورد کاربرانی است که رمزهای عبور ساده ای برای حساب های کاربری خود انتخاب می کنند.

منبع اطلاعات و روند تحلیل
اطلاعاتی که در این جا از آنها استفاده شده است از منابع مختلفی همچون وب سایت های سونی و Gawker (که چندی پیش هک شده و حساب کاربری اعضای شان در اینترنت منتشر شد) گرفته شده اند. این اطلاعات فقط شامل آدرس ایمیل و رمزهای عبور افراد است و هیچ اطلاعات بیشتری از آنها، همچون آدرس شخص در دنیای واقعی وجود ندارد. در حدود 300 هزار حساب کاربری در این تحقیق وجود دارند و هر کدام نکته قابل توجهی در مورد انتخاب رمزعبور دارند.
سه تا از منابع اطلاعاتی اصلی مورد استفاده کاربران برای انتخاب رمزعبور را می توان موارد پایین معرفی کرد:
• نام افراد: شامل بیش از 26 هزار نام و نام خانوادگی رایج است.
• نام مکان: شامل نام منطقه، شهر، روستا و حتی کشور است که حدود 32 هزار حساب با این نام ها ثبت شده اند.
• لغت نامه انگلیسی: حدود 190 هزار کلمه در لغت نامه انگلیسی وجود دارد.
با کمک سه منبع ذکر شده در بالا می توان ریشه و منبع اصلی رمزهای عبور انتخابی را مشخص کرد. سه گزینه بالا که از منابع مختلف و البته فراگیر و جامع گرفته شده اند، به هیچ وجه کامل نیستند. این به این معنا است که احتمال دارد گزینه ها و عبارت های اصلی و کلیدی در میان این سه آیتم نباشند. در این صورت، بدون شک حدس هایی که در مورد رمزعبور می زنیم بسیار ضعیف تر از زمانی است که فهرست کامل و دقیقی از احتمالات را در اختیار داریم.
اما به هر حال، در اینجا قصد داریم این موضوع را کمی ساده تر فرض و احتمال وجود نقطه گذاری و نشانه های نوشتاری را رد کنم. البته این نشانه ها برای انتخاب رمزعبور بسیار مهم هستند و نقش سازنده ای دارند. اما در این تحقیق ما فرض را بر وجود نداشتن آنها می گذاریم. چون همان طور که قبلا هم گفتیم فقط حدود یک درصد از کاربران از این نشانه ها برای رمزعبور اکانت شان استفاده می کنند.
برای انتخاب رمزعبور از نام خودمان، به هر صورتی که باشد، همچون Troy یا troy یا حتی به صورت ترکیبی با نام خانوادگی همچون Troy Hunt یا troyhunt باز هم از منابع منطقی مشابه استفاده می کنیم. منبعی که حدود 45 درصد کاربران از آن برای نوشتن رمزعبور استفاده می کنند.
در این تحقیق، ابتدا به سراغ اطلاعات فردی کاربر همچون نام او می رویم. بعد از آن به اطلاعات کلی تر همچون محل زندگی و بعد لغت نامه انگلیسی خواهیم پرداخت تا مشخص کنیم این گزینه ها تا چه حد در ساخت رمزعبور نقش دارند.

نام افراد
تحقیق را با نام افراد شروع می کنیم زیرا نام، بارزترین مشخصه فردی هر کاربری به شمار می آید. البته نام مورد نظر الزاما نام خود کاربر و دارنده حساب نیست. ممکن است نام همسر، فرزند و حتی حیوانات خانگی او باشد. در ضمن این که این نام می تواند اسم کوچک، نام خانوادگی و حتی اسم مستعار باشد. پس مساله به آن سادگی که در ابتدا فرض می شد نیست.
اگر به نمودارهای زیر توجه کنید متوجه می شوید چه تعداد از افراد از نام - با در نظر گرفتن بخش ها و احتمالات مختلف آن – برای رمزعبور خود استفاده می کنند.

رمزهای عبوری که از نام خود کاربر ساخته شده اند

نمودار بالا نشان می دهد حدود 14 درصد از کاربران برای انتخاب رمزعبور اکانت شان از نام خود استفاده می کنند. البته این پایان ماجرا نیست. هستند کاربرانی که به نام خود عدد یا نماد و نشانه های مختلفی اضافه می کنند. به طور مثال troy21، دقیقا نام فرد نیست اما مشخص است ریشه آن از اسم کوچک وی گرفته شده است.
با این حساب باید بدانید که سه روش رایج در میان کاربران برای استفاده از نام در رمزعبور وجود دارد:
• استفاده از اعداد در کنار اسم
• استفاده از نشانه ها و علامت های نقطه گذاری
• وارونه کردن نام بدون استفاده از عدد و علامت
نمودار پایین، با احتساب سه احتمال ذکر شده در بالا شکل گرفته است.

رمزهای عبور برگرفته شده از نام کاربران

همان طور که در شکل بالا مشخص است، اضافه کردن اعداد به اسم، کاربرد بیشتری نسبت به دو گزینه دیگر دارد. جالب اینجا است که عدد یک رایج ترین رقم برای استفاده در رمزعبور حساب های کاربران است. اعداد دو رقمی و چهار رقمی همچون اعداد سال یا ماه تولد نیز استفاده فراوانی در شکل گرفتن رمزهای عبور دارند.
باز همان طور که در ابتدا اشاره کردیم، درصد استفاده از نشانه ها در رمزعبور بسیار پایین است. کمتر از یک درصد از کاربران از نقطه گذاری در نوشتن رمزعبور استفاده می کنند. برعکس و وارونه کردن نام نیز از آن جا که کمی گیج کننده و درهم است، یکی از روش های بسیار ساده برای امنیت بیشتر رمزعبور به حساب می آید.
البته، از آنجا که تعداد حروف نام های برعکس شده با نام اصلی کاربر مغایرتی ندارد، احتمال لو رفتن شان زیاد است.

منبع