بروت فورس (Brute Force) چیست ؛ بلای جان امنیت گذرواژه‌ها

«واقعاً هیجان‌انگیز است. به نوعی شبیه شکار است؛ اما نه شکار حیوانات؛ بلکه شکار هش‌ها. بهترین شکل بازی قایم موشک!»‌

این حرف‌های یک متخصص امنیت سایبری است که درجه امنیت گذرواژه‌ها را بررسی کرده و برای این کار از حمله بروت فورس (Brute Force) استفاده می‌کند. البته او هشدار می‌دهد که اگر از این نوع حمله برای اهداف غیرقانونی استفاده کنید، باید منتظر عواقب آن نیز باشید.

حمله Brute Force می‌تواند هم یکی از ساده‌ترین روش‌های کشف گذرواژه با میزان موفقیت بالا و هم روشی به نسبت پیچیده و در عین حال با موفقیت پایین باشد. برای آشنایی با این نوع حمله سایبری، ابزارهای مورداستفاده برای این حمله و روش‌های محافظت دربرابر آن با این مقاله همراه شوید.

حمله بروت فورس (brute force) که به‌عنوان حمله جستجوی فراگیر (Exhaustive Search) نیز شناخته می‌شود، یکی از رایج‌ترین حملات سایبری برای پیدا‌کردن گذرواژه‌های کاربران یا صفحه‌ای پنهان در وب‌سایت‌ها است.

این نوع حمله سایبری معادل این صحنه آشنا در فیلم‌ها است: درِ خانه‌ای قفل است و شخصیت دزد داستان دسته‌ای کلید دارد؛ اما نمی‌داند کدام کلید قفل در را باز می‌کند. وقت هم بسیار تنگ است و صاحبخانه هر لحظه ممکن است از راه برسد. برای همین شخصیت فیلم شروع به امتحان‌کردن تمام کلیدها می‌کند تا بالاخره یکی از آن‌ها قفل در را باز کند.

حمله بروت فورس اگرچه به حدی ساده به نظر می‌رسد که حتی هکرهای بسیار مبتدی هم می‌توانند از پس آن برآیند، ممکن است بسیار زمان‌بر باشد؛ مثلاً اگر وب‌سایتی که حمله بروت فورس علیه آن صورت گرفته از کلیدهای رمزنگاری برای پنهان کردن یا به اصطلاح «هش» (hash) کردن گذرواژه‌ها استفاده کرده باشد، کشف گذرواژه‌ها ازطریق این حمله بسته به نوع کلید رمزنگاری، می‌تواند تقریباً ناممکن باشد. بااین‌حال، اگر گذرواژه ضعیف باشد، یک حمله بروت فورس ساده می‌تواند در عرض چند ثانیه و بدون هیچ زحمتی آن را به درستی حدس بزند.

درست است که حملات بروت فورس بر پایه حدس و گمان است و حتی از آن به‌عنوان حمله غیرهوشمندانه نیز یاد می‌شود؛ اما به‌شدت رایج است چون در بسیاری از موارد با موفقیت انجام می‌شود. طبق گزارش شرکت ورایزون از یک حمله گسترده نقض داده، ۸۰ درصد افشای گذرواژه‌ها ازطریق حملات بروت فورس صورت گرفته بود.

حملات بروت فورس ساده:‌ در این مدل حمله، هکرها بدون استفاده از ابزارهای نرم‌افزاری اقدام به حدس و کشف گذرواژه‌های کاربران می‌کنند. این حمله تنها در مواردی که گذرواژه ضعیف و به‌راحتی قابل حدس باشد، موفق عمل می‌کند.

حملات دیکشنری (Dictionary attacks):‌ در این نوع حمله، هکر نام کاربری خاصی را هدف قرار داده و به کمک دیکشنری یا فهرستی از گذرواژه‌های رایج که در حملات نقض داده افشا شده است، شروع به امتحان‌کردن تک‌تک این گذرواژه‌ها کرده تا سرانجام به گذرواژه مربوط به نام کاربری مورد هدف، برسد؛ مثلاً اگر گذرواژه انتخابی شما 12345باشد، این گذرواژه تاکنون در ۲,۴۹۳,۳۹۰ حمله نقض داده کشف شده است و می‌توانید مطمئن باشید که در تمام دیکشنری‌های مورداستفاده در حملات بروت فورس وجود دارد.

حملات بروت فورس وارونه (Reverse brute force attacks):‌ این مدل حمله همان‌طورکه از اسمش مشخص است، برعکس حمله بروت فورس ساده است؛ به این معنی که هکر نام کاربری خاصی را هدف قرار نمی‌دهد، بلکه فهرستی از گذرواژه‌های رایج را شناسایی کرده و آن‌ها را با میلیون‌ها نام کاربری مطابقت می‌دهد تا در نهایت بتواند گذرواژه‌ها را با نام کاربری مربوط به آن‌ها جور کند.

گذرواژه‌های افشا شده را می‌توان به‌راحتی در دارک وب پیدا کرد. هکرها با حمله به وب‌سایت‌های مختلف، فهرستی از گذرواژه‌های ذخیره شده در سرورهای آن‌ها را سرقت کرده و سپس در دارک وب منتشر می‌کنند. دسته‌ای دیگر از هکرها نیز با استفاده از این گذرواژه‌ها حملات بروت فورس وارونه ترتیب می‌دهند تا با پیدا‌کردن نام کاربری مربوط به هر گذرواژه، به حساب کاربر دسترسی پیدا کنند.

حملات بروت فورس هیبریدی (Hybrid brute force attacks):‌ در این نوع حمله، مهاجمان برای دستیابی به گذرواژه‌ها سراغ ابزارهای پیشرفته‌ای می‌روند که می‌توانند در مدت زمان کوتاه‌تر و با استفاده از قدرت پردازنده‌های کامپیوتر، به‌طور هم‌زمان چندین ترکیب ممکن از گذرواژه‌های پیچیده و متشکل از حروف، اعداد و نمادها را امتحان کرده تا به گذرواژه درست برسند.

درحالیکه گذرواژه‌های ضعیف و رایج به‌راحتی توسط هکر یا اسکریپت و بات قابل حدس هستند، گذرواژه‌های قوی و پیچیده تنها به کمک ابزارهای مخصوص قابل کشف‌شدن هستند. به عبارت دیگر، حتی گذرواژه‌های قوی هم از حمله بروت فورس در امان نیستند.

دست‌کاری اعتبار (Credential Stuffing): اگر هکری بتواند در حمله بروت فورس به ترکیب درستی از نام کاربری و گذرواژه برای حساب کاربری در یک وب‌سایت دست پیدا کند، آنوقت این ترکیب را در چندین وب‌سایت دیگر نیز امتحان می‌کند. ازآنجاکه بسیاری از کاربران عادت دارند از یک ترکیب نام کاربری و گذرواژه برای لاگین در وب‌سایت‌های مختلف استفاده کنند، به طعمه آسانی برای این مدل حملات تبدیل می‌شوند.

حملات بروت فورس معمولاً برای دستیابی به اطلاعات شخصی کاربران ازجمله گذرواژه‌ها، نام‌های کاربری و پین‌ها صورت می‌گیرند و هکرها برای این حملات از اسکریپت، بات یا نرم‌افزارهای مخصوص استفاده می‌کنند. اهدافی که هکرها از انجام حمله بروت فورس دنبال می‌کنند، شامل موارد زیر می‌شود:‌

• سرقت اطلاعات شخصی مانند گذرواژه یا نام کاربری برای دسترسی به حساب‌های آنلاین و منابع شبکه
• جمع‌آوری اطلاعات شخصی کاربران برای فروش به شخص ثالث
• ظاهر‌شدن در نقش کاربر برای فرستادن لینک‌های فیشینگ و محتوای جعلی
• لطمه‌زدن به اعتبار سازمان با افشای اطلاعات کاربران آن‌ها
• هدایت دامنه‌ها به وب‌سایت‌هایی که محتوای مخرب دارند

البته حملات بروت فورس برای اهداف مفید نیز صورت می‌گیرند. بسیاری از متخصصان فناوری اطلاعات از این مدل حمله برای تست امنیت شبکه و به‌طور ویژه، قدرت روش رمزنگاری که در شبکه استفاده شده است، استفاده می‌کنند تا از حملات احتمالی هکرها در آینده جلوگیری کنند.

بزرگ‌ترین مزیت حمله بروت فورس (البته از دید هکر!) سادگی اجرای آن است و در صورت وجود زمان کافی و نبود استراتژی کاهش ریسک از طرف کاربر، همیشه موفقیت‌آمیز خواهد بود. هر سیستم مبتنی بر گذرواژه و کلید رمزنگاری می‌تواند با یک حمله بروت فورس هک شود. در واقع، مدت زمانی که طول می‌کشد با حمله بروت فورس به سیستم نفوذ کرد، معیاری کاربردی برای سنجش سطح امنیت سیستم است.

بااین‌حال، حملات بروت فورس بسیار کند هستند، چون باید هر ترکیب ممکن از کاراکترها را برای رسیدن به هدف خود امتحان کنند. این کندی با افزایش تعداد کاراکترهای گذرواژه بیشتر هم خواهد شد. به عبارت دیگر، هک‌کردن گذرواژه چهار کاراکتری ازطریق بروت فورس بیشتر از گذرواژه سه کاراکتری طول خواهد کشید و به همین ترتیب هک گذرواژه پنج کاراکتری از گذرواژه چهار کاراکتری سخت‌تر خواهد بود. وقتی تعداد کاراکترهای گذرواژه از حد مشخصی بگذرد، کشف تصادفی آن ازطریق حمله بروت تقریباً غیرواقع‌بینانه خواهد بود.

انتخاب گذرواژه‌های قوی و استفاده از کلیدهای رمزنگاری برای پنهان‌کردن گذرواژه‌ها از چشم هکرها، پیاده‌سازی حملات بروت فورس را دشوارتر کرده‌اند. بااین‌حال، در چنین مواردی هکرها برای رسیدن به اهداف خود دست به روش‌های دیگری می‌زنند؛ ازجمله مهندسی اجتماعی که در آن رفتار و عادات کاربر علیه او استفاده می‌شود یا حملات on-path که در آن هکر با قرار گرفتن در مسیر تبادل اطلاعات (مثلاً مرورگر و وب سرور) ،اطلاعات رد و بدل شده را ردگیری یا دست‌کاری می‌کند.

شاید مفهوم «حمله بروت فورس» تصویر هکری بسیار حرفه‌ای در حد و اندازه الیوت آلدرسون را در ذهن شما تداعی کرده باشد که با کاغذ و قلم و به کارگیری هوش سرشار خود، در حال حدس‌زدن ترکیب‌های مختلف گذرواژه‌ها است. اما واقعیت از این تصویر کسل کننده‌تر است، چون مهاجمان سایبری هم مثل سایر افراد سرشان شلوغ است و عمرشان هم برای حدس تمام ترکیبات ممکن یک گذرواژه ۸ کاراکتری کافی نیست. در عوض، این مهاجمان برای حمله به صفحه لاگین وب‌سایت یا اپلیکیشن از اسکریپت، بات یا نرم‌افزارهای مختلف برای هک‌کردن گذرواژه‌ها در زمانی بسیار کوتاه‌تر استفاده می‌کنند.

اما کشف گذرواژه و مطابقت دادن آن با نام کابری تازه قدم اول در حمله بروت فورس است. هدف اصلی هکرها در حمله بروت فورس دستیابی به داده‌های شخصی و حساس کاربر است که به کمک آن‌ها می‌تواند به شبکه سازمانی که کاربر عضو آن است، نفوذ کند.

اینکه حمله بروت فورس می‌تواند به چه اندازه آسان یا تقریباً غیرممکن باشد، به درجه سختی گذرواژه‌ها بستگی دارد. علت اینکه هیچ گذرواژه‌ای، حتی رمزعبور کارت‌های بانکی و پین‌ها، دو رقمی نیست به این خاطر است که برای دو رقم تنها چهار ترکیب ممکن وجود دارد و هکر می‌تواند در یک ثانیه گذرواژه را حدس بزند. در عوض، اگر گذرواژه‌ای مثلاً ۸ کاراکتری از ترکیبی از حروف انگلیسی کوچک و بزرگ و اعداد (جمعا ۶۲ کاراکتر) تشکیل شده باشد، می‌شود ۶۲ به توان ۸ یعنی ۲۱۸ تریلیون حالت ممکن!

با این حساب تصور اینکه حملات بروت فورس توسط افراد و به تنهایی صورت می‌گیرد، غیرواقع‌بینانه خواهد بود. عمر انسان‌ها برای امتحان‌کردن ۲۱۸ تریلیون حالت ممکن کافی نیست برای همین ابزارها به کمک می‌آیند. اگر شما باتی دراختیار داشته باشید که در هر ثانیه یک ترکیب را چک می‌کند، ۲۱۸ تریلیون ثانیه یا ۷ میلیون سال طول خواهد کشید تا یک گذرواژه ۸ کاراکتری کرک شود (با فرض اینکه جواب درست آخرین حدس باشد.) این درحالی است که یک ابرکامپیوتر به کمک نرم‌افزارهای مخصوص می‌تواند در هر ثانیه ۱۰ به توان ۹ حالت ممکن را بررسی کند و این یعنی کل ترکیب‌های ممکن تنها در ۲۲ ثانیه امتحان می‌شود!

برای اجرای نرم‌افزارهای بروت فورس به قدرت رایانشی بسیار زیادی نیاز است که البته هکرها برای آن چاره‌اندیشی کرده‌اند. ترکیب قدرت پردازشی CPU با واحد پردازش گرافیکی کامپیوتر می‌تواند فرایند کشف گذرواژه‌ها را با سرعتی تا حدود ۲۵۰ برابر بیشتر از CPU تنها انجام دهد. برای مثال، برای گذرواژه شش کاراکتری که شامل اعداد هم باشد، حدود ۲ میلیارد ترکیب ممکن وجود دارد. کرک‌کردن این گذرواژه با پردازنده‌ای قدرتمند که در هر ثانیه ۳۰ گذرواژه مختلف را امتحان می‌کند، بیشتر از دو سال طول خواهد کشید؛ اما با اضافه‌کردن قدرت پردازشی کارت گرافیکی قدرتمند به فرایند بروت فورس، همان کامپیوتر می‌تواند در هر ثانیه ۷،۱۰۰ گذرواژه را تست کند و کل این فرایند تنها ۳٫۵ روز طول خواهد کشید.

مهاجم سایبری برای حمله بروت فورس وارونه از نرم‌افزارهایی کمک می‌گیرد که با استفاده از قدرت رایانشی کامپیوتر به‌طور سیستماتیک تمام ترکیبات ممکن گذرواژ‌ه‌ها را چک کرده تا سرانجام گذرواژه صحیح شناسایی شود. ازآنجاکه امتحان‌کردن تمام ترکیبات ممکن برای رسیدن به گذرواژه صحیح توسط انسان زمان زیادی می‌برد ( برای گذرواژه ۸ کاراکتری یا بیشتر، میلیون‌ها سال زمان!)، صورت دادن حملات بروت فورس بدون استفاده از نرم‌افزارهای کرک گذرواژه ممکن نیست. در اینجا به معرفی برخی از محبوب‌ترین ابزارهایی می‌پردازیم که در حملات بروت فورس به کار می‌روند:

Aircrack-ng یکی از معروف‌ترین ابزارها برای حمله brute force است. این نرم‌افزار رایگان برای کرک‌کردن رمزعبور وای‌فای به کار می‌رود. روش حمله این ابزار ازطریق حمله دیکشنری علیه شبکه وای‌فای با استاندارد IEEE 802.11 است تا رمزعبور آن را حدس بزند. میزان موفقیت این ابزار به دیکشنری حاوی رمزعبور آن بستگی دارد. هرچه دیکشنری بهتر و به‌روزتر باشد، احتمال موفقیت آن در کرک‌کردن رمزعبور بیشتر خواهد بود.

نرم‌افزار Aircrack-ng برای تعیین میزان امنیت اتصالات وایرلس به کار می‌رود. این نرم‌افزار برای پلتفرم‌های ویندوز و لینوکس موجود است و می‌تواند روی iOS و اندروید نیز اجرا شود.

یکی دیگر از ابزارهای معروف برای حمله بروت فورس John the Ripper نام دارد. این ابزار رایگان ابتدا برای سیستم‌های یونیکس توسعه یافت؛ اما بعد نسخه‌هایی از آن برای پلتفرم‌های دیگر نظیر ویندوز، راس، بی اواس و OpenVMS نیز عرضه شد.

به کمک این ابزار می‌توان گذرواژه‌های ضعیف را شناسایی کرد یا آن‌ها را کرک کرد. این ابزار از چندین قابلیت کرک رمزعبور پشتیبانی می‌کند و می‌تواند به‌طور خودکار نوع هش استفاده شده در رمزعبور را تشخیص دهد و برای شکستن رمزنگاری آن اقدام کند. بدین‌ترتیب، حتی برخی از گذرواژه‌های رمزنگاری شده یا به اصلاح هش شده هم دربرابر این نرم‌افزار ایمن نیستند و می‌توان به کمک این نرم‌افزار میزان امنیت کلیدهای رمزنگاری را سنجید.

نرم‌افزار John the Ripper می‌تواند با امتحان‌کردن تمام ترکیب‌های ممکن حروف و اعداد، حملات بروت فورس ساده ترتیب دهد. اگر هم به فهرستی از گذرواژه‌ها دسترسی داشته باشید، می‌توان با این نرم‌افزار حملات بروت فورس از نوع دیکشنری انجام داد.

این نرم‌افزار با تولید جدول رنگین‌کمانی (Rainbow Table) که برای شکستن کدهای هش به کار می‌رود، حملات بروت فورس ترتیب می‌دهد. تفاوت این ابزار با دیگر نرم‌افزارهای بروت فورس در این است که جدول‌های رنگین کمانی از پیش محاسبه شده‌اند و زمان حمله را کاهش می‌دهند. سازمان‌های مختلفی این جدول‌های رنگین‌کمانی را برای استفاده تمام کاربران اینترنت منتشر کرده‌اند که می‌توان از آن‌ها در این نرم‌افزار استفاده کرد.

Rainbow Crack از تمام نسخه‌های جدید ویندوز و لینوکس پشتیبانی می‌کند.

این نرم‌افزار به خاطر توانایی‌اش در شکستن گذرواژه‌های ویندوز شهرت دارد. L0phtCrack از حملات بروت فورس ساده، دیکشنری، هیبریدی و جدول‌های رنگین‌کمانی استفاده می‌کند. مهم‌ترین قابلیت‌های این نرم‌افزار شامل زمانبندی، استخراج هش از نسخه‌های ۶۴ بیتی ویندوز، الگوریتم‌های چندپردازنده‌ای و نظارت و رمزگشایی شبکه می‌شود.

نرم‌افزار Ophcrack هم به‌خصوص برای شکستن گذرواژه‌های ویندوز به کار می‌رود. سیستم عامل ویندوز گذرواژه‌های کاربران خود را توسط الگوریتم LM هش می‌کند و آن‌ها را در فایلی به نام SAM نگه‌داری می‌کند. فایل SAM به گونه‌ای رمزنگاری شده که کاربر در حالت عادی نمی‌تواند آن را بخواند یا کپی کند؛ اما ابزار Ophcrack می‌تواند به کمک جدول‌های رنگین‌کمانی، هش LM را بشکند و رمزعبور را استخراج کند.

این نرم‌افزار به‌طور پیش‌فرض شامل جدول‌های رنگین‌کمانی است که می‌توانند رمزهای عبوری با کمتر از ۱۴ کاراکتر (متشکل از حروف و اعداد) را در چند دقیقه کرک کنند. البته می‌توان جدول‌های رنگین‌کمانی دیگری نیز برای کرک گذرواژه‌های طولانی‌تر دانلود کرد.

Ophcrack متن باز و رایگان است و برای سیستم عامل‌های ویندوز و لینوکس عرضه شده است.

نرم‌افزار Hashcat مدعی است که سریع‌ترین ابزار کرک گذرواژه مبتنی بر پردازنده است. این نرم‌افزار از الگوریتم‌های هش مختلفی ازجمله LM ،MD4 و MD5 پشتیبانی می‌کند و توانایی حملات بروت فورس ساده، ترکیبی، دیکشنری و چندین مدل حمله دیگر را دارد.

استفاده از این نرم‌افزارها به‌طور محلی یا برای تشخیص آسیب‌پذیری سیستم‌های سازمانی مشکلی ندارد و غیرقانونی نیست؛ اما استفاده از آن‌ها برای هک‌کردن گذرواژه‌های کاربران دیگر می‌تواند عواقب جدی در پی داشته باشد.

برای محافظت از گذرواژه‌ها دربرابر حملات بروت فورس روش‌های مختلفی وجود دارد که برخی از آن‌ها از طرف کاربر و برخی دیگر باید از طرف صاحب وب‌سایت رعایت شود. دراینجا به چند مورد از مهم‌ترین آن‌ها اشاره می‌کنیم:‌

۱. محدود‌کردن تعداد دفعات وارد‌کردن گذرواژه نادرست

یکی از راه‌های مؤثر جلوگیری از حملات بروت فورس محدود‌کردن تعداد دفعاتی است که مهاجم فرصت دارد ترکیب‌های مختلف را برای پیدا‌کردن گذرواژه درست امتحان کند.

در برخی وب‌سایت‌ها و سرویس‌ها چنانچه دفعات وارد‌کردن گذرواژه نادرست از حدی بیشتر شود، حساب کاربر مسدود شده و دسترسی به آن تا مدت معینی ممکن نخواهد بود. استفاده از این روش اگرچه جلوی حمله را نمی‌گیرد؛ اما در کار مهاجم وقفه ایجاد می‌کند.

از طرفی، اگر محدود‌کردن تلاش برای ورود به حساب آنلاین بدون فکر و برنامه‌ریزی دقیق انجام شود، ممکن است هزینه‌های اضافی به سازمان تحمیل کند. به‌همین‌دلیل، لازم است ابتدا بررسی شود که آیا این روش برای حفاظت از زیرساخت‌های شرکت روش مناسبی است یا خیر.

۲. استفاده از گذرواژه‌های قوی

یکی از بهترین و موثرترین روش‌ها برای جلوگیری از حملات بروت فورس دیکشنری پرهیز از استفاده از کلماتی است که می‌توان آن‌ها را در فرهنگ لغت پیدا کرد. کاربران همچنین باید از استفاده از اطلاعات شخصی خود ازجمله شماره حساب بانکی برای انتخاب گذرواژه در سرویس‌های وبی که از کلیدهای رمزنگاری قوی استفاده نمی‌کنند، خودداری کنند.

۳. روش‌های جایگزین گذرواژه‌های سنتی

روش دیگری برای کاهش حملات بروت فورس،‌ خودداری از استفاده از رمزهای عبور سنتی است. در عوض می‌توانید از توکن یا رمزهای عبور یک‌بارمصرف استفاده کنید. بدین‌ترتیب، برای دسترسی به وب‌سایت هر بار رمزعبور منحصر‌به‌فردی برای شما ایجاد می‌شود و از حملات بروت فورس جلوگیری می‌شود.

۴. احراز هویت چندعاملی

استفاده از توکن نوعی احراز هویت دوعاملی یا 2FA است. این اقدام امنیتی به‌طور رایج در تراکنش‌های بانکی استفاده می‌شود. در این روش علاوه بر استفاده از روش‌های رایج لاگین، سطح امنیتی دیگری نیز هنگام تراکنش اضافه می‌شود؛ مثلاً کدی ازطریق SMS به گوشی هوشمند کاربر فرستاده می‌شود یا اپلیکیشن‌های احرازهویت دوعاملی نظیر Google Authenticator به‌طور خودکار رمزهای عبور یک بار مصرف تولید می‌کنند. بدین‌ترتیب حتی اگر هکر به گذرواژه کاربر دسترسی داشته باشد، برای ورود نیازمند وارد‌کردن کدی است که خوشبختانه به آن دسترسی ندارد.

۵. نمایش کپچا (Captcha)

بعد از چندین تلاش ناموفق برای لاگین، سیستم‌های احراز هویت جلوی حمله بروت فورس بات‌ها را می‌گیرد. کپچا انواع مختلفی دارد، ازجمله تایپ متنی که در تصویر نمایش داده شده، زدن تیک گزینه I'm not a robot (من ربات نیستم) یا تشخیص اشیا در تصاویر. می‌توان قابلیت کپچا را برای اولین تلاش ورود یا بعد از اولین تلاش ناموفق فعال کرد.

شاید موثرترین عامل برای محافظت دربرابر حملات brute force انتخاب گذرواژه‌ای قوی است؛ اما گذرواژه باید چه ویژگی‌هایی داشته باشد تا احتمال کشف آن ازطریق حملات بروت فورس کاهش یابد؟ در اینجا به چند نکته برای ایجاد پسورد قوی اشاره می‌کنیم:

گذرواژه‌های طولانی با انواع کاراکترهای متنوع: در صورت امکان، بهتر است گذرواژه‌های ۱۰ کاراکتری انتخاب کنید که شامل نمادها یا اعداد باشند. چنین گذرواژه‌ای ۱۷۱٫۳ کوینتیلیون، یعنی ۱٫۷۱ در ۱۰۲۰ ترکیب ممکن، ایجاد می‌کند. با استفاده از GPUای که ۱۰٫۳ میلیارد هش را در ثانیه امتحان می‌کند، شکستن این رمزعبور تقریباً ۵۲۶ سال طول می‌کشد. البته یک ابرکامپیوتر می‌تواند این گذرواژه را ظرف چند هفته کرک کند؛ به‌همین‌دلیل، اضافه‌کردن کاراکترهای بیشتر کشف رمزعبور شما را دشوارتر می‌کند.

استفاده از عبارات عبور (passphrase) پیچیده: ازآنجاکه تمام وب‌سایت‌ها از گذرواژه‌های بسیار طولانی پشتیبانی نمی‌کنند یا به‌خاطرسپردن آن‌ها دشوار است، می‌توان از عبارات عبور به‌جای گذرواژه تک‌کلمه‌ای طولانی استفاده کنید. حملات دیکشنری به‌خصوص برای کشف گذرواژه‌های تک‌کلمه‌ای طراحی شده‌اند و تقریباً بدون هیچ زحمتی این مدل گذرواژه‌ها را کرک می‌کنند. به‌همین‌دلیل، برای افزایش امنیت سایبری لازم است عبارات عبور را که از چندین کلمه تشکیل شده‌اند با کاراکترهای اضافی و نمادها ترکیب کرد.

برای انتخاب عبارت عبور بهتر است از ذهن خود کمک نگیرید، چون ذهن انسان قادر نیست به کلماتی فکر کند که از الگوی طبیعی زبان پیروی نمی‌کنند و ابزارهای بروت فورس به‌راحتی قادرند کلمات این چنینی را حدس بزنند. به‌همین‌دلیل،، استفاده از روش Diceware پیشنهاد می‌شود. دایس‌ور فهرستی از ۷،۷۷۶ کلمه انگلیسی است که در کنار هر کلمه یک عدد ۵ رقمی از یک تا شش قرار دارد. حالا با پنج بار تاس ریختن، ترکیب عددی که بدست می‌آید را یادداشت کرده و کلمه مربوط به آن را از فهرست دایس‌ور انتخاب کنید. این کار را تا اندازه‌ای که می‌خواهید عبارت عبورتان طولانی شود، تکرار کنید تا به عبارتی برسید که کاملاً رندوم است و به اصطلاح، آنتروپی یا همان آشفتگی بالایی دارد.

اگر عبارت انتخابی شما از پنج کلمه تشکیل شده باشد، ۷،۷۷۶۵ ترکیب ممکن برای آن وجود دارد و برای حدس آن به ۱۴ کوینتیلیون (۱۴ با ۱۸ صفر) بار تلاش نیاز است. طبق هشدار ۲۰۱۳ ادوارد اسنودن، حدس‌زدن عبارت عبور هفت کلمه‌ای به کمک ابزاری با قابلیت یک تریلیون حدس در ثانیه، ۲۷ میلیون سال طول خواهد کشید.

خوبی استفاده از عبارت عبور به‌جای گذرواژه طولانی تک کلمه‌ای آسانی به‌خاطرسپردن آن است. به‌عنوان مثال، حفظ‌کردن «bolt vat frisky fob land hazy rigid» از «d07;oj7MgLz’%8» آسان‌تر، اما کرک‌کردن آن ازطریق حمله بروت فورس به‌شدت دشوار و زمان‌بر است.

تعیین قوانین برای ساخت گذرواژه: بهترین گذرواژه‌ها آن‌هایی هستند که می‌توانید به‌راحتی خاطر بسپارید؛ اما برای کسی که آن را می‌خواند کاملاً بی‌معنی باشد. هنگام ایجاد عبارت عبور، می‌توانید حروف صدادار کلمه را حذف کنید یا تنها دو حرف اول کلمه را به کار ببرید؛ مثلاً به‌جای wood از wd استفاده کنید.

خودداری از استفاده از گذرواژه‌های رایج: حملات بروت فورس براساس فهرستی از گذرواژه‌های رایج و افشا شده در حملات نقض داده انجام می‌شود. اگر گذرواژه انتخابی شما رایج باشد، حتی اگر از ۸ کاراکتر تشکیل شده باشد، به احتمال بسیار زیاد در این فهرست وجود دارد و در عرض چند ثانیه قابل کرک‌شدن است.

استفاده از گذرواژه‌های منحصر‌به‌فرد برای هر وب‌سایت: برای اینکه قربانی حملات دست‌کاری اعتبار (Credential Stuffing) نشوید، باید حواستان باشد که از یک گذرواژه بیشتر از یک بار استفاده نکنید. برای افزایش امنیت حتی بهتر است نام کاربری خود را نیز برای هر وب‌سایت تغییر بدهید. بدین‌ترتیب اگر یکی از حساب‌های شما هک شد، حساب‌های دیگر امن خواهند بود.

استفاده از مدیریت گذرواژه: اپلیکیشن‌های مدیریت رمزعبور به‌طور خودکار رمزهای عبور پیچیده ایجاد می‌کنند و اطلاعات لاگین کاربر را در وب‌سایت‌های مختلف ذخیره می‌کنند. بدین‌ترتیب، با ورود به اپلیکیشن مدیریت رمزعبور می‌توانید به تمام حساب‌های آنلاین خود دسترسی داشته باشید. این اپلیکیشن‌ها به شما امکان می‌دهند رمزهای عبور طولانی و بسیار پیچیده ایجاد کنید بدون اینکه از بابت یادآوری آن‌ها نگرانی داشته باشید.

اگر می‌خواهید بدانید گذرواژه انتخابی شما چقدر قوی است و چه مدت زمان لازم است تا ابزار حملات بروت فورس آن را کرک کند، می‌توانید از سایت بررسی گذرواژه کسپرسکی استفاده کنید. برای مثال، طبق محاسبات این وب‌سایت رمزعبور هشت کاراکتری با ترکیبی از حروف کوچک و بزرگ، اعداد و نماد، ۱۲ روز طول می‌کشد تا توسط یک کامپیوتر معمولی شکسته شود.

بااین‌حال، این نکته را هم در نظر بگیرید که بسیاری از سرویس‌ها به‌طور واقعی قادر به تشخیص درجه سختی گذرواژه نیستند؛ مثلاً وب‌سایتی که اینتل برای بررسی درجه امنیت رمزعبور کاربران چندیدن سال پیش راه اندازی کرده بود (و البته دیگر دردسترس نیست)، تخمین می‌زد که شکستن رمزعبور «BandGeek2014» شش سال طول خواهد کشید، درحالیکه در واقعیت هکرها توانستند این رمزعبور را در همان ثانیه‌های اول کرک کنند. به همین ترتیب، وب‌سایت کسپرسکی مدت زمان کرک‌شدن این رمزعبور را سه ماه تخمین زده است.

یکی از روش‌های به‌شدت توصیه شده هنگام تعیین گذرواژه استفاده از گذرواژه‌های منحصر‌به‌فرد برای هر وب‌سایت است؛ مثلاً اگر گذرواژه شما در حمله نقض داده فاش شده باشد و در دارک وب دردسترس هکرها قرار گرفته شده باشد، این گذرواژه دیگر به هیچ عنوان امن نیست و در عرض چند ثانیه توسط نرم‌افزارهای بروت فورس کرک می‌شود.

یکی از روش‌هایی که می‌توانید بررسی کنید آیا گذرواژه انتخابی شما در حملات نقض داده فاش شده است یا خیر، استفاده از وب‌سایت Have I Been Pwned است؛ مثلاً این وب‌سایت با بررسی 123456 به شما می‌گوید که این رمزعبور ۲۴,۲۳۰,۵۷۷ بار در حملات نقض داده فاش شده است و اصلاً امن نیست. اگر یکی از گذرواژه‌های شما فاش شده است، در اولین فرصت آن را تغییر دهید.

شما کاربران زومیت چقدر از امنیت گذرواژه‌های خود مطمئن هستید؟ آیا تاکنون حساب‌های آنلاین شما با حمله بروت فورس مواجه است؟