قراصنة إسبان صغار اخترعوا برنامج لكسر كلمات المرور وفقًا للإرشادات التي يتم إنشاء أكثرها شيوعًا
خايمي سانشيز وبابلو كارو هما قراصنة إسبان صغار. إنهم يعملون في شركة التليفونات الاسبانية الضخمة Telefónica ، كارويعمل في مجموعة مستقلة تحاول فرض وتعزيز أمن المنظمة. قدم كلاهما ورقة بعنوان I Know Your P4 $$ w0rd (وإذا لم أفعل ، فسأحزرها …).
ترجمته إلى اللغة الإسبانية مقتضبة وقوية: أعرف ما هي كلمة مرورك ، وإذا لم يكن الأمر كذلك ، فسأخمنها. لقد فعلوا ذلك في مؤتمر الأمن السيبراني الذي نظمه هذا الشهر فريق الاستجابة لحوادث أمن المعلومات التابع للمركز الوطني للتشفير ، CCN-CERT ، وهو كيان يعتمد على مركز القومي للأبحاث CNI.
في قاعة مزدحمة في دور السينما كينيبوليس في مدريد ، قدم سانشيز وكارو العديد من التفاصيل عن اختراعهم الذي أضاءت اخر عام 2019 ، وهو برنامج كاوناشي Kaonashi. إنها أداة تجمع بين القواميس – مستودعات الكلمات أو العبارات المحوسبة مع علامات التجزئة الخاصة بها ، والرموز المشفرة – ، وتسرب الملايين من كلمات المرور الحقيقية والذكاء الجماعي الناتج عن أدوات مفتوحة المصدر.
تم جمع كل كلمات المرور من الشركات التي شهدت خرقًا لأمنها ، مثل Uber أو AOL أو Bank of America أو eBay أو Ashley Madison أو Tumblr أو PlayStation Network.
عند إنشاء كلمة مرور ، يتبع جميع المستخدمين إرشادات محددة. إرشادات قد تختلف وفقًا للغة التي يستخدمونها – ليس من المنطقي التحدث باللغة الإسبانية او التحدث باللغة الإنجليزية أو الصينية ، حيث تلعب الكتابة شكل اخر .
وهكذا ، اكتشف سانشيز وكارو من خلال تحليل لجميع المفاتيح أن متوسط طولها يتراوح بين 7 و 9 أحرف ، وأن هناك اختلافات حتى بين كلمات المرور التي صممتها النساء وتلك التي صممها الرجال: عادة ما يستخدم الأول أسماء الأصدقاء المقربين بينما النداء الثاني للهوايات.
بالإضافة إلى ذلك ، عندما تحمل كلمة المرور رمزًا ، فإن أكثر الرموز شيوعًا للعثور عليها هي رمز الدولار ($) أو اللوحة (#). إذا كان هناك عدة أرقام في الكود ، فهذه الأرقام عادة ما تكون تدريجية – من رقم واحد إلى اثنين ، من رقمين إلى ثلاثة ، إلخ.
اطلق سانشيز وكارو علي برنامجهم أسم كاوناشي Kaonashi ، باعتبارها الشخصية الشعبية لرحلة Chihiro’s Journey ، وهي روح تحب الأكل وفقا لغذايها أكلها تنمو وتنمو. التشابه هو أن جهاز الكمبيوتر Kaonashi يتغذى على كلمات المرور والتجزئة المصفاة ، والرموز الأبجدية الرقمية الناتجة عن تشفير كلمة المرور – أو من أي نص مسجل.
من الواضح ، بالإضافة إلى كلمات المرور الإسبانية ، قام Kaonashi أيضًا بالوصول إلى كلمات المرور من المستخدمين الروس أو الصينيين ، ولهذا السبب وجد المتخصصان الإسبان فضوليين آخرين. على سبيل المثال ، في العملاق الآسيوي أحد أكثر المفاتيح شيوعًا هو هذا التسلسل العددي: 5201314. والسبب هو أنه إذا قرأت كل رقم باللغة الصينية ، فإن التعبير الناتج مشابه صوتيًا للقول في اللغة الآسيوية “سأحبك إلى الأبد” .
لماذا يجب عليك استخدام مسافات في كلمات المرور الخاصة بك ، وفقًا لعدة خبراء في الأمن السيبراني
من الأنماط التي يتبعها المستخدمون عند إنشاء كلمة مرور هي سلسلة المفاتيح. وبالتالي ، في Kaonashi 14m ، الأداة التي تحتوي على أكثر من 14 مليون مفتاح ، فإن بعض كلمات المرور الأكثر شيوعًا هي 121212 أو qwertyuiop. السبب واضح: فهي مفاتيح قريبة من بعضها البعض ، وتقدمية. من السهل أن نتذكر ، ولكن غير آمنة تماما.
الهندسة الاجتماعية – استخدام كمدن رئيسية زرناها أو اسم العائلة أو الأصدقاء المقربين – أو قواعد التحويل – تحويل كلمة الموز إلى b4n4n4! – هي إرشادات أخرى يتبعها المستخدمون عند وضع مفاتيحهم من الوصول.
القراصنة ليس مجرما. المتسللون الأخلاقيون هم أولئك الذين يسعون إلى اكتشاف الثغرات الأمنية في المؤسسات والتطبيقات بهدف الحفاظ على حراسة بيانات المستخدم. بدلا من ذلك ، التكسير هو أن القراصنة مع المصالح غير المشروعة. مثل الوصول إلى كلمة مرور ، إما حضور الأنماط الموضحة أعلاه أو حتى عن طريق القوة الغاشمة.
في عرضه التقديمي ، يكثر سانشيز وكارو أنه بالإسبانية هناك أكثر من 60 تريليون مجموعة ممكنة تجمع بين شخصيات مختلفة. أدخل الأحرف الكبيرة والأحرف الصغيرة والأرقام وعلامات التدقيق الإملائي ، إلخ. على سبيل المثال ، “لاقتحام” كلمة مرور تم إنشاؤها تعسفيًا باستخدام برنامج كمبيوتر يبلغ طوله 10 أحرف ، يمكنك محاولة الهجوم باستخدام القوة الغاشمة.
بمعنى آخر ، قد يجبر الكمبيوتر على تجربة كل واحدة من تلك المجموعات المحتملة. المشكلة هي أنه قبل كلمة مرور بهذا الحجم ، قد يستغرق الأمر ما يصل إلى خمس سنوات للقيام بذلك ، وحوالي 350،000 دولار لاستئجار التكنولوجيا السحابية.
من بين 14 مليون كلمة مرور تمكنت Kaonashi من الوصول إليها ، أوضح سانشيز وكارو في عرضهما التقديمي أنهما بدأ في تجربة المليون الأول. لقد فعلوا ذلك أيضًا من خلال تطبيق شبكة عصبية اصطناعية اقترحت العديد من التحولات التي تواجه كلمات المرور. وبالتالي ، يمكن للمتطفلين “اللعب” لإنشاء من مفاتيح جديدة حتى مصطلحات جديدة مشابهة للكلمات الإسبانية ، مثل campilleto أو parbondalista.
وهكذا ، مع أول مليون كلمة مرور يمتلكها Kaonashi ، اقترحوا على البرنامج إنشاء مفاتيح من تلك التي تم تحليلها. اقترح البرنامج أكثر من 100000 مفتاح ، وتزامن 15000 على الأقل مع كلمات المرور الحقيقية.
كيفية جعل كلمات المرور أكثر أمانًا
إذا سرقت المفرقعات المفاتيح عن طريق الهندسة الاجتماعية أو أنماط التحويل ، فإن الشيء الأكثر وضوحًا هو إنشاء مفاتيح مكونة من عدة كلمات لا علاقة لها بالمستخدم نفسه.
لا توجد أسماء أو مدن أو أشخاص أو حيوانات أليفة أو تقويم فلكي أو تواريخ أساسية. أقصى تعسف.
كما لو لم يكن ذلك كافيًا ، يمكنك دائمًا الانتقال إلى طرف ثالث ليكون برنامج الكمبيوتر الذي يقترح كلمات مرور تعسفية مكونة من رموز أبجدية رقمية.
من التوصيات الأخرى الشائعة عندما يتعلق الأمر بحماية أمان حسابات المستخدم استخدام كلمات مرور مختلفة في كل خدمة ، بحيث إذا تم اختراقها ، فلن يتم اختراقها جميعًا.