ناکارآمدی تایید امنیت گذرواژه در سایت ها

تحقیقات نشان می‌دهند معیارهایی که برای سنجش قدرت گذرواژه‌ کاربران در اکثر وبسایت‌ها و سرویس‌ها استفاده می‌شود، عموما ناکارآمد هستند. این مسئله منجر به تایید گذرواژه‌های بسیار ضعیف و قابل حدس می‌گردد که امنیت حساب کاربران را تحت تاثیر قرار خواهد داد.

تائید گذرواژه‌های بسیار ضعیف

امروزه اکثر سایت‌ها و سرویس‌های آنلاین از ابزارهایی برای سنجش قدرت و امنیت گذرواژه استفاده می‌کنند. این ابزارها معمولا یک نوار رنگی در کنار محل نوشتن گذرواژه به نمایش می‌گذارند تا زمان وارد کردن رمز عبور، میزان قدرتمند بودن و مناسب بودن آنرا با رنگ‌های مختلف و نوشتن میزان پیچیدگی گذرواژه (ضعیف، متوسط، مناسب و …) نشان دهند.

حال تحقیقاتی که روی این ابزارها انجام شده حاکی از آن است که اکثر آنها در شناسایی گذرواژه‌های “ضعیف و بسیار قابل حدس” موفق نیستند.

در واقع بسیاری از متخصصان امنیت، این ابزارها را کنترلی بی فایده می‌دانند که فقط توهمی از مناسب بودن گذرواژه انتخابی به کاربران می‌دهند. یکی از محققان در این زمینه، با بررسی پنج مورد از شناخته‌شده‌ترین معیارهای سنجش گذرواژه، به این نتیجه رسید که تمامی آنها در تشخیص برخی از بدترین گذرواژه‌های انتخاب شده توسط کاربران شکست می‌خورند. در نتیجه، نمی‌توان به امتیازی که به رمز عبور وارد شده داده می‌شود اعتماد کرد.

در این بررسی، از ده هزار گذروژه بسیار متداول استفاده شد و انتخاب از فهرست بدترین و ضعیف‌ترین گذرواژه‌ها با ویژگی‌هایی بود که انتظار می‌رفت برای ابزارهای سنجش قدرت گذرواژه قابل تشخیص باشد. مبنای استدلال در این تحقیق این بود که ابزارهای سنجش، به پیچیدگی رمز عبور امتیاز می‌دهند ولی در تشخیص ترکیب‌هایی که قابل حدس بوده و یا بسیار متداول هستند، ناتوانند.

برای اثبات این ادعا، گذرواژه‌های متداول و بسیار قابل حدسی از فهرست بدترین گذرواژه‌های ضعیف و پر تکرار کاربران انتخاب و مورد سنجش قرار گرفت. نتیجه این بود که بسیاری از ابزارهای فوق، رمزهایی چون abc123، trustno1، iloveyou! را قابل قبول تشخیص دادند.

این مسئله، با یادآوری این نکته که هنوز راه‌کار مشخصی برای مقابله با کشف آفلاین گذرواژه‌ها وجود ندارد، بسیار نگران کننده است.

ابزار zxcvbn همچنان تنها ابزار قدرتمند و کارآمد

در میان همه ابزارهایی که در سایت‌ها و سرویس‌های آنلاین استفاده می‌شود تنها تعداد کمی هستند که همچنان قابل اعتماد هستند. محققین با اجرای آزمون خود روی بهترین ابزار سنجش گذرواژه که به عنوان zxcvbn  شناخته شده است و توسط وردپرس و Dropbox استفاده می‌شود اقدام به بررسی کیفت گذرواژه‌های مورد تائید این ابزار نمودند. خوشبختانه، zxcvbn گذرواژه‌های فوق را بسیار ضعیف تشخیص داد؛ در حالی که 5 سنجش قبلی نتوانسته بودند آنها را تشخیص دهند.

لزوم در نظر گرفتن ویژگی طول گذرواژه در کنار پیچیدگی آن

محققان Microsoft در مقاله‌ای در سال 2014 اعلام کردند که سنجش‎های قدرت گذرواژه باید علاوه بر تمام دستورالعمل‌های رایج، ترکیب کاراکترها، کاراکترهای ویژه و طول گذرواژه را در کنار هم بررسی کنند. از طرفی تحقیقاتی که حاکی از شکستن گذرواژه‌های 8 حرفی در زمان بسیار کوتاه است، تاکیدی بر لزوم انتخاب گذرواژه‌های طولانی‌تر برای حساب‌های کاربری مهم و حساس است.

به عقیده کارشناسان امنیتی، بهترین تجربه در زمینه‌ی امنیت حساب‌های کاربری این است که برای سایت‌های کم خطر و حساب‌های غیر ضروری، از یک گذرواژه ساده استفاده کرد و برای ایجاد و حفظ گذرواژه‌های واقعا قدرتمند برای سایت‌های مهمتر از راهکارهای مناسبی استفاده کرد. در مقاله راهکارهای انتخاب گذرواژه مناسب و نگهداری از آن راهکارهای بسیار ساده و قابل اجرایی برای ایجاد گذرواژه مناسب ارائه شده است.

فعال کردن احراز هویت دوعامله در صورت پشتیبانی

علاوه بر انتخاب گذرواژه‌های مناسب، یکی دیگر از راه‌های امن‌تر کردن حساب کاربری، فعال کردن احراز هویت دو مرحله‌ای در صورت پشتیبانی توسط آن وب‌سایت است. درصورتی که به هر دلیل گذرواژه شما فاش شود، هکرها بدون دسترسی به عامل دیگری که شما تعریف کرده‌اید، همچنان امکان دسترسی به حساب شما را ندارند و این مسئله امنیت حساب را ارتقا خواهد داد.