چقدر طول میکشد پسورد شما هک شود ؟
و چطور قدرتمند میشود ؟
شوخی رایجی بین دوستان در شبکههای اجتماعی هست که به هم وصیت میکنند که اگر من مردم فلان درایو هاردم را فرمت کنید. یا کلا هاردم را بسوزانید قبل از این که به دست خانوادهام برسد. یا ایمیلهایم را کلا پاک کنید.
در پس این شوخی یک حقیقت بزرگ نهفته است! این که همه، اطلاعاتی داریم که به هر دلیلی ( مثلا خیلی آبروبری است! ) یا از شوخی گذشته مربوط به اطلاعات مالی و کاری ماست که دوست نداریم در هیچ حالتی کسی به آنها دسترسی داشته باشد.
معمولا چیزی که از دسترس دیگران به این اطلاعات جلوگیری میکند پسوردهایی است که ما از آنها استفاده میکنیم. پسوردهایی که بعضی از ما اصلا به قدرت و کیفیت آنها اهمیت نمیدهیم!
امروز باز هم به یکی از سوالات شما پاسخ میدهیم. این که یک پسورد قوی چه ویژگیهایی دارد و چطور میشود فهمید چقدر طول میکشد پسورد ما هک بشود؟
پیش زمینه : چطور بفهمیم چقدر طول میکشد پسورد ما هک بشود؟
برای اینکار باید بدانیم هکر از چه سیستمی استفاده میکند. این که بخواهد با سیستم شما کار کند یا با یک ابرکامپیوتر مسلما نتیجه متفاوت خواهد بود.
نکته دوم این است که با چه سرعتی به اینترنت متصل است. اگر بخواهد از ایران شما را هک کند و سرعتی مشابه سرعت اینترنت من در اختیارش باشد باید خیلی نگران باشید!!! خودش که نه، 27 نسل بعدش شاید بتواند یک رمز عبور ساده شما را کشف کند!
نکته دیگر پیچیدگی پسورد شماست. چون دو عامل بالا غیرقابل تشخیص است دقیقا نمیشود گفت چقدر طول میکشد پسورد شما هک شود. ما برای اینکه بفهمیم چقدر یک پسورد زمان میبرد تا شکسته شود از howsecureismypassword.net استفاده میکنیم. اعدادی که در ادامه آورده میشود همه با این سایت به دست آمده است.
نکته : زیاد روی اعداد دقیق نشوید و به بزرگی یا کوچکیش توجه کنید. 6 ساعت یعنی خیلی کم. یا مثلا 6 میلیارد سال یعنی خیلی زیاد. نگویید چرا شد 6 میلیارد سال و چرا 5 میلیارد و نهصد و چهل و هشت میلیون نشد لطفا :)
هکرها یک ابزارهایی دارند ( حتی شما هم میتوانید کلی از آنها را رایگان توی اینترنت پیدا کنید! ) که میگردند و کلی پسورد مختلف را امتحان میکنند تا بتوانند پسورد شما را حدس بزنند. پسوردهای قوی باید طوری باشد که راحت توسط آنها حدس زده نشود. چطور؟
طولانی باشد
این اولین قدم است. بگذارید یک مثالی برای شما بزنم و با مثال پیش برویم.
فرض کنید شما یک پسورد دارید به شکل a . این پسورد تقریبا به محض شروع به کار کشف میشود. حتی اگر هشت تا aaaaaaaa کنار هم باشد باز هم به سرعت کشف میشود. ولی اگر 9 تا بشود آن وقت 6 ساعت زمان نیاز دارد تا کشف بشود. اگر 10 تا بشود 6 روز و 11 تا a کنار هم قرار بگیرد 169 روز!
میبینید؟ حتی پسورد مسخرهای مثل چندتا a کنار هم اگر تعداد a ها زیاد بشود به مرور سخت میشود. یک پسورد معمولی ( نه اینکه همهاش a باشد! ) با 8 کاراکتر 4 روز حداکثر زمان نیاز دارد. یک کاراکتر اضافه کنید میشود 4 ماه!
توصیه من این است حداقل 10 کاراکتر داشته باشد. ولی این خیلی تنبلانه است. به حرف من گوش ندهید و حداقل 16 کاراکتر در نظر بگیرید :)
ترکیبی از حروف کوچک و بزرگ است
ما یک پسورد به شکل aaaaaaaaaa داریم ( 10 تا a ) که شکستنش 6 روز زمان میبرد. اگر فقط یکی از حروفش را با یک A بزرگ عوض کنیم ( Aaaaaaaaaa ) فکر میکنید 6 روز چقدر افزایش پیدا میکنید؟ میشود 10 روز؟ یک ماه؟ 6 ماه؟ فقط با یک همچین تغییر کوچکی 6 روز میشود 18 سال!
ترکیبی از حروف کوچک و بزرگ و اعداد است
آزمایش قبلی را با یک عدد ادامه میدهیم. پسورد Aaaaaaaaaa را به Aaaaaaaaa1 تغییر میدهیم که یک ذره فقط پیچیدهترش کردیم. اما برای هکرها این یک فاجعه است چون به جای 18 سال باید 106 سال وقت بگذارند!!
ترکیبی از حروف کوچک و بزرگ و اعداد و نشانههاست
دارد کمکم جالب میشود. به جای Aaaaaaaaa1 پسورد Aaaaaaaa#1 را بررسی میکنیم. یک کاراکتر # برخلاف چیزی که به نظر میرسد خیلی تاثیر عمیقی میگذارد. هکر محترم حالا به جای 106 سال باید 928 سال روی پسورد شما کار کند.
تا حالا شما از یک پسورد aaaaaaaaa که توی 6 ساعت هک میشد به یک پسوردی رسیدید که 928 سال زمان میبرد تا هک بشود. میخواهید شگفت زده بشوید؟ اگر به آخر پسورد Aaaaaaaa#1 یک a دیگر اضافه کنیم این عدد میشود 71 هزار سال!!!
فکر کنم الان دیگر تاثیر طولانی بودن و پیچیده بودن را کاملا درک کرده باشید. توجه داشته باشید این پسوردها واقعا مسخره هستند ولی میبینید همین پسوردهای مسخره وقتی ترکیبی از حروف کوچک + بزرگ + اعداد + نشانهها میشوند چقدر بهتر میشوند.
رمز عبور نباید ارتباطی با شما داشته باشد
برای انتخاب رمز عبور فکر کنید توجه داشته باشید که افرادی جسارتا فوضول اولین کاری که میکنند این است که میگردند اطلاعات شخصی خاصی از شما پیدا کنند تا تست کنند. برای همین مثلا اگر شماره موبایلتان را گذاشتید هر تعداد رقم که باشد باز به درد نمیخورد.
مثلا میگوید رمز عبورتان را اسم فرزندتان « صفرعلی » بگذارید. از خودتان بپرسید کسی میتواند ارتباطی بین من و کلمه صفرعلی پیدا کند؟ طبیعتا در این مورد جواب مثبت است پس صفرعلی پسورد خوبی نیست. اما مثلا بعید است s&475E(2!dq را کسی بتواند به شما مرتبط کند.
رمز عبور نباید توی دیکشنری باشد.
چند وقت قبل 25 پسورد ضعیف سال 2011 را اعلام کردند. هکرها اول از همه این پسوردهای پرکاربرد را به نرمافزارها میدهند تا بررسی کنید. اگر چیزی نبود توی کلمات معنادار میگردند. مثلا کلمات دیکشنریها! انشا که نیست. هر چی چرت و پرتتر بهتر :)
دیگر چه؟
راستش را بخواهید موارد بالا موارد خیلی مهمتری هستند. اما اگر بخواهید پسوردهای حرفهای و خیلی قدرتمندی انتخاب کنید نیاز است چیزهای بیشتری را رعایت کنید.
برای مثال پسورد شما نباید ساختار تکرار پذیر داشته باشد. مثلا iraniraniraniran یک ساختار تکرارپذیر دارد. یا مثلا یک کلمه که بعدش عدد باشد مثل iran658 یک الگوی درست نیست. ولی این ریزه کاریها بحث را خیلی به درازا میبرد و فعلا همین موارد بالا را برای شروع رعایت کنید.
علاقه مندی ها (بوک مارک ها)