چقدر طول می‌کشد پسورد شما هک شود ؟ و چطور قدرتمند می‌شود ؟

شوخی رایجی بین دوستان در شبکه‌های اجتماعی هست که به هم وصیت می‌کنند که اگر من مردم فلان درایو هاردم را فرمت کنید. یا کلا هاردم را بسوزانید قبل از این که به دست خانواده‌ام برسد. یا ایمیلهایم را کلا پاک کنید.

 در پس این شوخی یک حقیقت بزرگ نهفته است! این که همه، اطلاعاتی داریم که به هر دلیلی ( مثلا خیلی آبروبری است! ) یا از شوخی گذشته مربوط به اطلاعات مالی و کاری ماست که دوست نداریم در هیچ حالتی کسی به آنها دسترسی داشته باشد.

 معمولا چیزی که از دسترس دیگران به این اطلاعات جلوگیری می‌کند پسوردهایی است که ما از آنها استفاده می‌کنیم. پسوردهایی که بعضی از ما اصلا به قدرت و کیفیت آنها اهمیت نمی‌دهیم!

 امروز باز هم به یکی از سوالات شما پاسخ می‌دهیم. این که یک پسورد قوی چه ویژگی‌هایی دارد و چطور می‌شود فهمید چقدر طول می‌کشد پسورد ما هک بشود؟

 پیش زمینه : چطور بفهمیم چقدر طول میکشد پسورد ما هک بشود؟

برای اینکار باید بدانیم هکر از چه سیستمی استفاده می‌کند. این که بخواهد با سیستم شما کار کند یا با یک ابرکامپیوتر مسلما نتیجه متفاوت خواهد بود.

نکته دوم این است که با چه سرعتی به اینترنت متصل است. اگر بخواهد از ایران شما را هک کند و سرعتی مشابه سرعت اینترنت من در اختیارش باشد باید خیلی نگران باشید!!! خودش که نه، 27 نسل بعدش شاید بتواند یک رمز عبور ساده شما را کشف کند!

نکته دیگر پیچیدگی پسورد شماست. چون دو عامل بالا غیرقابل تشخیص است دقیقا نمی‌شود گفت چقدر طول می‌کشد پسورد شما هک شود. ما برای اینکه بفهمیم چقدر یک پسورد زمان می‌برد تا شکسته شود از howsecureismypassword.net استفاده می‌کنیم. اعدادی که در ادامه آورده می‌شود همه با این سایت به دست آمده است.

نکته : زیاد روی اعداد دقیق نشوید و به بزرگی یا کوچکیش توجه کنید. 6 ساعت یعنی خیلی کم. یا مثلا 6 میلیارد سال یعنی خیلی زیاد. نگویید چرا شد 6 میلیارد سال و چرا 5 میلیارد و نهصد و چهل و هشت میلیون نشد لطفا :)

هکرها یک ابزارهایی دارند (‌ حتی شما هم می‌توانید کلی از آنها را رایگان توی اینترنت پیدا کنید! ) که می‌گردند و کلی پسورد مختلف را امتحان می‌کنند تا بتوانند پسورد شما را حدس بزنند. پسوردهای قوی باید طوری باشد که راحت توسط آنها حدس زده نشود. چطور؟

طولانی باشد

این اولین قدم است. بگذارید یک مثالی برای شما بزنم و با مثال پیش برویم.
فرض کنید شما یک پسورد دارید به شکل a . این پسورد تقریبا به محض شروع به کار کشف می‌شود. حتی اگر هشت تا aaaaaaaa کنار هم باشد باز هم به سرعت کشف می‌شود. ولی اگر 9 تا بشود آن وقت 6 ساعت زمان نیاز دارد تا کشف بشود. اگر 10 تا بشود 6 روز و 11 تا a کنار هم قرار بگیرد 169 روز!

می‌بینید؟ حتی پسورد مسخره‌ای مثل چندتا a کنار هم اگر تعداد a ها زیاد بشود به مرور سخت می‌شود. یک پسورد معمولی ( نه اینکه همه‌اش a باشد! ) با 8 کاراکتر 4 روز حداکثر زمان نیاز دارد. یک کاراکتر اضافه کنید می‌شود 4 ماه!

توصیه من این است حداقل 10 کاراکتر داشته باشد. ولی این خیلی تنبلانه است. به حرف من گوش ندهید و حداقل 16 کاراکتر در نظر بگیرید :)

ترکیبی از حروف کوچک و بزرگ است

ما یک پسورد به شکل aaaaaaaaaa داریم ( 10 تا a ) که شکستنش 6 روز زمان می‌برد. اگر فقط یکی از حروفش را با یک A بزرگ عوض کنیم ( Aaaaaaaaaa ) فکر می‌کنید 6 روز چقدر افزایش پیدا می‌کنید؟ می‌شود 10 روز؟ یک ماه؟ 6 ماه؟ فقط با یک همچین تغییر کوچکی 6 روز می‌شود 18 سال!

ترکیبی از حروف کوچک و بزرگ و اعداد است

آزمایش قبلی را با یک عدد ادامه می‌دهیم. پسورد Aaaaaaaaaa را به Aaaaaaaaa1 تغییر می‌دهیم که یک ذره فقط پیچیده‌ترش کردیم. اما برای هکرها این یک فاجعه است چون به جای 18 سال باید 106 سال وقت بگذارند!!

ترکیبی از حروف کوچک و بزرگ و اعداد و نشانه‌هاست

دارد کم‌کم جالب می‌شود. به جای Aaaaaaaaa1 پسورد Aaaaaaaa#1 را بررسی می‌کنیم. یک کاراکتر # برخلاف چیزی که به نظر میرسد خیلی تاثیر عمیقی می‌گذارد. هکر محترم حالا به جای 106 سال باید 928 سال روی پسورد شما کار کند.

تا حالا شما از یک پسورد aaaaaaaaa که توی 6 ساعت هک می‌شد به یک پسوردی رسیدید که 928 سال زمان می‌برد تا هک بشود. می‌خواهید شگفت زده بشوید؟ اگر به آخر پسورد Aaaaaaaa#1 یک a دیگر اضافه کنیم این عدد می‌شود 71 هزار سال!!!

فکر کنم الان دیگر تاثیر طولانی بودن و پیچیده بودن را کاملا درک کرده باشید. توجه داشته باشید این پسوردها واقعا مسخره هستند ولی می‌بینید همین پسوردهای مسخره وقتی ترکیبی از حروف کوچک + بزرگ + اعداد + نشانه‌ها می‌شوند چقدر بهتر می‌شوند.

رمز عبور نباید ارتباطی با شما داشته باشد

برای انتخاب رمز عبور فکر کنید توجه داشته باشید که افرادی جسارتا فوضول اولین کاری که می‌کنند این است که می‌گردند اطلاعات شخصی خاصی از شما پیدا کنند تا تست کنند. برای همین مثلا اگر شماره موبایل‌تان را گذاشتید هر تعداد رقم که باشد باز به درد نمی‌خورد.

مثلا می‌گوید رمز عبورتان را اسم فرزندتان « صفرعلی » بگذارید. از خودتان بپرسید کسی می‌تواند ارتباطی بین من و کلمه صفرعلی پیدا کند؟ طبیعتا در این مورد جواب مثبت است پس صفرعلی پسورد خوبی نیست. اما مثلا بعید است s&475E(2!dq را کسی بتواند به شما مرتبط کند.

رمز عبور نباید توی دیکشنری باشد.

چند وقت قبل 25 پسورد ضعیف سال 2011 را اعلام کردند. هکرها اول از همه این پسوردهای پرکاربرد را به نرم‌افزارها می‌دهند تا بررسی کنید. اگر چیزی نبود توی کلمات معنادار می‌گردند. مثلا کلمات دیکشنری‌ها! انشا که نیست. هر چی چرت و پرت‌تر بهتر :)

دیگر چه؟

راستش را بخواهید موارد بالا موارد خیلی مهم‌تری هستند. اما اگر بخواهید پسوردهای حرفه‌ای و خیلی قدرتمندی انتخاب کنید نیاز است چیزهای بیشتری را رعایت کنید.

برای مثال پسورد شما نباید ساختار تکرار پذیر داشته باشد. مثلا iraniraniraniran یک ساختار تکرارپذیر دارد. یا مثلا یک کلمه که بعدش عدد باشد مثل iran658 یک الگوی درست نیست. ولی این ریزه کاری‌ها بحث را خیلی به درازا می‌برد و فعلا همین موارد بالا را برای شروع رعایت کنید. 

اگر مشترک یک فتحی.کام باشید در آینده این ریزه‌ کاری‌ها و مهارت‌های انتخاب پسورد را بیشتر با هم بررسی خواهیم کرد.