علم انتخاب رمز عبور صحیح
(قسمت اول)
هانت در مقاله ای که در وبلاگ شخصی خود منتشر کرده، مدعی شده است برایش
بسیار جالب و عجیب بوده که نتیجه تحقیقاتش در مورد حساب کاربری سیستم سونی
نشان داده است 92 درصد حساب های کاربری اعضای این سیستم، رمزهای عبور
مشابه یکدیگر دارند. در همین راستا این سوال برایش پیش آمده است که
کاربران بر چه اساسی برای حساب های کاربری خود رمزعبور انتخاب می کنند.
شاید بتوان با در نظر گرفتن ریشه و منبع کلمات و اعداد به کار رفته در
رمزعبور یا پیش زمینه فکری فرد در مورد شاخصه های انتخاب، این سوال را
پاسخ داد.
در واقع باید گفت بخش عظیمی از رمزهای عبور حول محور کوچک و مشخصی از
انتخاب ها می چرخند. این یک تحقیق جالب در مورد کاربرانی است که رمزهای
عبور ساده ای برای حساب های کاربری خود انتخاب می کنند.
سه تا از منابع اطلاعاتی اصلی مورد استفاده کاربران برای انتخاب رمزعبور را میتوان موارد پایین معرفی کرد:
• نام افراد: شامل بیش از 26 هزار نام و نام خانوادگی رایج است.
• نام مکان: شامل نام منطقه، شهر، روستا و حتی کشور است که حدود 32 هزار حساب با این نام ها ثبت شده اند.
• لغت نامه انگلیسی: حدود 190 هزار کلمه در لغت نامه انگلیسی وجود دارد.
با کمک سه منبع ذکر شده در بالا می توان ریشه و منبع اصلی رمزهای عبور
انتخابی را مشخص کرد. سه گزینه بالا که از منابع مختلف و البته فراگیر و
جامع گرفته شده اند، به هیچ وجه کامل نیستند. این به این معنا است که
احتمال دارد گزینه ها و عبارت های اصلی و کلیدی در میان این سه آیتم
نباشند. در این صورت، بدون شک حدس هایی که در مورد رمزعبور میزنیم بسیار
ضعیف تر از زمانی است که فهرست کامل و دقیقی از احتمالات را در اختیار
داریم.
اما به هر حال، در اینجا قصد داریم این موضوع را کمی ساده تر فرض و احتمال
وجود نقطه گذاری و نشانه های نوشتاری را رد کنم. البته این نشانه ها برای
انتخاب رمزعبور بسیار مهم هستند و نقش سازنده ای دارند. اما در این تحقیق
ما فرض را بر وجود نداشتن آنها می گذاریم. چون همان طور که قبلا هم گفتیم
فقط حدود یک درصد از کاربران از این نشانه ها برای رمزعبور اکانت شان
استفاده می کنند.
برای انتخاب رمزعبور از نام خودمان، به هر صورتی که باشد، همچون Troy یا
troy یا حتی به صورت ترکیبی با نام خانوادگی همچون Troy Hunt یا troyhunt
باز هم از منابع منطقی مشابه استفاده می کنیم. منبعی که حدود 45 درصد
کاربران از آن برای نوشتن رمزعبور استفاده می کنند.
در این تحقیق، ابتدا به سراغ اطلاعات فردی کاربر همچون نام او می رویم.
بعد از آن به اطلاعات کلی تر همچون محل زندگی و بعد لغت نامه انگلیسی
خواهیم پرداخت تا مشخص کنیم این گزینه ها تا چه حد در ساخت رمزعبور نقش
دارند.
رمزهای عبوری که از نام خود کاربر ساخته شده اند
نمودار بالا نشان می دهد حدود 14 درصد از کاربران برای انتخاب رمزعبور
اکانت شان از نام خود استفاده می کنند. البته این پایان ماجرا نیست. هستند
کاربرانی که به نام خود عدد یا نماد و نشانه های مختلفی اضافه می کنند. به
طور مثال troy21، دقیقا نام فرد نیست اما مشخص است ریشه آن از اسم کوچک وی
گرفته شده است.
با این حساب باید بدانید که سه روش رایج در میان کاربران برای استفاده از نام در رمزعبور وجود دارد:
• استفاده از اعداد در کنار اسم
• استفاده از نشانه ها و علامت های نقطه گذاری
• وارونه کردن نام بدون استفاده از عدد و علامت
نمودار پایین، با احتساب سه احتمال ذکر شده در بالا شکل گرفته است.
رمزهای عبور برگرفته شده از نام کاربران
همان طور که در شکل بالا مشخص است، اضافه کردن اعداد به اسم، کاربرد
بیشتری نسبت به دو گزینه دیگر دارد. جالب اینجا است که عدد یک رایج ترین
رقم برای استفاده در رمزعبور حساب های کاربران است. اعداد دو رقمی و چهار
رقمی همچون اعداد سال یا ماه تولد نیز استفاده فراوانی در شکل گرفتن
رمزهای عبور دارند.
باز همان طور که در ابتدا اشاره کردیم، درصد استفاده از نشانه ها در
رمزعبور بسیار پایین است. کمتر از یک درصد از کاربران از نقطه گذاری در
نوشتن رمزعبور استفاده می کنند. برعکس و وارونه کردن نام نیز از آن جا که
کمی گیج کننده و درهم است، یکی از روش های بسیار ساده برای امنیت بیشتر
رمزعبور به حساب می آید.
البته، از آنجا که تعداد حروف نام های برعکس شده با نام اصلی کاربر مغایرتی ندارد، احتمال لو رفتن شان زیاد است.