هجمات التعرف على كلمة السر Password Attackes

هجمات التعرف على كلمة السر

Password Attacks

يشير تقرير شركة SplashData لعام 2014 عن أكثر كلمات السر شيوعاً والتي يسهل التعرف عليها من قبل المخترقين، وهو تقرير سنوي تصدره الشركة. فقد بيّن التقرير أن كلمة السر "password" ترتيبها ضمن المركز الثاني من الكلمات الأكثر استخداماً. بينما كانت كلمات السر التي تعتمد تسلسل الأرقام التي تبدأ بالرقم واحد مثل كلمة السر (123456) فقد حازت على ستة مراكز في قائمة أكثر 11 كلمة سر استخداماً.  وكذلك حازت كلمات السر المكونة من ارقام واحرف بسيطة على 5 مراكز من قائمة أكثر 25 كلمة سر انتشاراً.

تنتشر الأدوات التي تهدف لكسر كلمات السر لمختلف الحسابات وأصبح في متناول الجميع بل أن هذه الأدوات أصبحت موجودة على شبكة الانترنت ويمكن تحمليها بشكل مجاني. تتنوع أساليب كسر كلمات السر لعدة أنواع وهي:

-         توقع كلمة السر Password Guessing: تتم من خلال محاولة المخترق ادخال كلمات السر المتوقعة بشكل يدوي أو عن طريق أداة معينة.

-         Brute Force Attacks: تتم من خلال استخدام برنامج (أداة) تعمل على تجريب كلمات السر من خلال تكوينها آلياً داخل البرنامج، في العادة تبدأ الأداة بتجريب كلمة السر المكونة من خانة واحدة ثم من خانتين وهكذا إلى أن تصل لكلمة السر الصحيحة. وهذا يعتمد على إمكانيات جهاز المخترق وكذلك سرعة الانترنت.

-         Dictionary Attacks: تتم من خلال استخدام برنامج (أداة) تحتوي على عدد كبير جداً من اسماء الاستخدام وكلمات السر المحتملة وخصوصا تلك التي تعتبر أكثر شيوعا بين المستخدمين.

-         Phishing Attacks: اسلوب آخر لكسر كلمات السر تتم من خلال خداع الضحية عن طريق ارسال رابط لموقع الكتروني يتبع للمخترق ويشبه بشكله عدد من المواقع المشهورة مثل الفيسبوك وياهو وغيرها، بحيث يقوم المستخدم بادخال معلومات خاصة بالمستخدم مثل اسم الاستخدام وكلمة السر، رقم بطاقة الحساب المصرفي. 

طرق الحماية من هجمات التعرف على كلمات السر

بداية أهم أساليب الحماية من هجمات كلمات السر هو استخدام كلمات سر معقدة complex password يصعب كشفها، فالكثير من الأنظمة يتم ضبطها بحيث تطلب من المستخدمين أستخدام كلمات سر ذات صيغ مركبة من ارقام وحروف ورموز وحد إدنى من الخانات تحقق درجة عالية من الحماية ضد البرمجيات التي تعمل على كسر كلمات السر.

أسلوب آخر للحماية من هجمات كلمات السر هو ضبط الأنظمة لعمل أغلاق lockout لامكانية الدخول للنظام بعد عدد معين من محاولات الدخول الفاشلة failure logins بحيث تكون مدة الاغلاق محددة lock timeout وهذا يبطّء عملية كشف كلمة السر.

طريقة أخرى للحماية من هجمات كلمات السر استخدام طريقة ثنائية للمصادقة two-factor authentication بحيث يتم استخدام طريقة اضافية للمصادقة إلى جانب استخدام كلمة السر، على سبيل المثال الشهادات الرقمية digital certificates.