استحکام گذرواژه
استحکام گذرواژه (به انگلیسی: Password strength) با احتمال مقاومت یک گذرواژه در برابر حدس زدن و نیز حملههای جستجوی فراگیر سنجیده میشود. در شکل معمول، این قابلیت تخمین میزند که انجام چه تعداد آزمایش نیاز است تا مهاجمی بتواند به یک گذرواژه دسترسی پیدا کند، یا که بتواند آن را درست حدس بزند. استحکام یک گذرواژه بستگی به میزان طول، پیچیدگی و غیرقابل پیشبینی بودن آن دارد.
بهکارگیری گذرواژهیهای پیچیده سبب کاهش احتمال نقض امنیتی میشود. اما لزوم انجام اقدامات امنیتی دیگر را از بین نمیبرد. میزان امنیت یک گذرواژه به چگونگی پیادهسازی و فاکتورهای هویتی (دانش، مالکیت، هویت) نیز بستگی دارد.
عامل مهم دیگری که در میزان امنیت یک سیستم دخیل است، سرعتی است که با آن میتوان گذرواژهها را امتحان کرد. برخی از سیستمها وقفهٔ کوتاهی را بعد از تعداد مشخصی تلاش ناموفق ایجاد میکنند. در غیاب ضعفهای دیگر، استفاده از گذرواژههای نسبتاً ساده در چنین سیستمهایی بلامانع است. اما هر سیستمی گذرواژهها را در قالبی ذخیره میکند که اگر توسط کسی یا سامانهای دزدیده شود، امنیت سیستم در معرض خطر قرار میگیرد.
روشهای انتخاب گذرواژهٔ مستحکم
انتخاب گذرواژهٔ مستحکم از این جهت چالشبرانگیز است که با پیچیدهتر شدن آن، بهیادسپاری گذرواژه نیز مشکل میشود. پیشتر پیشنهاد میشد از جملات معنیدار به عنوان گذرواژه استفادهشود تا راحت به یاد سپرده شوند (XKCD scheme). جملاتی از قبیل "You won't ever find it using brute force" . اما با روی کار آمدن کشف گذرواژه جدید این گونه گذرواژهها نیز قابل شکستن هستند. علت این است که این برنامهها با داشتن اطلاعاتی در مورد کاربر (از قبیل نام، سن، آدرس و …) قادر هستند با سرعت و بازده بالایی گذرواژهها را بازیابی کنند. در واقع اکثر گذرواژههایی که میتوانند به یاد سپرده شوند، قابل بازیابی هستند. از این رو پیشنهاد میشود که گذرواژهای انتخاب شود که این روش قادر به شناسایی آن نباشد. این روش به Schneier scheme معروف است. در این روش جمله یا عبارتی را در نظر میگیریم؛ اما به جای استفادهٔ مستقیم از همان عبارت، آن را به گونهای که قابل بازیابی نباشد تغییر میدهیم. [۱]
مثال
iLk2mkp = I like to make pie
tAPPdfAlfft3 = The apple doesn't fall far from the tree
چند نکته در مورد انتخاب گذرواژه
باید توجه داشت که تنها انتخاب یک گذرواژهٔ قوی برای اطمینان از امنیت کافی نیست. باید به نکات دیگری نیز توجه داشت. از جمله:
- از یک گذرواژه بیش از یک بار استفاده نکنید. حتی اگر گذرواژه مستحکم باشد، ممکن است همهٔ گذرواژههای سایت موردنظر افشا شوند. با انتخاب گذرواژههای مختلف از امکان دسترسی به همهٔ حسابهای کاربریتان با دانستن یک گذرواژه جلوگیری کنید.
- گذرواژهٔ خود را زود با زود بهروزرسانی نکنید. تنها در صورتی که فکر میکنید گذرواژهٔ شما در معرض خطر قرارگرفتهاست اقدام به تعویض آن کنید.
- سؤال امنیتی خود را با دقت انتخاب کنید. انتخاب سؤال امنیتی مناسب به اندازهٔ انتخاب خود گذرواژه حائز اهمیت است.
- در صورت امکان، حتماً از گزینهٔ احراز هویت چندعاملی استفادهکنید؛ چرا که از ضریب امنیتی بالاتری برخوردار است.
جستارهای وابسته
منابع
مشارکتکنندگان ویکیپدیا. «Password strength». در دانشنامهٔ ویکیپدیای انگلیسی، بازبینیشده در ۵ مرداد ۱۳۹۰.
پیوند به بیرون
- Choosing Good Passwords — A User Guide.
- Password Policy Guidelines.
- Examples of common (and hence weak) passwords
- Bruce Schneier (۱۴ دسامبر ۲۰۰۶). MySpace Passwords Aren't So Dumb.
- How to Write Better Passwords
- RFC 4086: Randomness Requirements for Security
- Frequently used passwords to avoid
- Steve Gibson (ژوئن ۲۰۱۱). GRC's | Password Haystacks: How well Hidden is Your Needle?
- Microsoft's Password Strength Checker
- passwordmeter.com's Password Strength Checker
- pwsecurity.de Password Security