راه‌های محافظت دربرابر حملات بروت فورس

برای محافظت از گذرواژه‌ها دربرابر حملات بروت فورس روش‌های مختلفی وجود دارد که برخی از آن‌ها از طرف کاربر و برخی دیگر باید از طرف صاحب وب‌سایت رعایت شود. دراینجا به چند مورد از مهم‌ترین آن‌ها اشاره می‌کنیم:‌

۱. محدود‌کردن تعداد دفعات وارد‌کردن گذرواژه نادرست 

یکی از راه‌های مؤثر جلوگیری از حملات بروت فورس محدود‌کردن تعداد دفعاتی است که مهاجم فرصت دارد ترکیب‌های مختلف را برای پیدا‌کردن گذرواژه درست امتحان کند. 

در برخی وب‌سایت‌ها و سرویس‌ها چنانچه دفعات وارد‌کردن گذرواژه نادرست از حدی بیشتر شود، حساب کاربر مسدود شده و دسترسی به آن تا مدت معینی ممکن نخواهد بود. استفاده از این روش اگرچه جلوی حمله را نمی‌گیرد؛ اما در کار مهاجم وقفه ایجاد می‌کند. 

از طرفی، اگر محدود‌کردن تلاش برای ورود به حساب آنلاین بدون فکر و برنامه‌ریزی دقیق انجام شود، ممکن است هزینه‌های اضافی به سازمان تحمیل کند. به‌همین‌دلیل، لازم است ابتدا بررسی شود که آیا این روش برای حفاظت از زیرساخت‌های شرکت روش مناسبی است یا خیر.

۲. استفاده از گذرواژه‌های قوی

یکی از بهترین و موثرترین روش‌ها برای جلوگیری از حملات بروت فورس دیکشنری پرهیز از استفاده از کلماتی است که می‌توان آن‌ها را در فرهنگ لغت پیدا کرد. کاربران همچنین باید از استفاده از اطلاعات شخصی خود ازجمله شماره حساب بانکی برای انتخاب گذرواژه در سرویس‌های وبی که از کلیدهای رمزنگاری قوی استفاده نمی‌کنند، خودداری کنند. 

دنیای تکنولوژی اگرچه دارد به سمت سیستم‌های بدون گذرواژه پیش می‌رود؛ اما تا رسیدن به آن روز هنوز زمان زیادی باقی است. برای همین خوب است با روش‌های انتخاب گذرواژه قوی که به‌راحتی در حملات بروت فورس کشف نشود، آشنا شوید که در ادامه آن‌ها را بررسی خواهیم کرد.  

۳. روش‌های جایگزین گذرواژه‌های سنتی

روش دیگری برای کاهش حملات بروت فورس،‌ خودداری از استفاده از رمزهای عبور سنتی است. در عوض می‌توانید از توکن یا رمزهای عبور یک‌بارمصرف استفاده کنید. بدین‌ترتیب، برای دسترسی به وب‌سایت هر بار رمزعبور منحصر‌به‌فردی برای شما ایجاد می‌شود و از حملات بروت فورس جلوگیری می‌شود. 

۴. احراز هویت چندعاملی

استفاده از توکن نوعی احراز هویت دوعاملی یا 2FA است. این اقدام امنیتی به‌طور رایج در تراکنش‌های بانکی استفاده می‌شود. در این روش علاوه بر استفاده از روش‌های رایج لاگین، سطح امنیتی دیگری نیز هنگام تراکنش اضافه می‌شود؛ مثلا کدی ازطریق SMS به گوشی هوشمند کاربر فرستاده می‌شود یا اپلیکیشن‌های احرازهویت دوعاملی نظیر  Google Authenticator به‌طور خودکار رمزهای عبور یک بار مصرف تولید می‌کنند. بدین‌ترتیب حتی اگر هکر به گذرواژه کاربر دسترسی داشته باشد، برای ورود نیازمند وارد‌کردن کدی است که خوشبختانه به آن دسترسی ندارد. 

۵. نمایش کپچا (Captcha)

بعد از چندین تلاش ناموفق برای لاگین، سیستم‌های احراز هویت جلوی حمله بروت فورس بات‌ها را می‌گیرد. کپچا انواع مختلفی دارد، ازجمله تایپ متنی که در تصویر نمایش داده شده، زدن تیک گزینه I’m not a robot (من ربات نیستم) یا تشخیص اشیا در تصاویر. می‌توان قابلیت کپچا را برای اولین تلاش ورود یا بعد از اولین تلاش ناموفق فعال کرد.

راه‌های ایجاد پسورد قوی

شاید موثرترین عامل برای محافظت دربرابر حملات brute force انتخاب گذرواژه‌ای قوی است؛ اما گذرواژه باید چه ویژگی‌هایی داشته باشد تا احتمال کشف آن ازطریق حملات بروت فورس کاهش یابد؟ در اینجا به چند نکته برای ایجاد پسورد قوی اشاره می‌کنیم:

گذرواژه‌های طولانی با انواع کاراکترهای متنوع: در صورت امکان، بهتر است گذرواژه‌های ۱۰ کاراکتری انتخاب کنید که شامل نمادها یا اعداد باشند. چنین گذرواژه‌ای ۱۷۱٫۳ کوینتیلیون، یعنی ۱٫۷۱ در ۱۰۲۰ ترکیب ممکن، ایجاد می‌کند. با استفاده از GPUای که ۱۰٫۳ میلیارد هش را در ثانیه امتحان می‌کند، شکستن این رمزعبور تقریباً ۵۲۶ سال طول می‌کشد. البته یک ابرکامپیوتر می‌تواند این گذرواژه را ظرف چند هفته کرک کند؛ به‌همین‌دلیل، اضافه‌کردن کاراکترهای بیشتر کشف رمزعبور شما را دشوارتر می‌کند.

استفاده از عبارات عبور (passphrase) پیچیده: از آنجایی که تمام وب‌سایت‌ها از گذرواژه‌های بسیار طولانی پشتیبانی نمی‌کنند یا به‌خاطرسپردن آن‌ها دشوار است، می‌توان از عبارات عبور به‌جای گذرواژه تک‌کلمه‌ای طولانی استفاده کنید. حملات دیکشنری به‌خصوص برای کشف گذرواژه‌های تک‌کلمه‌ای طراحی شده‌اند و تقریبا بدون هیچ زحمتی این مدل گذرواژه‌ها را کرک می‌کنند. به‌همین‌دلیل، برای افزایش امنیت سایبری لازم است عبارات عبور را که از چندين کلمه تشکیل شده‌اند با کاراکترهای اضافی و نمادها ترکیب کرد. 

برای انتخاب عبارت عبور بهتر است از ذهن خود کمک نگیرید، چون ذهن انسان قادر نیست به کلماتی فکر کند که از الگوی طبیعی زبان پیروی نمی‌کنند و ابزارهای بروت فورس به‌راحتی قادرند کلمات این چنینی را حدس بزنند. به‌همین‌دلیل،، استفاده از روش Diceware پیشنهاد می‌شود. دایس‌ور فهرستی از ۷،۷۷۶ کلمه انگلیسی است که در کنار هر کلمه یک عدد ۵ رقمی از یک تا شش قرار دارد. حالا با پنج بار تاس ریختن، ترکیب عددی که بدست می‌آید را یادداشت کرده و کلمه مربوط به آن را از فهرست دایس‌ور انتخاب کنید. این کار را تا اندازه‌ای که می‌خواهید عبارت عبورتان طولانی شود، تکرار کنید تا به عبارتی برسید که کاملا رندوم است و به اصطلاح، آنتروپی یا همان آشفتگی بالایی دارد. 

اگر عبارت انتخابی شما از پنج کلمه تشکیل شده باشد، ۷،۷۷۶۵ ترکیب ممکن برای آن وجود دارد و برای حدس آن به ۱۴ کوینتیلیون (۱۴ با ۱۸ صفر) بار تلاش نیاز است. طبق هشدار ۲۰۱۳ ادوارد اسنودن، حدس‌زدن عبارت عبور هفت کلمه‌ای به کمک ابزاری با قابلیت یک تریلیون حدس در ثانیه، ۲۷ میلیون سال طول خواهد کشید. 

خوبی استفاده از عبارت عبور به‌جای گذرواژه طولانی تک کلمه‌ای آسانی به‌خاطرسپردن آن است. به‌عنوان مثال، حفظ‌کردن «bolt vat frisky fob land hazy rigid» از «d07;oj7MgLz’%8» آسان‌تر، اما کرک‌کردن آن ازطریق حمله بروت فورس به‌شدت دشوار و زمان‌بر است. 

تعیین قوانین برای ساخت گذرواژه: بهترین گذرواژه‌ها آن‌هایی هستند که می‌توانید به‌راحتی خاطر بسپارید؛ اما برای کسی که آن را می‌خواند کاملا بی‌معنی باشد. هنگام ایجاد عبارت عبور، می‌توانید حروف صدادار کلمه را حذف کنید یا تنها دو حرف اول کلمه را به کار ببرید؛ مثلا به‌جای wood از wd استفاده کنید. 

خودداری از استفاده از گذرواژه‌های رایج: حملات بروت فورس براساس فهرستی از گذرواژه‌های رایج و افشا شده در حملات نقض داده انجام می‌شود. اگر گذرواژه انتخابی شما رایج باشد، حتی اگر از ۸ کاراکتر تشکیل شده باشد، به احتمال بسیار زیاد در این فهرست وجود دارد و در عرض چند ثانیه قابل کرک‌شدن است.

استفاده از گذرواژه‌های منحصر‌به‌فرد برای هر وب‌سایت: برای اینکه قربانی حملات دست‌کاری اعتبار (Credential Stuffing) نشوید، باید حواستان باشد که از یک گذرواژه بیشتر از یک بار استفاده نکنید. برای افزایش امنیت حتی بهتر است نام کاربری خود را نیز برای هر وب‌سایت تغییر بدهید. بدین‌ترتیب اگر یکی از حساب‌های شما هک شد، حساب‌های دیگر امن خواهند بود. 

استفاده از مدیریت گذرواژه: اپلیکیشن‌های مدیریت رمزعبور به‌طور خودکار رمزهای عبور پیچیده ایجاد می‌کنند و اطلاعات لاگین کاربر را در وب‌سایت‌های مختلف ذخیره می‌کنند. بدین‌ترتیب، با ورود به اپلیکیشن مدیریت رمزعبور می‌توانید به تمام حساب‌های آنلاین خود دسترسی داشته باشید. این اپلیکیشن‌ها به شما امکان می‌دهند رمزهای عبور طولانی و بسیار پیچیده ایجاد کنید بدون اینکه از بابت یادآوری آن‌ها نگرانی داشته باشید.

در کل، قوی‌ترین گذرواژه دربرابر حملات بروت فورس گذرواژه‌ای است که در عین طولانی بودن و منحصر‌به‌فرد بودن، تا حد ممکن رندوم باشد و از الگوهای قابل پیش‌بینی زبان طبیعی پیروی نکرده باشد. به‌همین‌دلیل، استفاده از اپلیکیشن‌های مدیریت رمزعبور برای افزایش امنیت سایبری توصیه می‌شود.