يستغرق اختراق كلمة المرور بالقوة الغاشمة وقتًا أطول
يستغرق اختراق كلمات المرور بالقوة وقتًا أطول الآن مما كان عليه في الماضي، لكن الأخبار الجيدة ليست سببًا للاحتفال، وفقًا لآخر مراجعة سنوية لأوقات اختراق كلمات المرور الصادرة يوم الثلاثاء من قبل Hive Systems.
اعتمادًا على طول كلمة المرور وتكوينها – مزيج الأرقام والحروف والأحرف الخاصة – يمكن اختراق كلمة المرور على الفور أو يستغرق فك شفرتها ستة دهرات.
على سبيل المثال، يمكن اختراق كلمات المرور المكونة من أربعة أو خمسة أو ستة أرقام فقط على الفور باستخدام أجهزة الكمبيوتر الحالية، في حين أن كلمة المرور المكونة من 18 حرفًا والتي تتكون من أرقام وأحرف كبيرة وصغيرة ورموز ستستغرق 19 كوينتيليون سنة لاختراقها. استراحة.
في العام الماضي، وجدت أبحاث Hive أنه يمكن اختراق بعض كلمات المرور المكونة من 11 حرفًا على الفور باستخدام القوة الغاشمة. كشفت نتائج هذا العام عن فعالية خوارزميات تجزئة كلمات المرور الأحدث المتوافقة مع معايير الصناعة – مثل bcrypt – لتشفير كلمات المرور في قواعد البيانات. الآن، نفس كلمة المرور المكونة من 11 حرفًا تستغرق 10 ساعات لاختراقها.
“في السنوات الماضية، كانت الشركات تستخدم تشفير MD5 لتجزئة كلمات المرور، وهو أمر غير آمن أو قوي للغاية. وأوضح الرئيس التنفيذي والمؤسس المشارك لشركة Hive Alex Nette، أنهم الآن يستخدمون bcrypt، وهو أكثر قوة.
وقال لـ TechNewsWorld: “الخبر السار هو أن مواقع الويب والشركات تتخذ قرارات جيدة لاستخدام خوارزميات أكثر قوة لتجزئة كلمات المرور، لذا فإن أوقات الاختراق آخذة في الارتفاع، ولكن نظرًا للزيادات في قوة الكمبيوتر، ستبدأ هذه الأوقات في الانخفاض مرة أخرى”. كما فعلوا في السنوات الماضية.”
مقايضات التشفير
على الرغم من أن تجزئة كلمات المرور ذات التشفير القوي تعد ممارسة أمنية جيدة، إلا أن هناك بعض المفاضلات. وأشار نيت إلى أن “التشفير يبطئ الأمور”. “يعتبر Bcrypt أكثر أمانًا، ولكن إذا قمت بإنشاء عدد كبير جدًا من تكرارات التجزئة، فقد يؤدي ذلك إلى إبطاء تسجيل الدخول إلى موقع ويب أو جعل تحميل الموقع أبطأ.”
وأضاف: “إذا كان لدينا أفضل تشفير، فقد يكون موقع الويب غير قابل للاستخدام تمامًا للمستخدمين على الإنترنت، لذلك عادة ما يكون هناك حل وسط”. “قد يكون هذا الحل الوسط بمثابة فرصة للقراصنة.”
“يقدم Bcrypt تجزئة بحجم 56 بايت مقابل 16 بايت لـ MD5، وهو ما يمثل مقاومة أقوى بكثير لهجمات القوة الغاشمة”، أشار جيسون سوروكو، نائب الرئيس الأول للمنتج في Sectigo، مزود الشهادات الرقمية العالمية.
وقال لـ TechNewsWorld: “لا يزال MD5 قيد الاستخدام على نطاق واسع ومن المحتمل أن يستمر كذلك، خاصة بالنسبة لقواعد بيانات كلمات المرور الكبيرة نظرًا لحجمه الأصغر والأكثر كفاءة”.
أقر إم جي كوفمان، المؤلف والمدرس لدى شركة O’Reilly Media، مشغل منصة التعلم لمحترفي التكنولوجيا، في بوسطن، بأن خوارزميات التجزئة الأقوى لعبت دورًا في جعل اختراق كلمات المرور أكثر صعوبة، لكنه أكد أنها تساعد المؤسسات فقط. التي غيرت الكود الخاص بها لتبني الخوارزميات.
وقالت لـ TechNewsWorld: “نظرًا لأن هذا التغيير يستغرق وقتًا طويلاً وقد يتطلب تحديثات كبيرة للتوافق، فإن التحول بطيء، حيث لا تزال العديد من المؤسسات تستخدم خوارزميات أضعف في المستقبل القريب”.
السيناريو الأسوأ بالنسبة للقراصنة
وأشار كوفمان إلى أنه تم تحقيق خطوات كبيرة في الآونة الأخيرة لحماية البيانات. وأوضحت: “بدأت المؤسسات أخيرًا في أخذ مسألة حماية البيانات على محمل الجد، ويرجع ذلك جزئيًا إلى لوائح مثل القانون العام لحماية البيانات (GDPR)، الذي أعطى المزيد من القوة للمستهلكين من خلال فرض عقوبات قاسية على الشركات”.
وتابعت: “ولهذا السبب، قامت العديد من المؤسسات بتوسيع نطاق حماية بياناتها في جميع المجالات تحسبًا للوائح التنظيمية المستقبلية”.
على الرغم من أن المتسللين قد يستغرقون وقتًا أطول لاختراق كلمات المرور، إلا أن الاختراق لم يعد مهمًا بالنسبة لهم كما كان من قبل. وقال كوفمان: “إن اختراق كلمات المرور ليس بالأمر المهم بالنسبة للخصوم”. “بشكل عام، يبحث المهاجمون عن المسار الأقل مقاومة في الهجوم، ويتم ذلك في كثير من الأحيان عن طريق سرقة كلمات المرور من خلال التصيد الاحتيالي أو الاستفادة من كلمات المرور المسروقة من هجمات أخرى.”
وأضاف Sectigo: “على الرغم من أنه من الممتع قياس مقدار الوقت الذي يستغرقه اختراق كلمات المرور المجزأة، فمن الأهمية بمكان أن نفهم أن البرمجيات الخبيثة لتسجيل الدخول وجمع بيانات الاعتماد من خلال تكتيكات الهندسة الاجتماعية تمثل عددًا كبيرًا من حوادث اسم المستخدم وكلمة المرور المسروقة”. سوروكو.
وأضاف: “تشير الدراسة أيضًا إلى أن إعادة استخدام كلمة المرور تجعل جميع أساليب القوة الغاشمة غير ضرورية للمهاجم”.
أقر Nette بأن جدول Hive الخاص بأوقات اختراق كلمة المرور يمثل أسوأ سيناريو بالنسبة للمتسلل. وقال: “إنه يفترض أن المتسلل لم يتمكن من الحصول على كلمة المرور الخاصة بشخص ما من خلال تقنيات أخرى، وعليهم استخدام كلمة المرور بالقوة”. “يمكن للتقنيات الأخرى أن تقلل الوقت اللازم للحصول على كلمة المرور، إن لم يكن على الفور.”
تسجيل الدخول، لا اقتحام
وأضاف آدم نيل، مهندس الكشف عن التهديدات في Critical Start، “ظل اختراق كلمات المرور يشكل شكلاً مهمًا من أشكال التسوية بالنسبة للمهاجمين، ولكن مع زيادة معايير تشفير كلمات المرور، أصبحت طرق التسوية الأخرى مثل التصيد الاحتيالي أكثر جاذبية مما هي عليه بالفعل”. الشركة الوطنية لخدمات الأمن السيبراني.
وقال لـ TechNewsWorld: “إذا كان من المحتمل أن يستغرق اختراق كلمة المرور المتوسطة أشهرًا أو حتى سنوات، فسيتخذ المهاجمون الطريق الأقل مقاومة”. “بمساعدة الذكاء الاصطناعي، أصبحت الهندسة الاجتماعية أكثر سهولة للمهاجمين من خلال صياغة رسائل بريد إلكتروني ورسائل مقنعة.”
أشار ستيفن جيتس، خبير موضوع الأمان في شركة Horizon3 AI، الشركة المصنعة لحل اختبار الاختراق المستقل، في سان فرانسيسكو، إلى أن المتسللين اليوم لا يضطرون إلى اختراق الأنظمة؛ قاموا بتسجيل الدخول.
وقال: “من خلال بيانات الاعتماد المسروقة عبر هجمات التصيد الاحتيالي، وانتهاكات الطرف الثالث – التي تشمل بيانات الاعتماد – ومشكلة إعادة استخدام بيانات الاعتماد المخيفة، لا تزال بيانات الاعتماد هي المشكلة الأولى التي نراها كطريقة يستخدمها المهاجمون للحصول على موطئ قدم في شبكات المؤسسات”. عالم التكنولوجيا.
وأضاف: “هناك أيضًا ميل بين المستخدمين الإداريين لاختيار كلمات مرور ضعيفة أو إعادة استخدام نفس كلمات المرور عبر حسابات متعددة، مما يخلق مخاطر يمكن للمهاجمين استغلالها”.
وتابع: “بالإضافة إلى ذلك، فإن بعض مستويات الحسابات الإدارية أو حسابات تكنولوجيا المعلومات لا تخضع دائمًا لإعادة تعيين كلمة المرور أو متطلبات سياسة الطول. يمكن أن ينبع هذا النهج المتساهل إلى حد ما في إدارة بيانات الاعتماد من نقص الوعي حول كيفية استخدام المهاجمين في كثير من الأحيان لبيانات الاعتماد ذات المستوى المنخفض للحصول على مكاسب عالية المستوى.
كلمات المرور هنا لتبقى
الطريقة البسيطة للتخلص من مشكلة اختراق كلمة المرور هي إزالة كلمات المرور، لكن هذا لا يبدو محتملاً. صرح دارين جوتشيوني، الرئيس التنفيذي لشركة Keeper Security، وهي شركة لإدارة كلمات المرور والتخزين عبر الإنترنت في شيكاغو، قائلاً: “إن كلمات المرور جزء لا يتجزأ من الطريقة التي تعمل بها حياتنا الحديثة عبر كل شبكة وجهاز وحساب”.
وتابع قائلاً: “ومع ذلك، فمن الأهمية بمكان أن نعترف بأن مفاتيح المرور لن تحل محل كلمات المرور في المستقبل القريب، هذا إن وجدت. من بين مليارات المواقع الإلكترونية الموجودة، لا يقدم حاليًا سوى جزء من المئة دعمًا لمفاتيح المرور. ويمكن أن يعزى هذا الاعتماد المحدود للغاية إلى عوامل مختلفة، بما في ذلك مستوى الدعم من المنصات الأساسية، والحاجة إلى تعديلات موقع الويب، ومتطلبات التكوين الذي يبدأه المستخدم.
وقال: “بينما نقترب أكثر من مستقبل مختلط أو بدون كلمات مرور، فإن التحول ليس نهجًا واحدًا يناسب الجميع”. “تحتاج الشركات إلى تقييم متطلباتها الأمنية بعناية، والقيود التنظيمية، واحتياجات المستخدم لتحديد وتنفيذ بدائل كلمات المرور الفعالة والعملية.”