عنوان:

‫نشانگرهای قدرت رمز عبور به افراد در انتخاب‌های نادرست کمک می‌کنند


نویسنده: وحید نصیری
تاریخ: ۱۴۰۳/۱۱/۲۵ ۰۹:۵۱
آدرس: www.dntips.ir
این مقاله به انتقاد از نشانگرهای قدرت رمز عبور و محدودیت‌های اختیاری طول رمز عبور می‌پردازد و استدلال می‌کند که این موارد اغلب منجر به امنیت ضعیف‌تر می‌شوند.

مشکل نشانگرهای قدرت رمز عبور

  • حس امنیت کاذب: نشانگرهای مبتنی بر محاسبات ساده (تعداد و نوع کاراکتر) حس امنیت کاذب می‌دهند. آنها حملات dictionary یا الگوهای رایج رمز عبور را در نظر نمی‌گیرند.
  • نادیده گرفتن رفتار انسانی: آنها نحوه‌ی واقعی ایجاد و به‌خاطر سپردن رمزهای عبور توسط افراد را در نظر نمی‌گیرند و اغلب رمزهای عبور پیچیده اما به راحتی قابل حدس را به عبارات عبور ساده‌تر و طولانی‌تر ترجیح می‌دهند.
  • در نظر نگرفتن الگوریتم‌های هش: تفاوت بسیار زیاد در زمان شکستن بین الگوریتم‌های هش مانند MD5 و bcrypt نادیده گرفته می‌شود. یک رمز عبور "قوی" تحت یک الگوریتم ممکن است به راحتی تحت الگوریتم دیگر شکسته شود.

مشکل محدودیت‌های اختیاری طول رمز عبور

  • جلوگیری از رمزهای عبور/عبارات عبور طولانی: محدودیت‌ها (به عنوان مثال، ۲۰ کاراکتر) کاربران را از استفاده از عبارات عبور طولانی و ایمن باز می‌دارند، حتی اگر این عبارات می‌توانند بسیار قوی باشند.
  • اجازه ورود رمزهای عبور ضعیف: سایت‌ها ممکن است عبارات عبور قوی را به دلیل طول رد کنند، اما رمزهای عبور کوتاه و به راحتی قابل شکستن را که حداقل الزامات پیچیدگی را برآورده می‌کنند، بپذیرند.

مثال آرگوس

این مقاله از وب‌سایت آرگوس به عنوان مثال استفاده می‌کند:
  • پیام خطای گمراه‌کننده: آرگوس یک پیام خطای گمراه‌کننده را در مورد قدرت رمز عبور نمایش داد، در حالیکه مشکل واقعی محدودیت ۲۰ کاراکتری بود.
  • رد رمزهای عبور قوی: سایت، رمز عبور قوی "correct horse battery staple" را به دلیل طول و عدم وجود عدد رد می‌کند.
  • پذیرش رمزهای عبور ضعیف: سایت رمز عبور ضعیف "passw0rd" را می‌پذیرد که ناکارآمدی سیستم آنها را برجسته می‌کند.

راه حل

  • آموزش: تمرکز بر آموزش کاربران در مورد خطرات استفاده‌ی مجدد از رمز عبور و آنچه که یک رمز عبور واقعاً قوی را تشکیل می‌دهد.
  • رهنمودهای NIST: پیروی از توصیه‌های NIST، از جمله اجازه حداقل ۶۴ کاراکتر برای رمزهای عبور.
  • بازنگری نشانگرهای رمز عبور: فراتر از ماشین‌حساب‌های ساده که رفتار انسان و پیچیدگی‌های امنیت رمز عبور را نادیده می‌گیرند، حرکت کنید.



مشاهده مطلب اصلی