پرداختن به روش های هک کردن رمزعبور + نکاتی پیرامون رمزعبورهای قوی

[C89]

سلام. در این موضوع قصد دارم به نکاتی کلیدی در رابطه با رمزعبورهای قوی و ضعیف صحبت کنم تا شما از خیلی از چیزها آگاه بشید. (لطفا این مطلب رو در همه انجمن ها پخش کنید)
روش های گوناگونی برای Crack کردن رمزعبور شما وجود داره که میخوام به مرسوم ترین اونها نیز اشاره کنم:

Dictionary Attack : در این روش، هکر، لیستی از رمزعبورهایی که کاربرها معمولا از سر عجله یا نادانی استفاده می کنن تهیه می کنه و اونها رو داخل یک فایل txt (متنی) ذخیره می کنه و توسط ترمینال به سرور مربوطه متصل میشه، و با توجه به اطلاعاتی که به ترمینال میده (مثل نام کاربری قربانی و یا ایمیل او) حمله رو آغاز می کنه. فراوش نکنین که این نوع رمزعبورها ABCDEFG و 1234567 و 00010001 و aaaaaaaa و ((((((x)))))) یا Password یا Hello حتما در اون فایل متنی وجود دارن.


Brute-Force Attack : در این روش، هکر، الگوریتمی برای تولید تمام رمزعبورها (تا طول معین شده) با کمک یکی از زبان های-برنامه نویسی-سیستمی می نویسه، و با استفاده از اون، حمله رو توسط ترمینال آغاز می کنه. الگوریتم مذکور، هر ترکیبی از کاراکترها که شما در ذهنتون دارین رو تولید می کنه. به عکس های زیر توجه کنید; هروقت که اولین کاراکتر از سمت راست به آخر رسید، کاراکتر سمت چپی اون، یک قدم به جلو حرکت می کنه، و اگر این کاراکتر به آخر رسید، کاراکتر سمت چپی اون یکی جلوتر میره، و همین روند ادامه پیدا می کنه تا تمام رشته های امکان پذیر، که حاوی حروف انگلیسی، اعداد و نماد هستن نیز تولید بشن. مثلا اگر حداکثر طول رشته ای که الگوریتم ما قراره تولید کنه رو 128 کاراکتر قرار بدیم، این یعنی تمام گفت و گو های دنیا، جُک ها، فحش ها، فرمول های ریاضی، رازها، و و و... رو می تونیم (تا محدوده 128 کاراکتر) تولید کنیم! برای مثال: هروقت که نوبت به تولید رشته "Mehram" رسید، رشته بعدی اش چیه؟ رشته بعدی اون "Mehran" (مهران) هست (چون در الفبای زبان انگلیسی، بعد از حرف m، حرف n وجود داره). یعنی قدم به قدم و نوبت به نوبت تمام ترکیب ها تولید میشن.
البته ناگفته نمونه که حجم هر کاراکتر درواقع 1 بایته، این یعنی Mehran میشه 6 بایت، و کاراکتر خط جدید (کلید اینتر) دو بایت فضا اشغال می کنه. توجه کنید که حجم 1024 کاراکتر میشه 1 کیلوبایت. حجم 1048576 کاراکتر میشه 1 مگابایت. حجم 1073741824 کاراکتر میشه 1 گیگابایت. حجم 1099511627776 میشه 1 ترابایت (1024 گیگابایت). میخوام این رو بگم، که اگر کسی بخواد تمام رشته های با طول حداقل 1 و حداکثر 16 رو که شامل کاراکترهایی از جمله حروف کوچک و بزرگ انگلیسی، اعداد و نماد (نمادهای استاندارد و قانونی) میشه رو تولید کنه، و قصد داشته باشه که اون رو در چندین و چند فایل متنی ذخیره کنه، به هارددیسکی با ظرفیت ذخیره سازی 1408405339685650232817382812503040 بایت فضا احتیاج داره.
تعداد رشته های قابل تولید (با حداکثر طول 16 کاراکتر) هم 44012666865176569775543212890720 تا خواهد بود. بنابراین، در این روش، رمزعبورها (رشته ها) جایی ذخیره نمیشن چون برای این کار به یک کامپیوتر بسیار قدرتمند نیاز هست. پس رشته جدید، همون لحظه که تولید میشه، با رمزعبور قربانی در پایگاه داده وبسایت مورد نظر مقایسه میشه، و اگر رشته تولید شده و رمزعبور قربانی یکی بودن (Password = Password)، رمزعبور فوق crack شده و برنامه متوقف میشه. اما باز هم برای هکرها جای نگرانی وجود داره، و اون سرعت تولید رشته ها و مقایسه اونها با رمزعبور قربانی در هر ثانیه هست. یعنی، اگر کامپیوتر هکر، در هر ثانیه بتونه 10,000,000,000
رشته تولید کنه و اون رو با رمزعبور قربانی مقایسه کنه، 139563251094547 سال طول می کشه تا بتونه تمام رشته های با حداکثر طول 16 کاراکتر رو تولید و مقایسه کنه.
جدا از اون قضیه، برنامه نویسان قابلیتی به نام Captcha Code زمان وارد شدن به وبسایت یا ثبت نام در اون اضافه کردن که مانع Brute-Forcing میشه.
روش امنیتی دیگری در مقابله با Brute-Forcing و Dictionary Attack وجود داره و اون محدود سازی کاربر به دفعاتی معین برای Login شدن در وبسایت مربوطه هست. یعنی، اگر شما n-دفعه نتونستید وارد وبسایت بشید (حالا دلیلش می تونه اشتباه وارد کردن رمزعبور باشه)، بنابراین سیستم پیغامی مثل "متاسفانه خطایی رخ داد. لطفا n-ثانیه/دقیقه بعد وارد شوید" رو به شما نشون میده.

روش Brute-Forcing بیشتر به درد crack کردن رمزعبور به صورت آفلاین می خوره. یعنی اگر هکر به فایل های حاوی ایمیل، آی دی و رمزعبور کاربران دسترسی پیدا کنه، حمله رو آغاز می کنه و چیزی هم مانع کارش نمیشه.
همه اینها شامل Dictionary Attack هم میشه منتها در Dictionary Attack هکر سعی می کنه تنها رمزعبورهای رایج رو امتحان کنه. معمولا 15-20 میلیون رمزعبور رو داخل یک فایل متنی (txt.) قراره میدن و حمله رو آغاز می کنن. اما، روشهای امنیتی بالا که ذکر شدن نیز می تونن مانع تلاش هکر بشن.


RAT & KeyLogger : دKeylogger ها هرچیزی که شما با کیبورد تایپ می کنید رو ثبت و ضبط و ذخیره می کنن، و یا یک اسکرین شات از صفحه فعلی می گیرن و اون رو به هکر ارسال می کنن. مثلا وقتی که در حال وارد کردن ایمیل و رمزعبور خود در یک وبسایت هستید، keylogger ها اونها رو ذخیره می کنن، و یا ازشون اسکرین شات می گیرن و به هکر ارسال می کنن.
RAT، تصویری کلی از صفحه دسکتاپ شما به هکر نشون میده. با این روش، هکر می تونه از دور کامپیوتر شما رو مدیریت کنه. حتی می تونه صفحه دسکتاپ شما رو تماشا کنه.
یادتون نره که اگر وبسایت مربوطه کیبوردی مجازی برای وارد کردن رمزعبور کاربر داشت، از اون استفاده کنید تا به دام keylogger نیفته.
درضمن، زمان وارد شدن یا ثبت نام کردن در برخی از وبسایت ها، کاراکترهای داخل کادر 'Password' یا 'رمزعبور' یا 'کلمه عبور'، بلافاصله به کاراکتر ستاره (*) تبدیل میشن تا توی دید نباشن. سعی کنید ستاره ها رو غیر فعال نکنید.

Guessing (حدس زدن) : در این روش، هکر، با توجه به رفتار و افکار شخص قربانی، و شرکت یا گروهی که در اون فعالیت می کنه، رمزعبور او رو حدس می زنه. برای مثال: admin123. یا، انسان های تنبل و با عجله، رمزعبورهایی راحت مثل 12345678 یا ABCDEFGH رو انتخاب می کنن. عاشقان ریاضی، (احتمالش بالاست) از فرمول های ریاضی به عنوان رمزعبور استفاده ی کنن; برای مثال: 2*(x+y).


Malware (بدافزار) : بدافزار توسط شما اجرا میشه، فایل های متنی (txt.) که در کامپیوتر دارید (که حاوی ایمیل و رمزعبور شماست) به علاوه Cookie های مرورگر اینترنت شما به هکر ارسال میشه و تمام!


Phishing : در این روش، هکر با ارسال لینکی به ایمیل شما، و عنوانی مثل "عکس های بَدت بین همه پخش شده"، سعی در به دام انداختن شما داره. مثلا اگر کاربر Facebook باشید و هکر هم این قضیه رو بدونه، او یک وبسایت تقلبی که ظاهر و قالب اون تماما شبیه به Facebook هست رو طراحی می کنه، و اون رو به ایمیل شما ارسال می کنه. با خوندن چنین عنوانی، اضطراب وجودتون رو فرا می گیره، و فراموش می کنید که به نام وبسایت توجه کنید (چون قطعا Facebook.com نیست)، بنابراین سریعا روی لینک کلیک می کنید و وقتی که وارد وبسایت شدید، گمون می کنید که وارد Facebook شدید، و سریعا ایمیل و رمزعبورتون رو وارد می کنید تا بینید که اوضاع از چه قراره، چون همش در ذهن خودتون میگید: "یعنی چی که عکسهای بد من بین همه پخش شده؟!". اما وقتی ایمیل و رمزعبورتون رو وارد کردید و Login شدید، رمزعبور شما مستقیما برای هکر ارسال میشه و برای اینکه شما متوجه نشید که این یک وبسایت جعلی هست، شما رو به وبسایت واقعی Facebook منتقل می کنه تا کلا نفهمین که هک شدید!


تماس گرفتن با شما و درخواست رمزعبور: در این روش، هکر به شما زنگ می زنه و میگه:
هکر: سلام. از شرکت سرویس دهنده اینترنت شما تماس می گیرم. شما آقای ****** هستید دیگه؟
قربانی: بله خودم هستم.
هکر: لطفا ایمیل و رمزعبور خودتون رو بگید.
قربانی: بله. یادداشت کنید... :)
بعضی وقتها این روش هم جواب میده. پس، سعی کنید پُر رو و با احتیاط باشید، و مضطرب نشید.


نکاتی پیرامون رمزعبورهای قوی :

1. نام خودتون، شماره موبایلتون، نام حیوان خونگیتون، نام پدرتون، مادرتون، خواهراتون، برادرتون و چیزهای مورد علاقتون رو به جای رمزعبور استفاده نکنید.
   
2. نام خودتون یا چیزی رو به صورت کد به جای رمزعبور استفاده نکنید. مثال: Hamid = <!^@#.
   
3. اعداد رو کنار اعداد قرار ندید. حروف رو کنار حروف قرار ندید. نماد رو کنار نماد قرار ندید. در کُل کاراکترهای هم نوع رو کنار هم قرار ندید. یعنی بهتره به این گونه باشه: S0;t?2b'fS]q:n!L نه به این گونه jusowp,gmdj-suwi یا 83729047738i0_739. یا ()&*$%#()$&*#.
   
4. کاراکترها رو پی در پی هم قرار ندید. مثلا: ABCDEFGH یا abcdefgh یا 0123456789 یا 9876543210 یا hgfedcba یا HGFEDCBA یا A-B-C-D-E-F-G-H یا H-G-F-E-D-C-B-A یا 1-2-3-4-5-6-7-8-9 یا 9-8-7-6-5-4-3-2-1. در رابطه با نمادها باید بگم که اونها پی در پی نیستن، منتها سعی کنید اونها رو به صورت کُداَسکی پی در پی هم قرار ندید. مثلا: کُد اَسکی کاراکتر : 58 هست و کد ; 59 هست. بنابراین، این دو رو کنار هم قرار ندید. در پایین این پست می تونید جدول اسکی رو دانلود کنید. سعی کنید کلید های روی کیبورد رو هم پی در پی هم فشار ندید. یعنی، \=-)(*&^%$#@!~ یا QWERTYUIOP[] یا ASDFGHJKL;' یا ZXCVBNM,./?. این کاراکترها روی کیبورد کنار هم قرار دارن. سعی کنید از این روش برای ساخت رمزعبور استفاده نکنید.
   
5. اعداد رو کنار کاراکترهایی مثل % - + * . / # $ > < قرار ندید. چون اگر اونها کنار این نوع کاراکترها قرار بگیرن، اونوقت رشته معنی واضحی پیدا می کنه.
   
6. از ساخت رشته هایی مثل (A) یا [A] یا {A} یا >A< یا <A> خودداری کنید.
   
7. از استفاده از کاراکترهای تکراری بیش از حد در رمزعبورهای خودتون خودداری کنید. مثل: AAAAAAAAAAAABBS9ABAAAA یا 1981200000000 یا ,,,,,,,IA989,,,,,, یا بدتر AAAAAAAAAAAAAAAAAAAB.
   
8. از ساخت رشته های تمیز خودداری کنید. مثال: ...([{.X+1.}])... این رشته فاجعه هست.
   
9. با استفاده از ساخت رشته های کوچک تکراری، سعی در ساخت یک رشته بزرگتر نداشته باشید. مثال: A,_1B,_2C,_3D,_4E,_5F,_6 دقت کنید که رشته کوچک A,_1 در حال تکرار شدن به صورت پی در پی هست.
   
10. طول دراز رمزعبور تنها عامل خوب بودن اون نیست. برای مثال: 979-127Y-91Y7A7Y717973196386Y08AS6D8,6891689,63060 پنجاه کاراکتره اما q\j)V#h%b5j:0l?9&d$g.i{s,X!p'S2O_W~P6[x^K4N;R|A8T> هم پنجاه کاراکتره. دومی 10ها برابر قوی تر از اولیه. اولی احمقانه هست.
    
11. از تکرار رشته های کوچک خودداری کنید. مثال: NM-NM-NM-NM-NM-NM-NM-NM-NM-NM-NM-NM-NM این رشته به عنوان رمزعبور بسیار ضعیفه.
    
12. طول یک رمزعبور نرمال حداقل 16 کاراکتره. مثال: C4w|u~Y>H^A,M~F$

من برنامه ای تحت سیستم عامل داس نوشتم به نام Passcode که وظیفه تولید رمزعبورهای قوی، و بررسی قدرت رمزعبور رو داره. همچنان بهینه سازی و فشرده سازی اون (حذف کاراکترهای زائد). اگر به من اعتماد دارین، ازش استفاده کنین. البته خیلی سریع به افراد ناشناس اعتماد نکنین، چون روش های گول زدن زیاده. اما بچه ها از برنامه ای که نوشتم استفاده کردن و کسی چیزی نگفت. لینک تاپیکش اینجاست. نسخه 8.7 اون رو دانلود کنید و باهاش تمرین کنید.

رمزعبورهایی که توسط Passcode تولید میشن به این گونه هستن :

• a^z.A_h$j,o{Z$P8
  
• ?E}8(L%C>i$x!Mi_W0s9[V<g3Q5I^Z7A
  
• n|X3_N.w>e:w}0L&O@j'q5C1v4"x[7U!B,J2F^Q)z#K;R6i$D8
  
• :j(f]P|J!s0n.Yj9o7r1i}y#a6S@D%L\Q~k^8N?5z"u3G;C$l,c&e<6 ^uNFTxXobAS7kn$C6%Uw41G5U

در آرامش و امنیت به سر ببرید.

[C89]

b.PNG

a.PNG