آیا گذرواژهای که از اطلاعات مالیتان حفاظت میکند باید ضعیف تر از رمزی باشد که برای قفل کردن سلفیها و ویدئوهای بیاهمیت و مبادلات توییتری خود در شبکههای اجتماعی از آن استفاده میکنید؟
در ادامه خبر با تکاوران آی تی همراه باشید ...
طبق تحقیقات قانونی سایبری گروه آموزشی دانشگاه New Haven، در تحقیقی راجع به قدرت کلمهی عبور مورد نیاز برای دسترسی به حساب وبگاه های بانکهای Wells Fargo، Capital One و ۱۵ بانک دیگر، محققان دریافتند که ۳۵ درصد افراد کلمهی عبور ضعیفی داشتهاند.
فرانک بریتینگر : پروفسوریار و متخصص امنیت سایبری در دانشگاه New Haven گفت: «ما نمیتونیم باور کنیم رمزهایی که مردم برای محافظت از جواهراتشان انتخاب میکنند کماهمیتتر از رمزهایی است که برای قفل کردن حسابهای رسانههای اجتماعیشان مانند توییتر انتخاب میکنند.»
UNH (دانشگاه New Haven) با جدا کردن ۶ بانک از ۱۷ بانک برای گزارش دادن، یافتههایش را منتشر کرد. UNH نام بانکهایی که سیاستهای رمزگذاری ضعیفی دارند را اعلام کرد که شامل بانک Wells Fago، Capital One، Chase Bank، Citi Bank، اتحادیهی اعتبار فدرال اول وبستر و بانک BBT& T Crop میباشد، که حدودا ۳۵۰ میلیون حساب میشود. این تحقیق توسط ۵ محقق دانشجوی لیسانس با گروه آموزش و تحقیقات قانونی سایبری دانشگاه New Haven صورت گرفت.
نقطهی مشترک یافتههای دانشگاه UNH در مورد حقیقت همهی بانکهای مورد تحقیق این بود که روشهای رمزگذای وبگاه هیچ تفاوتی بین حروف کوچک و بزرگ قایل نشدهاند. یعنی بر اساس این گزارش، تفاوتی بین گذرواژهی قوی و ضعیفتر وجود ندارد.
بریتینگر گفت :«ما از بانکها انتظار داریم که با در نظر گرفتن روشهای رمزگذاری مشتریان بانک، از بالاترین استاندارد استفاده کنند. اگر بانکها قدم سادهی پشتیبانی از کلمات عبورِ حساس به بزرگی و کوچکی حروف را بردارند، حساب مشتریان کمتر در معرض خطر کشف رمز خواهد بود.»
مشخص نیست که دقیقاً هر کدام از این شش بانک چه روش رمزگذاری دارند. برای مثال، آیا ۸ حرفی حساس به کوچکی و بزرگی حروف است؟ آیا از علامتهای مخصوص مانند # یا % استفاده شده است؟ بریتینگر گفت که تحقیقات وی روی این تمرکز داشت که معمولترین کلمههای عبور ۸ نویسهای چه هستند و ترکیبی از اعداد و حروف برای آن چه میتواند باشد.
بریتینگر گفت: « مردم رمزهای خود را همیشه با حروف بزرگ و کوچک میسازند. این بانکها با پشتیبانی نکردن از کلمات عبور حساس به کوچکی و بزرگی حروف، به نظر میرسد که باعث نا امن شدن بیشتر کلمات عبور شدهاند.»
وی گفت که بانکها با اجازه ندادن به مشتریان به ساخت کلمهی عبور حساس به حروف به طور چشمگیری این امکان را به نفوذگرها دادهاند که با حملهی جست و جوی فراگیر رمز بتواند کلمهی عبور را حدس بزند.
وی افزود تفاوت بین ۶۲ ترکیب از نویسهها و ۲۶ ترکیب بسیار زیاد است. وی تخمین زد که یک حملهی جستوجوی رمز روی یک کلمهی عبور ۸ نویسهای حساس به بزرگی و کوچکی حروف که از نویسهی خاصی مانند نمادها هم در آن استفاده نشده است، حداقل ۸ ساعت طول خواهد کشید. در مورد یک کلمهی رمز مشابه که حساس به حروف است و هیچ نمادی هم ندارد، میتوات گفت که تقریباً ۲۶ روز طول میکشد تا یک نفوذگر بتواند با یک ابررایانه، آن را بشکند.
طی این تحقیق، گروه آموزشی و تحقیقات قانونی سایبری دانشگاه New Have همچنین با مشکل توانایی بانک در پاسخدهی به بازخورد مشتریان در مورد تهدیدهای امنیتی واقعی و مشاهده شده، مواجه شدند. بریتینگر گفت وقتی که محققانش تلاش میکردند که در مورد تهدید امنیتی کلمهی عبور به بانکها هشدار دهند، هیچ ساز و کار رسمی وجود نداشت.
بر اساس این گزارش آمده است: «تماس به این بانکها و هشدار به آنها در مورد یک مسئلهی امنیتی تقریباً غیرممکن است. ما نتوانستیم هیچ آدرس رایانامه یا شمارهی تلفنی برای گزارش این مشکل امنیتی پیدا کنیم، اما آدرس رایانامه و شمارهی تلفن برخی بانکها را مورد نفوذ قرار دادیم (از طریق فیشینگ).»
بریتینگر گفت تمامی بانکها از طریق خطوط تلفنیشان از این موضوع با خبر شدند. وی گفت که محققان توسط برخی از این بانکها تهدید شدند، بانکهایی که نمایندهشان نمیدانستند چگونه به این تحقیقات پاسخ دهند و نگرانیهای رو به افزایش در مورد یک ادارهی امنیتی یا IT را نادیده گرفتند.
بریتینگر گفت: «اگر این بانکها بخواهند یک تیم تحقیقاتی دانشگاهی را نادیده بگیرند، وقتی که یک مشتری با آنها تماس بگیرد و راجع به یک آسیبپذیری امنیتی آشکار با آنها صحبت کنند، آن موقع چه میشود؟»
بریتینگر گفت که یافتههای ما یک سؤال مهم را ایجاد میکند: چرا سکوهای شبکههای اجتماعی و بسیاری از سکوهای دیگر که مربوط به حسابهای مالی و شخصی افراد نیست، از روشهای رمزگذاری سختگیرانهتری استفاده میکنند؟
منبع: asis