تقریباً نیمی از پسوردهای دنیا در کمتر از یک دقیقه هک می‌شوند

هر سال صدها میلیون پسورد واقعی کاربران وارد دارک‌وب می‌شود. ما ۲۳۱ میلیون پسورد منحصربه‌فرد که بین سال‌های ۲۰۲۳ تا ۲۰۲۶ لو رفته بودند را تحلیل کردیم و نتیجه بسیار ناامیدکننده بود: بخش عمده این رمزها فوق‌العاده ضعیف هستند.

برای شکستن ۶۰ درصد این پسوردها، یک هکر تنها به یک ساعت زمان و چند دلار هزینه نیاز دارد. علاوه بر این، روند کرک کردن رمزها هر سال سریع‌تر می‌شود؛ در تحقیق مشابهی که سال ۲۰۲۴ انجام داده بودیم، درصد پسوردهای آسیب‌پذیر کمتر بود.

امروز می‌خواهیم بررسی کنیم که پسوردهای معمولی تا چه اندازه قابل اعتماد هستند (اسپویلر: تقریباً اصلاً نیستند!) و چگونه می‌توان با روش‌های امن‌تر از داده‌ها و حساب‌های کاربری محافظت کرد. همچنین رایج‌ترین الگوهایی را که در پسوردهای واقعی کاربران دیده می‌شود مرور خواهیم کرد.

پسوردها چگونه کرک می‌شوند؟

امروزه پسوردها تقریباً هیچ‌وقت به‌صورت متن ساده ذخیره نمی‌شوند. برای مثال اگر رمز عبور شما  Password123باشد، سرور آن را مستقیماً ذخیره نمی‌کند؛ بلکه با استفاده از الگوریتم‌های خاص، رمز را به رشته‌ای ثابت از حروف و اعداد تبدیل می‌کند که به آن «هش» گفته می‌شود.

هر بار که کاربر رمز عبور را وارد می‌کند، سیستم دوباره آن را هش کرده و با مقدار ذخیره‌شده مقایسه می‌کند؛ اگر برابر باشند، رمز صحیح است.

اگر مهاجم به این هش دسترسی پیدا کند، باید آن را به رمز اصلی تبدیل کند؛ فرآیندی که به آن «کرک کردن پسورد» گفته می‌شود. این کار معمولاً با استفاده از کارت‌های گرافیک قدرتمند (GPU) انجام می‌شود و روش‌های مختلفی برای آن وجود دارد:

 حمله Brute Force یا آزمون همه حالت‌ها

کامپیوتر تمام ترکیب‌های ممکن از کاراکترها را امتحان می‌کند و هش هرکدام را محاسبه می‌کند. این روش ساده‌ترین راه برای شکستن پسوردهای کوتاه یا رمزهایی است که فقط از یک نوع کاراکتر مثل اعداد تشکیل شده‌اند.

جدول‌های رنگین‌کمانی (Rainbow Tables)

این روش کابوس کسانی است که پسورد ساده دارند. درواقع نوعی «دفترچه تلفن» از رمزهای عبوری است که قبلاً هش آن‌ها شکسته شده است. مهاجم فقط کافی است هش موردنظر را پیدا کند تا رمز متناظر آن مشخص شود.

کرک هوشمند

این الگوریتم‌ها بر اساس دیتابیس‌های عظیم از پسوردهای لو رفته آموزش دیده‌اند. آن‌ها الگوهای رایج را می‌شناسند و ابتدا محتمل‌ترین ترکیب‌ها را امتحان می‌کنند.

این سیستم‌ها موارد زیر را در نظر می‌گیرند:

کلمات دیکشنری

جایگزینی حروف با نمادها "مثل a → @ یا s → $"

ساختارهای رایج پسورد مانند: "کلمه + عدد + کاراکتر خاص"

ترکیب این روش‌ها، سرعت کرک کردن را به‌شدت افزایش می‌دهد.

علاوه بر این، مهاجمان می‌توانند پسوردها را مستقیماً به‌صورت متن ساده سرقت کنند. روش‌های زیادی برای این کار وجود دارد:

فیشینگ و صفحات جعلی

کی‌لاگرها که کلیدهای فشرده‌شده را ثبت می‌کنند

بدافزارها و تروجان‌هایی که فایل‌ها، کوکی‌ها، کلیپ‌بورد و اطلاعات دیگر را سرقت می‌کنند

متأسفانه بسیاری از کاربران هنوز رمزهای خود را داخل یادداشت‌ها، پیام‌رسان‌ها یا فایل‌های متنی ذخیره می‌کنند یا آن‌ها را در مرورگرها نگه می‌دارند؛ جایی که مهاجمان می‌توانند ظرف چند ثانیه به آن‌ها دسترسی پیدا کنند.

هر سال ما حدود صد میلیون نشت پسوردِ متن ساده را ردیابی می‌کنیم. از این پایگاه‌های داده برای هشدار دادن به کاربران Kaspersky Password Manager  استفاده می‌شود تا اگر اطلاعاتشان فاش شده باشد مطلع شوند.

 و پاسخ به پرتکرارترین سؤال کاربران:

خیر، ما پسورد کاربران را نمی‌دانیم.

ما قبلاً به زبان ساده توضیح داده‌ایم که چگونه پسوردهای شما را بدون دانستن خود رمز با داده‌های لو رفته مقایسه می‌کنیم و چرا نه رمزها و نه حتی هش آن‌ها هرگز دستگاه شما را ترک نمی‌کنند.

۶۰ درصد پسوردها در کمتر از یک ساعت کرک می‌شوند

ما پایگاه داده تحقیق قبلی را با ۳۸ میلیون پسورد واقعی دیگر که توسط مهاجمان در فروم‌های دارک‌وب منتشر شده بود گسترش دادیم و نتایج را مقایسه کردیم.

آزمایش‌ها با استفاده از یک کارت گرافیک RTX 5090 و روی پسوردهایی با هش MD5 انجام شد. داده‌های این تحلیل از سرویس Digital Footprint Intelligence به‌دست آمده‌اند.

نتیجه تأسف‌بار است:

پسوردها همچنان ضعیف هستند و شکستن آن‌ها هر سال ساده‌تر و سریع‌تر می‌شود.

امروز ۶۰ درصد رمزهای عبور در کمتر از یک ساعت کرک می‌شوند؛ دو سال پیش این عدد ۵۹ درصد بود.

اما بخش واقعاً ترسناک ماجرا چیز دیگری است:

تقریباً نیمی از تمام پسوردها (۴۸ درصد) در کمتر از یک دقیقه شکسته می‌شوند.