با توجه به پیشرفت های در حال توسعه در فناوری، تکنیک های مورد استفاده برای نفوذ به رمزهای عبور به طور فزاینده ای همگام با سرعت نوآوری در امنیت سایبری پیچیده می شوند.
اگرچه زرادخانه ای که توسط مجرمان سایبری استفاده می شود روز به روز گسترده تر می شود، داده های اخیر شیوع برخی از تکنیک ها را نسبت به سایرین برجسته کرده است. به عنوان مثال، حملات فیشینگ، که توسط 75% از کسبوکارها در مقطعی در سال 2020 تجربه شدهاند، به عنوان یکی از موارد مورد علاقه مطرح میشوند. ترز شاچنر، مشاور امنیت سایبری در VPN Brains میگوید: “فیشینگ استفاده از فریب در ایمیل یا سایر ابزارهای الکترونیکی برای به دست آوردن اطلاعات خصوصی، مانند رمز عبور، از کاربران است.” مصرفکنندگان و کسبوکارهای بیشتری در حال توسعه ردپای آنلاین گستردهتر در حالی که استفاده روزانه از فناوری را در بر میگیرند، هستند. با این حال، نقطه ضعف این پیشرفت این است که تعداد فزاینده ای از کاربران نیز در برابر این نوع حملات آسیب پذیرتر می شوند. جدای از حملات غیرمجاز مبتنی بر ایمیل، مجرمان سایبری نیز از نرم افزارهای داخلی برای دور زدن و برهم زدن ثبات رمز عبور سوء استفاده می کنند. این نوع حمله که به عنوان بدافزار شناخته می شود، می تواند دارای نماهای متفاوتی باشد. ویروسها، کرمها، روتکیتها و باجافزارها همگی در یک حمله بدافزار رایج هستند، و همانطور که Schachner توضیح میدهد، استفاده از کیلاگرها و تروجانها نیز وجود دارد: “حملهکنندگان از کیلاگرها برای ضبط مخفیانه و استخراج کلیدهایی که کاربران روی صفحهکلید خود تایپ میکنند، استفاده میکنند. از جمله رمزهایی که کاربران هنگام ورود به حساب های خود تایپ می کنند. نوع دیگری از بدافزارها، تروجانهای دسترسی از راه دور (RAT) هستند که به مهاجمان اجازه میدهند تا دسترسی مخفیانه از راه دور، با امتیازات مدیریتی، به رایانه داشته باشند. با استفاده از RAT، مهاجمان می توانند رمزهای عبور ذخیره شده و ذخیره شده را استخراج کنند و از صفحات ورود به سیستم که در آن کاربران اعتبار خود را وارد کرده اند، اسکرین شات بگیرند.” Schachner در ادامه روشهای دیگری را که برای پیشی گرفتن از رمزهای عبور استفاده میشود، از جمله استفاده از ابزارهای شکستن توضیح میدهد: “ابزارهای کرک مقادیر زیادی از گذرواژه ها و رمزهای عبور رایج را که فاش شدهاند، و همچنین تغییرات و ترکیبهایی از آنها را آزمایش میکنند تا زمانی که رمز عبور صحیح را حدس بزنند. با استفاده از این ابزارها، مهاجمان میتوانند به شیوهای کارآمد در مورد گذرواژهها حدسهای درستی بزنند.”
موضوع گسترده تر برای هر کسی که تا به حال از رمز عبور استفاده کرده است، دشواری در به خاطر سپردن آنها احساسی آشنا خواهد بود. اگرچه بسیاری از سایتها استفاده از حروف بزرگ و نویسههای ویژه را برای تقویت رمز عبور توصیه میکنند، این رویکرد نیز میتواند باعث سقوط آنها شود. “بسیاری از کسبوکارها سیاستهای سختگیرانهای برای تغییر رمزهای عبور هر 30، 60 یا 90 روز اعمال میکنند، که در واقع اغلب منجر به امنیت ضعیفتر میشود. کارمندان گذرواژههای بیشماری برای به خاطر سپردن دارند و مجبور شدن آنها به تغییر در فواصل زمانی منظم منجر به عدم رعایت بهداشت امنیتی در هنگام نوشتن آنها یا به خاطر سپردن آنها تا حد امکان میشود.”
سخن آخر بهترین حمله، دفاع خوب است، که می تواند شامل مواردی مانند آموزش عمومی، استفاده از احتیاط گسترده آنلاین، و البته، اجرای رمزهای عبور پیچیده تر باشد: “کارمندان باید احتیاط کنند، از کلیک کردن اجتناب کنند. در هر پیوندی از فرستندگان ناشناس و حتی یک فرستنده شناخته شده را در صورت مشکوک بودن ایمیل زیر سوال ببرید. در نتیجه، آموزش کارمندان در مورد اینکه چه چیزی یک رمز عبور قوی است، نحوه رعایت بهداشت رمز عبور و نحوه شناسایی تهدیدات امنیتی یا تلاشهای فیشینگ بسیار مهم است.” رمزهای عبور باید به جای پیچیدگی (شامل حروف بزرگ و کوچک، اعداد و کاراکترهای خاص) با در نظر گرفتن طول (هر چه طولانی تر، بهتر!) ایجاد شوند تا شکستن آنها سخت تر شود.
مصرفکنندگان و کسبوکارهای بیشتری در حال توسعه ردپای آنلاین گستردهتر در حالی که استفاده روزانه از فناوری را در بر میگیرند، هستند. با این حال، نقطه ضعف این پیشرفت این است که تعداد فزاینده ای از کاربران نیز در برابر این نوع حملات آسیب پذیرتر می شوند. جدای از حملات غیرمجاز مبتنی بر ایمیل، مجرمان سایبری نیز از نرم افزارهای داخلی برای دور زدن و برهم زدن ثبات رمز عبور سوء استفاده می کنند. این نوع حمله که به عنوان بدافزار شناخته می شود، می تواند دارای نماهای متفاوتی باشد. ویروسها، کرمها، روتکیتها و باجافزارها همگی در یک حمله بدافزار رایج هستند، و همانطور که Schachner توضیح میدهد، استفاده از کیلاگرها و تروجانها نیز وجود دارد: “حملهکنندگان از کیلاگرها برای ضبط مخفیانه و استخراج کلیدهایی که کاربران روی صفحهکلید خود تایپ میکنند، استفاده میکنند. از جمله رمزهایی که کاربران هنگام ورود به حساب های خود تایپ می کنند. نوع دیگری از بدافزارها، تروجانهای دسترسی از راه دور (RAT) هستند که به مهاجمان اجازه میدهند تا دسترسی مخفیانه از راه دور، با امتیازات مدیریتی، به رایانه داشته باشند. با استفاده از RAT، مهاجمان می توانند رمزهای عبور ذخیره شده و ذخیره شده را استخراج کنند و از صفحات ورود به سیستم که در آن کاربران اعتبار خود را وارد کرده اند، اسکرین شات بگیرند.” Schachner در ادامه روشهای دیگری را که برای پیشی گرفتن از رمزهای عبور استفاده میشود، از جمله استفاده از ابزارهای شکستن توضیح میدهد: “ابزارهای کرک مقادیر زیادی از گذرواژه ها و رمزهای عبور رایج را که فاش شدهاند، و همچنین تغییرات و ترکیبهایی از آنها را آزمایش میکنند تا زمانی که رمز عبور صحیح را حدس بزنند. با استفاده از این ابزارها، مهاجمان میتوانند به شیوهای کارآمد در مورد گذرواژهها حدسهای درستی بزنند.”
برای هر کسی که تا به حال از رمز عبور استفاده کرده است، دشواری در به خاطر سپردن آنها احساسی آشنا خواهد بود. اگرچه بسیاری از سایتها استفاده از حروف بزرگ و نویسههای ویژه را برای تقویت رمز عبور توصیه میکنند، این رویکرد نیز میتواند باعث سقوط آنها شود. “بسیاری از کسبوکارها سیاستهای سختگیرانهای برای تغییر رمزهای عبور هر 30، 60 یا 90 روز اعمال میکنند، که در واقع اغلب منجر به امنیت ضعیفتر میشود. کارمندان گذرواژههای بیشماری برای به خاطر سپردن دارند و مجبور شدن آنها به تغییر در فواصل زمانی منظم منجر به عدم رعایت بهداشت امنیتی در هنگام نوشتن آنها یا به خاطر سپردن آنها تا حد امکان میشود.”
بهترین حمله، دفاع خوب است، که می تواند شامل مواردی مانند آموزش عمومی، استفاده از احتیاط گسترده آنلاین، و البته، اجرای رمزهای عبور پیچیده تر باشد: “کارمندان باید احتیاط کنند، از کلیک کردن اجتناب کنند. در هر پیوندی از فرستندگان ناشناس و حتی یک فرستنده شناخته شده را در صورت مشکوک بودن ایمیل زیر سوال ببرید. در نتیجه، آموزش کارمندان در مورد اینکه چه چیزی یک رمز عبور قوی است، نحوه رعایت بهداشت رمز عبور و نحوه شناسایی تهدیدات امنیتی یا تلاشهای فیشینگ بسیار مهم است.” رمزهای عبور باید به جای پیچیدگی (شامل حروف بزرگ و کوچک، اعداد و کاراکترهای خاص) با در نظر گرفتن طول (هر چه طولانی تر، بهتر!) ایجاد شوند تا شکستن آنها سخت تر شود.