كشف تحليل جديد أجرته شركة "كاسبرسكي" عن إمكانية اختراق معظم كلمات المرور في وقت أقلّ بكثير ممّا نتخيله، وذلك بتكلفةٍ زهيدة ووقت قليل، بالإضافة إلى خوارزمية ذكية تقوم بتخمين كلمات المرور بطريقة منهجية.
وفقًا للدراسة، تمكّنت الخوارزمية من اختراق 59 في المئة من 193 مليون كلمة مرور حقيقية في أقلّ من 60 دقيقة، و45 في المئة في أقلّ من 60 ثانية.
اعتمدت الدراسة على ما يُسمّى "هجوم القوّة الغاشمة" (Brute-force Attack)، والتي تقوم على تجربة جميع التركيبات الممكنة لكلمة المرور حتّى العثور على المطابقة. لكنّ الخبير الأمنيّ في "كاسبرسكي"، أنطونوف، يشرح أنّ "خوارزميات التخمين الذكية يتمّ تدريبها على قاعدة بيانات تحتوي على كلمات مرور شائعة، وذلك لحساب تكرار مجموعات الأحرف المختلفة واختيار أكثر التوليفات شيوعًا أوّلاً، ثمّ الانتقال إلى الأقلّ شيوعًا".
على الرغم من شيوع هذه الهجمات بسبب بساطتها، إلّا أنّها ليست الأفضل عند الحديث عن خوارزميات اختراق كلمات المرور. عندما نضع في الاعتبار أنّ الغالبية العظمى من كلمات المرور المستخدمة يوميًا تحتوي على خصائص متشابهة تشمل الجمع بين التواريخ والأسماء وكلمات القاموس وتسلسلات لوحة المفاتيح، فإنّ إضافة هذه العناصر إلى عملية التخمين الذكية يُسرّع الأمور بشكل كبير.
تركيبة متوقّعة لمعظم كلمات المرور
كشفت دراسة "كاسبرسكي" أنّه في ما يتعلّق بنسبة كلمات المرور القابلة للاختراق بأيّ إطار زمنيّ باستخدام كلّ طريقة، فإنّه في حين تمّ اختراق 10 في المئة من قائمة كلمات المرور التي تمّ تحليلها في أقلّ من دقيقة، ارتفعت هذه النسبة إلى 45 في المئة عند إضافة التخمين الذكي إلى الخوارزمية. أمّا بالنسبة إلى الوقت بين دقيقة وساعة، فقد بلغ الفرق 20 في المئة مقابل 59 في المئة.
بسبب طبيعتنا البشرية التي تميل إلى الاعتياد، نحن سيّئون للغاية في اختيار كلمات مرور قوية. الحقيقة هي أنّ كلمات المرور التي نختارها لأنفسنا نادرًا ما تكون عشوائيّة حقًّا. نحن نعتمد على كلّ الأشياء التي صُمّمت خوارزميات التخمين الذكية للكشف عنها: الأسماء والعبارات الشائعة، التواريخ المهمّة سواء الشخصية أو التاريخية، والأنماط، الكثير من الأنماط.
لإعطاء فكرة عن مدى قابلية توقّع اختياراتنا، قامت قناة على "يوتيوب" بأخذ عينة من أكثر من 200.000 شخص وطلبت منهم اختيار رقم "عشوائيّ" بين 1 و100. جُذب معظم الناس نحو المجموعة الصغيرة نفسها نسبيًّا: 7 و37 و42 و69 و73 و77. ووفقًا لـ"كاسبرسكي"، حتّى عند محاولة اختيار سلسلة أحرف عشوائيّة، فإنّ معظم الناس يفضّلون مركز لوحة المفاتيح لانتقاء الأحرف.
ووفقًا لأنطونوف، "تجعل الخوارزميات الذكية اختراق معظم كلمات المرور التي تحتوي على تسلسلات قاموسية عملية سهلة، بل إنّها تكتشف حتّى استبدال الأحرف". بعبارة أخرى، فإنّ استخدام p@ssw0rd بدلاً من password لن يُبطّئ الخوارزمية على الإطلاق.