آیا از رمزهای عبوری استفاده میکنید که بسیاری دیگر هچون شما از آنها استفاده میکنند؟ اگر اینطور است به شما هشدار میدهیم که احتمال هک شدن آنها بسیار بالا است.
به گزارش شرکت مهندسی شبکه گستر، هک رمزهای عبور همچنان از اصلیترین راههای نفوذ مهاجمان به حسابهای آنلاین محسوب میشود.
شرکت NordPass در گزارشی فهرستی از رایجترین رمزهای عبور را که کاربران در سال 2022 از آنها استفاده میکردند، منتشر کرده است. این فهرست که در اینجا قابل دسترس است حاوی 200 رمز عبور متداول است.
فهرست مذکور حاصل از ارزیابی یک بانک داده 3 ترابایتی توسط محققان امنیتی مستقل است.
از آنجا که هک رمزهای عبور یک خطر امنیتی بزرگ است، چنانچه رمز عبور شما در این فهرست قرار دارد، توصیه میکنیم پیش از آنکه خیلی دیر شود فوراً نسبت به تغییر آن در تمامی حسابهای کاربری خود اقدام کنید.
بر طبق گزارشی که در تابستان امسال منتشر شد 24 میلیارد نام کاربری و رمز عبور در بازارهای زیرزمینی تبهکاران سایبری در حال تبادل و خریدوفروش شدن است. آماری که در مقایسه با سال قبل از آن 65 درصد افزایش داشته است.
روشهای متداول مهاجمان جهت دستیابی به رمزهای عبور
مهاجمان از روشهای مختلفی برای سرقت و دستیابی به رمز عبور کاربران استفاده میکنند:
فیشینگ
یکی از قدیمیترین ترفندهای موجود، کلاهبرداری از طریق ایمیل، پیامک یا تلفن است که از آن به فیشینگ (Phishing) یاد میشود؛ در این حمله مهاجمان تظاهر میکنند که از سوی یک نهاد معتبر و قانونی تماس گرفتهاند. به طور معمول آنها شما را ترغیب میکنند که نام کاربری و سایر جزئیات خود را در وبسایتی که در کنترل آنهاست وارد کنید.
حملات سعی و خطا
هکرها با بکارگیری ابزارهای خودکار در حملات موسوم به سعی و خطا (Brute Force) تلاش میکنند با آزمون و خطا به حسابهای کاربری نفوذ کنند. آنها اغلب رمزهای عبور رایج را وارد میکنند تا ببینند کدام یک از آنها با آن رمز عبور مطابقت دارند.
سناریوهای پر کردن اطلاعات اصالتسنجی
سناریوهای پر کردن اطلاعات اصالتسنجی (Credential Stuffing)، نوعی حمله سعی و خطا است که در آن هکرها از رمزهای عبوری که پیشتر سرقت یا افشا شدهاند استفاده میکنند. مهاجمان، در این روش، معمولاً از طریق اسکریپتهای خودکار قابل استفاده بودن این رمزهای عبور را بر روی وبسایتها و سرویسهای آنلاین بررسی و امتحان میکنند.
کی لاگرها
کی لاگرها/ سارقان اطلاعات (Keylogger/info-stealer) نوعی بدافزار هستند که کلیدهای فشرده شده توسط کاربر را ضبط و به مهاجم ارسال میکنند.
نگاه از پشت
نگاه از پشت یا سرقت رمز عبور با نگاه به دست کاربر (Shoulder Surfing)، نوعی از حملات مهندسی اجتماعی است که به کسب اطلاعات شخصی یا خصوصی از طریق مشاهده مستقیم اشاره دارد. کاربران هنگام ورود نام کاربری و رمز عبور یا هنگام دسترسی به دادههای حساس باید همیشه مراقب محیط اطراف خود باشند.
هکرها میتوانند پس از ورود به حساب کاربری دست به هر اقدامی که کاربر هکشده مجوز انجام آن را دارد بزنند. میزان تراکنشهای جعلی مربوط به کارتهای پرداخت در سال 2021 از 32 میلیارد دلار فراتر رفت و پیشبینی میشود تا سال 2027 به 38.5 میلیارد دلار افزایش یابد.
20 رمز عبور رایج در سال 2022
متأسفانه، بسیاری از کاربران اینترنت، حملات را برای تبهکاران سایبری آسانتر میکنند. در فهرست NordPass کلمه «password» با نزدیک به پنج میلیون تکرار پر استفادهترین رمز عبور در سال 2022 بوده است. در رتبه دوم «123456» و پس از آن «12123456789» قرار دارد. در رتبههای چهارم و پنجم رمزهای عبور متداول «guest» و «qwerty» قرار داشتند.
Position | Password | Position | Password |
1 | password | 11 | 1234567 |
2 | 123456 | 12 | 1234 |
3 | 12123456789 | 13 | 1234567890 |
4 | guest | 14 | 000000 |
5 | qwerty | 15 | 555555 |
6 | 12345678 | 16 | 666666 |
7 | 111111 | 17 | 123321 |
8 | 12345 | 18 | 654321 |
9 | col123456 | 19 | 7777777 |
10 | 123123 | 20 | 123 |
علاوه بر متداولترین رمزهای عبور نشان داده شده در جدول، محققان هر ساله الگوهای مشابهی را در رمزهای عبور مشاهده نمودهاند. در ادامه به فهرستی از مواردی که در تمامی زمانها مورد علاقه کاربران است، میپردازیم:
- تیمهای ورزشی: به عنوان مثال، استفاده از نام تیمهای فوتبال نظیر «Red Star Belgrade» که تعداد آن بیش از 58.5 میلیون بار بوده است.
- برندهای مد: برندهای مد و فشن مانند «tiffany» که تقریباً 14.8 میلیون بار استفاده شده است.
- ناسزا: بیش از 21 میلیون بار از دشنامها به عنوان رمزهای عبور استفاده کردهاند.
- هنرمندان: با بیش از 33 میلیون مورد، U2 در صدر قرار گرفته است.
- فیلمها: محبوبترین آنها «Leon» با 6.4 میلیون رمز عبور میباشد.
- خودروها: بیش از هشت میلیون کاربر رمز عبور خود را «mini» گذاشتند.
- بازیهای ویدیویی: محبوبترین بازی در سال 2022، «arma» با بیش از 6.2 میلیون کاربر بوده است.
- غذا: تقریباً 8.6 میلیون بار از کلمه «fish» برای رمز عبور استفاده شده است.
حتی بدتر از آن این که چنانچه از این رمزهای عبور مجدداً استفاده کنیم، آنها را در محیطهای عمومی یادداشت کنیم یا با دیگران به اشتراک بگذاریم، نفوذ برای هکرها و کلاهبرداران احتمالی آسانتر خواهد شد. اگر در محل کار رمزهای عبور مشابه با رمزهای شخصی خود بکار بگیریم، حتی ممکن است کل سازمان را در معرض حمله سایبری قرار دهیم.
نحوه انتخاب رمزهای عبور امن
خوشبختانه، بکارگیری رمزهای عبور امن یکی از سادهترین چیزهایی است که میتوانیم در زندگی دیجیتالی خود از آن استفاده کنیم. توصیه میشود نکات زیر را جهت انتخاب رمزهای عبور و کمک به محافظت از اطلاعات شخصی و مالی خود در نظر بگیرید:
- همیشه از گذرواژهها یا رمزهای عبور پیچیده و منحصربهفرد استفاده کنید؛ به این ترتیب، حدس زدن آنها یا سناریوهای پر کردن اطلاعات اصالتسنجی برای هکرها سختتر خواهد بود.
- هرگز از رمزهای عبور مجدداً استفاده نکنید و یا یک رمز عبور را برای چند حساب کاربری بکار نبرید. در صورت استفاده از یک رمز عبور برای چند حساب کاربری، در صورت کشف آن توسط مهاجمان، قادر خواهند بود به تمامی حسابهای شما نفوذ کنند.
- رمزهای عبور خود را به اشتراک نگذارید زیرا دیگران ممکن است از آنها حتی سهواً سوءاستفاده کنند.
- قدرت و پیچیدگی رمزهای عبور خود را بررسی کنید و هر کدام را که خیلی ضعیف یا قدیمی است، بهروز کنید.
- در صورت امکان، احراز هویت چندعاملی (Multifactor Authentication – به اختصار MFA) را برای حساب کاربری خود فعال کنید. اکثر حسابهای کاربری گزینهای برای انجام این کار دارند. با MFA، یک لایه امنیتی مضاعف به رمزهای عبور اضافه میشود. این لایه امنیتی ممکن است پویش چهره، اثر انگشت یا یک رمز عبور یکبار مصرف باشد.
- از طریق Wi-Fi عمومی وارد سیستم نشوید زیرا استراق سمع دیجیتالی در آن شبکه ممکن است منجر به سرقت یا افشای رمز عبور شما شود.
- از راهکارهای امنیتی و ضدویروس یک شرکت معتبر جهت محافظت در برابر سارقان اطلاعات، بدافزارها و همچنین در برابر حملات فیشینگ و به طور کلی تهدیدات سایبری استفاده کنید.
- مواظب تهدیدات موسوم به نگاه از پشت – سرقت رمز عبور با نگاه به دست کاربر – (Shoulder Surfing)، خصوصاً در محیطهای بیرون باشید.
- بر روی لینکهای مشکوک در ایمیلها و متنهای آن کلیک نکنید.
- فقط با استفاده از HTTPS وارد سایتها شوید زیرا این سایتها ایمن هستند و بنابراین محافظت بیشتری در برابر حملات سایبری ارائه میدهند.
منبع:
https://www.welivesecurity.com/2023/01/02/most-common-passwords-what-do-if-yours-list/