یکی از حملاتی که تقریبا روی تمامی سایت ها ،نرم افزارهای ویندوزی ،اندرویدی و .....میتوان اجرا کرد و حتی بزرگترین سایت ها هم از احتمال وقوع آن در امان نیستند حمله جستجوی جامع (فراگیر) یا همان حمله معروف BruteForce است که در آن مهاجم لیستی از پسوردهای مختلف را برای لاگین امتحان میکند.بسیاری از اکانت های اینستاگرام و ....با همین روش هک شده اند.
همانطور که میدانیم فاکتورهای مختلفی برای Authentication ( احراز هویت) وجود دارد که در چهار دسته زیر جای میگیرند :
متاسفانه هنوز هم KNOWLEDGE FACTOR ها که پسوردها هم جزیی از آنها هستند به صورت SFA یا تک عاملی برای احراز هویت توسط کاربران به کار گرفته میشوند و نتیجه آن هم هک شدن روزانه صدها یا شاید هزاران اکانت مختلف از سایت ها و شبکه های اجتماعی گوناگون است ! شاید اگر پسوردی با طول کافی برای آن ها در نظر گرفته میشد کرک و شکستن آنها به راحتی انجام نمی گرفت.
در حفظ امنیت یک پسورد صرف نظر از غیرقابل حدس زدن بودن آن ،موضوع طول پسورد نیز مهم است چرا که اگر طول پسورد انتخابی ما از مقدار خاصی کم تر باشد امنیت اکانت مورد نظر را به شدت به مخاطره می اندازد و اگر آن اکانت ادمین بوده و یا سطح دسترسی بالایی داشته باشد امنیت کل سیستم از جمله تمامی کاربران آن سامانه را در معرض خطر جدی قرار میدهد.
آقای اندرسون (Ross Anderson) که از دانشمندان علوم رایانه در دانشگاه کمبریج هستند فرمولی را به شرح زیر برای محاسبه حداقل طول لازم برای امنیت یک پسورد ارائه داده اند که مدیران سایت ها و توسعه دهندگان مختلف می توانند با استفاده از آن حداقل طول لازم برای تامین امنیت کافی در سایت یا نرم افزار خود را محاسبه نموده و براساس آن الگویی را برای انتخاب پسورد توسط کاربران سایت خود درنظر گرفته (مثلا حداقل طول 8 کاراکتر ،استفاده از حروف بزرگ ،کوچک،علایم و ....) و آنها را مجبور به استفاده از الگوی مذکور نمایند و بر این اساس امنیت سایت خود را تا حد قابل قبولی ارتقا دهند.
به حل یک مثال برای استفاده از فرمول فوق می پردازیم:
*فرض کنید در سایت ما کاربران می توانند برای انتخاب رمز از حروف بزرگ و کوچک انگلیسی و اعداد 0تا 9 برای انتخاب رمز استفاده کنند بنابراین الفبای انتخاب رمز ما 62 کارکتر دارد.سرعت امتحان پسورد ها برای لاگین 1000 پسورد در ثانیه بوده و میخواهیم احتمال شکستن پسورد ما برای مدت یکسال کمتر از 1 درصد باشد،حال با مفروضات بالا داریم:
و بنابراین برای محاسبه طول پسورد داریم:
بنابراین اگر در صفحه رجیستر یا ثبت نام سایتمان کاربر را مجبور به انتخاب یک پسورد با حروف بزرگ ،کوچک و اعداد 0تا 9 با طول حداقل 7 کارکتر نماییم درصورتی که سرعت امتحان این پسورد روی سایت ما 1000 پسورد در ثانیه هم باشد احتمال شکستن این پسورد در طول یک سال کمتر از 1 درصد است!
توجه به فرمول اندرسون در محاسبه طول پسورد پاسخ برخی از سوالات را به خوبی روشن می سازد،مثلا چرا علیرغم اینکه پین کد سیم کارتها یا رمز کارتهای بانکی 4 رقمی است اما دارای امنیت کافی می باشد؟!چوان پارامتر G در فرمول فوق که همان سرعت امتحان پسورد می باشد کاهش یافته است و چون صورت کسر کوچک میشود مقدار N مورد نیاز (تعداد جایگشت های لازم) و به تبع آن طول پسورد کاهش می یابد بدون اینکه احتمال شکستن آن افزایش یابد !
