كشفت شركة “كاسبرسكي” للأمن السيبراني في دراسة أجرتها عن اختراق 193 مليون كلمة مرور عبر العالم، وأن النصف من عمليات الاختراق قد تم في أقل من دقيقة.
وأوضحت النتائج أن ربع العينة التي شملتها الدراسة كانت لديها كلمات مرور قوية أو “مقاومة” والتي يمكن اختراقها ولكن بعد محاولات مستمرة.
ويؤكد الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، ماهر يموت، أن عمليات الاختراق والحصول على كلمات المرور تتم داخل ما يسمى بـ”الانترنيت المظلم” من خلال زرع فيروسات أو سرقتها من مواقع غير آمنة.
ويتابع يموت، في حديث مع “سكاي نيوز عربية” أن المخترقين يقومون بعد ذلك بعرض كلمات المرور للبيع في “الانترنيت المظلم”.
ويوضح الباحث الأمني، أنه خلال الدراسة التي قامت بها الشركة أظهرت أن أغلب كلمات المرور يتم الوصول إليه واختراقها بسهولة باستثناء “المقاومة” التي يصعب الوصول إليها.
فكيف يمكننا حماية أجهزتنا وحساباتنا الإلكترونية من الاختراق حسب الباحث الأمني ماهر يموت؟
اختيار كلمات مرور مكونة من رموز وأحرف وأرقام.
اعتماد كلمة طويلة يلعب أيضا دورا مهما في الحماية من الاختراق بحيث يجب الحرص على أن تفوق 15 حرفا ورمزا.
اختيار الكلمات الطويلة التي يمكن حفظها بسهولة مثل بيت شعر أو مقولة مشهورة أو مطلع أغنية.
في حال اعتماد كلمات مرور سهلة يجب الحرص على تغيرها باستمرار، أما عند اختيار كلمة مرور “مقاومة” فيمكن تغييرها بمعدل كل 3 أشهر على الأقل.
اللجوء إلى تطبيقات إدارة كلمات المرور التي تتميز بدرجة عالية من الأمان وتقوم بحفظ الكلمة واقترح كلمات معقدة لمختلف المواقع مع امكانية تعديلها بسهولة.
فتح الأجهزة أو تطبيقات الهاتف من خلال بصة الاصبع أو التعرف على الوجه.
تفادي فتح الروابط مجهولة المصدر التي قد يتم من خلالها اختراق كلمات المرور.
عدم استخادام كلمات المرور واحدة لفتح جميع التطبيقات والأجهزة.
قدرة المحتالين على اختراق نصف كلمات المرور في أقل من دقيقة
كاسبرسكي
أجرى خبراء كاسبرسكي دراسة واسعة النطاق حول قوة 193 مليون كلمة مرور باللغة الإنجليزية (تعرضت للاختراق ببرمجيات سرقة كلمات المرور، كما أنها متاحة للعامة على الإنترنت المظلم) ومقاومتها لهجمات القوة العمياء وهجمات الاختراق الذكية. وأظهرت نتائج الدراسة أن ما يقرب من نصف كلمات المرور (45%، أو 87 مليوناً) يمكن اختراقها في أقل من دقيقة واحدة. كما تبين أن 23% من كلمات المرور (44 مليوناً) فقط تتمتع بمقاومة كافية، وقد يستغرق اختراقها أكثر من عام. وبالإضافة لذلك، كشف خبراء كاسبرسكي عن مجموعات الأحرف الأكثر استخداماً في كلمات المرور.
تشير قياسات كاسبرسكي عن بعد إلى وجود أكثر من 32 مليون محاولة لمهاجمة المستخدمين باستخدام برمجيات سرقة كلمات المرور في عام 2023. وتوضح هذه الأرقام أهمية الالتزام بالنظافة الرقمية وسياسات كلمات المرور بشكل ملائم.
تظهر نتائج دراسة كاسبرسكي أن غالبية كلمات المرور التي تمت مراجعتها لم تكن قوية بما فيه الكفاية ويمكن اختراقها بسهولة باستخدام خوارزميات التخمين الذكية. وفيما يلي تفصيل لمدى سرعة حدوث ذلك:
· 45% (87 مليون) منها قابلة للتخمين في أقل من دقيقة واحدة.
· 14% (27 مليون) منها قابلة للتخمين في وقت يتراوح بين دقيقة وساعة واحدة.
· 8% (15 مليون) منها قابلة للتخمين في وقت يتراوح بين ساعة ويوم واحد.
· 6% (12 مليون) منها قابلة للتخمين في وقت يتراوح بين يوم وشهر واحد.
· 4% (8 مليون) منها قابلة للتخمين في وقت يتراوح بين شهر وسنة واحدة.
وأضاف الخبراء أن 23% فقط (44 مليون) من كلمات المرور كانت قوية بما يكفي (قد يستغرق اختراقها أكثر من عام).
علاوة على ذلك، كانت غالبية كلمات المرور التي تم فحصها (57%) تحتوي على كلمة معجمية، مما يُؤثر سلباً بشكل كبير على قوتها. وبين تسلسلات المفردات الأكثر شيوعاً، يمكن تمييز عدة مجموعات كالآتي:
· أسماء أشخاص: «ahmed»، و«nguyen»، و«kumar»، و«kevin»، و«daniel».
· كلمات شائعة: «forever»، و«love»، و«google»، و«hacker»، و«gamer».
· كلمات مرور شائعة: «password»، و«qwerty12345»، و«admin»، و«12345»، و«team».
أظهر التحليل أن 19% فقط من جميع كلمات المرور تحتوي على تركيبة قوية، أي أنها تتضمن كلمة غير معجمية، وأحرفاً صغيرة وكبيرة، بالإضافة إلى أرقام ورموز. كما كشفت الدراسة عن إمكانية تخمين 39% منها باستخدام الخوارزميات الذكية في أقل من ساعة.
من المثير للاهتمام أن المهاجمين لا يحتاجون إلى معرفة عميقة أو معدات باهظة الثمن لاختراق كلمات المرور. فعلى سبيل المثال، يُمكن لمعالج حاسوب محمول قوي أن يستخدم هجمات القوة العمياء ليخمن كلمة مرور مكونة من 8 أحرف أو أرقام صغيرة بشكل صحيح في غضون 7 دقائق فقط، كما يُمكن لبطاقات الرسوميات الحديثة أداء نفس المهمة في 17 ثانية فقط. بالإضافة إلى ذلك، تعتمد الخوارزميات الذكية لتخمين كلمات المرور على استبدال الأحرف («e» بـ «3» أو «1» بـ «!» أو «a» بـ «@») والتسلسلات الشائعة («asdfg»، و«12345»، و«qwerty»).
علقت يوليا نوفيكوفا، رئيس وحدة معلومات البصمة الرقمية في كاسبرسكي، قائلةً: «يقوم المستخدمون دون وعي بإنشاء كلمات مرور يسهل التنبؤ بها – كأن تحتوي على كلمات معجمية بلغتهم الأصلية، أو أن تتضمن أسماءً وأرقاماً. وحتى تركيبات كلمات المرور التي تبدو قوية غالباً ما تكون عادية للغاية، لذلك يمكن تخمينها بواسطة الخوارزميات. وبالنظر إلى ذلك، فإن الحل الأكثر موثوقية هو إنشاء كلمة مرور عشوائية تماماً باستخدام حلول إدارة كلمات مرور حديثة وموثوقة. يمكن لحلول مثل مدير كلمات المرور من كاسبرسكي تخزين كميات كبيرة من البيانات بشكل آمن، مما يوفر حماية شاملة وقوية لمعلومات المستخدم.»
لتقوية كلمات المرور، يجدر اتباع هذه النصائح التالية:
· استخدم كلمة مرور مختلفة لكل خدمة: بهذه الطريقة، لن تتأثر بقية حساباتك حتى إذا تعرض أحدها للسرقة.
· استخدم كلمات غير متوقعة لجعل كلمات المرور أكثر أماناً: حتى لو استخدمت كلمات شائعة، يمكنك ترتيب هذه الكلمات بشكل غير معتاد والتأكد من عدم وجود صلة بينها.
· يُفضّل عدم استخدام كلمات مرور يمكن تخمينها بسهولة من معلوماتك الشخصية، مثل أعياد الميلاد، أو أسماء أفراد العائلة، أو الحيوانات الأليفة، أو حتى اسمك الشخصي: ستكون هذه هي المعلومات الأولى التي يحاول المهاجم تخمينها غالباً.
· يكاد يكون من المستحيل حفظ كلمات مرور طويلة وفريدة من نوعها لجميع الخدمات التي تستخدمها، ولكن باستخدام حل مميز مثلمدير كلمات المرور من كاسبرسكي, يمكنك حفظها جميعاً بأمان من خلال كلمة مرور رئيسية واحدة فقط.
· مكن المصادقة الثنائية (2FA): يُضيف تمكين المصادقة الثنائية طبقة إضافية من الأمان، على الرغم من أنه لا يرتبط بشكل مباشر بقوة كلمة المرور. فحتى إذا اكتشف شخص ما كلمة المرور الخاصة بك على سبيل المثال، فسيظل بحاجة إلى نموذج ثانٍ من التحقق للوصول إلى حسابك. تقوم حلول إدارة كلمات المرور الحديثة بتخزين مفاتيح المصادقة الثنائية (2FA) وتأمينها باستخدام أحدث خوارزميات التشفير.
· قم بتعزيز حمايتك باستخدام حل أمان موثوق، مثل Kaspersky Premium، فهو يراقب الإنترنت والإنترنت المظلم ويُنبهك ما إذا كانت كلمات المرور الخاصة بك بحاجة إلى التغيير.
يمكن العثور على معلومات إضافية في المواد البحثية على موقع Securelist ومدونة كاسبرسكي اليومية.
اختراق87 مليون كلمة مرور في العالم بسهولة خلال دقيقة واحدة
حذر خبراء شركة “كاسبرسكي لاب” الروسية من أنه يمكن اختراق ما يقرب من نصف كلمات المرور في العالم في أقل من دقيقة، بعد اختبار 193 مليون كلمة مرور بشكل عام.
وقام محللون وخبراء في شركة “كاسبرسكي لاب” الروسية بدراسة مفصلة، حيث اعتمدوا على 193 مليون كلمة مرور يمكن الوصول إليها بشكل عام لمقاومة القرصنة.
وأوضحوا: “قامت كاسبرسكي لاب بتحليل 193 مليون كلمة مرور تم العثور عليها متاحة للعامة على موارد الشبكة المظلمة، ووجدت أن ما يقرب من نصفها (45%، أو 87 مليونا) يمكن اختراقها في أقل من دقيقة”.
وأكد الخبراء أن معظم كلمات المرور التي تم تحليلها يمكن اختراقها بسهولة باستخدام الخوارزميات الذكية: لتحديد 14% منها (27 مليونا) لن يستغرق اختراقها أكثر من ساعة، و8% (15 مليونا)، لا يزيد عن يوم واحد.
وأضاف الخبراء أن 23% فقط، أو44 مليون مجموعة، كانت قوية بما يكفي، وسيستغرق حلها أكثر من عام.
وأشار الخبراء إلى أن معظم كلمات المرور تحتوي على كلمة شائعة وموجودة بشكل عام، مما يقلل بشكل كبير من مقاومتها للاختراق.
هشاشة كلمات المرور في وجه الذكاء الاصطناعي
كشف تحليل جديد أجرته شركة “كاسبرسكي” عن إمكانية اختراق معظم كلمات المرور في وقت أقل بكثير مما نتخيله، وذلك بتكلفة زهيدة ووقت قليل، بالإضافة إلى خوارزمية ذكية تقوم بتخمين كلمات المرور بطريقة منهجية.
وفقاً للدراسة، تمكنت الخوارزمية من اختراق 59% من 193 مليون كلمة مرور حقيقية في أقل من 60 دقيقة، و45% في أقل من 60 ثانية.
اعتمدت الدراسة على ما يُسمى “هجوم القوة الغاشمة” (Brute-force Attack)، والتي تقوم على تجربة جميع التركيبات الممكنة لكلمة المرور حتى العثور على المطابقة. لكن الخبير الأمني في “كاسبرسكي”، أنطونوف، يشرح أن “خوارزميات التخمين الذكية يتم تدريبها على قاعدة بيانات تحتوي على كلمات مرور شائعة، وذلك لحساب تكرار مجموعات الأحرف المختلفة واختيار أكثر التوليفات شيوعاً أولاً، ثم الانتقال إلى الأقل شيوعاً”.
على الرغم من شيوع هذه الهجمات بسبب بساطتها، إلا أنها ليست الأفضل عند الحديث عن خوارزميات اختراق كلمات المرور. عندما نضع في الاعتبار أن الغالبية العظمى من كلمات المرور المستخدمة يومياً تحتوي على خصائص متشابهة تشمل الجمع بين التواريخ والأسماء وكلمات القاموس وتسلسلات لوحة المفاتيح، فإن إضافة هذه العناصر إلى عملية التخمين الذكية يُسرّع الأمور كثيراً.
وكشفت دراسة “كاسبرسكي” أنه في ما يتعلق بنسبة كلمات المرور القابلة للاختراق بأي إطار زمني باستخدام كل طريقة، فإنه فيما تم اختراق 10% من قائمة كلمات المرور التي تم تحليلها في أقل من دقيقة، ارتفعت هذه النسبة إلى 45% عند إضافة التخمين الذكي إلى الخوارزمية. أما بالنسبة للوقت بين دقيقة وساعة، فقد بلغ الفرق 20% مقابل 59%.
بسبب طبيعتنا البشرية التي تميل إلى الاعتياد، نحن سيئون للغاية في اختيار كلمات مرور قوية. الحقيقة هي أن كلمات المرور التي نختارها لأنفسنا نادراً ما تكون عشوائية حقاً. نحن نعتمد على كل الأشياء التي صُممت خوارزميات التخمين الذكية للكشف عنها: الأسماء والعبارات الشائعة، التواريخ المهمة، سواء الشخصية أو التاريخية، والأنماط، الكثير من الأنماط.
لإعطاء فكرة عن مدى قابلية توقع اختياراتنا، أخذت قناة على يوتيوب عيّنة من أكثر من 200,000 شخص وطلبت منهم اختيار رقم “عشوائي” بين 1 و100. انجذب معظم الناس نحو المجموعة الصغيرة نفسها نسبياً: 7 و37 و42 و69 و73 و77. ووفقاً لـ”كاسبرسكي”، حتى عند محاولة اختيار سلسلة أحرف عشوائية، فإن معظم الناس يفضلون مركز لوحة المفاتيح لانتقاء الأحرف.
ووفقاً لأنطونوف، “تجعل الخوارزميات الذكية اختراق معظم كلمات المرور التي تحتوي على تسلسلات قاموسية عملية سهلة، بل إنها تكتشف حتى استبدال الأحرف”. بعبارة أخرى، فإن استخدام p@ssw0rd بدلاً من password لن يبطئ الخوارزمية على الإطلاق.