روح اله اورکی کوه شور
علاقمند به رایانش امن!

مدلی ریاضی برای تعیین طول پسورد

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

یکی از حملاتی که تقریبا روی تمامی سایت ها ،نرم افزارهای ویندوزی ،اندرویدی و .....میتوان اجرا کرد و حتی بزرگترین سایت ها هم از احتمال وقوع آن در امان نیستند حمله جستجوی جامع (فراگیر)  یا همان حمله معروف BruteForce  است که در آن مهاجم  لیستی از پسوردهای مختلف را برای لاگین  امتحان میکند.بسیاری از اکانت های اینستاگرام و ....با همین روش هک شده اند.

همانطور که میدانیم  فاکتورهای مختلفی برای Authentication (  احراز هویت) وجود دارد که  در چهار دسته زیر جای میگیرند :

مدلی ریاضی  برای تعیین طول پسوردمتاسفانه هنوز هم KNOWLEDGE FACTOR  ها  که پسوردها هم جزیی از آنها هستند به صورت SFA  یا تک عاملی برای احراز هویت توسط  کاربران به کار گرفته میشوند و نتیجه آن هم  هک شدن روزانه صدها یا شاید هزاران اکانت مختلف از سایت ها و شبکه های اجتماعی گوناگون است ! شاید اگر  پسوردی با طول کافی برای آن ها در نظر گرفته میشد کرک و شکستن آنها به راحتی انجام نمی گرفت.

در حفظ امنیت یک پسورد صرف نظر از غیرقابل حدس زدن بودن آن ،موضوع طول پسورد نیز مهم است  چرا که اگر طول پسورد انتخابی ما  از مقدار خاصی کم تر  باشد امنیت اکانت مورد نظر را به شدت به مخاطره می اندازد و اگر آن اکانت ادمین بوده و یا سطح دسترسی بالایی داشته باشد امنیت کل سیستم از جمله تمامی کاربران آن سامانه را در معرض خطر جدی قرار میدهد.

آقای اندرسون (Ross Anderson) که از دانشمندان علوم رایانه  در دانشگاه کمبریج هستند فرمولی را به شرح زیر  برای محاسبه حداقل طول لازم برای امنیت یک پسورد ارائه داده اند که مدیران سایت ها و  توسعه دهندگان  مختلف می توانند با استفاده از آن حداقل طول لازم برای تامین امنیت کافی  در سایت یا نرم افزار خود را محاسبه نموده و براساس آن الگویی را برای انتخاب پسورد توسط کاربران سایت خود  درنظر گرفته (مثلا حداقل طول 8 کاراکتر ،استفاده از حروف بزرگ ،کوچک،علایم و ....) و آنها را مجبور به استفاده از الگوی مذکور نمایند و بر این اساس امنیت  سایت خود را تا حد قابل قبولی ارتقا دهند.

مدلی ریاضی  برای تعیین طول پسورد

به حل یک مثال برای استفاده از فرمول فوق می پردازیم:

*فرض کنید در سایت ما کاربران می توانند برای انتخاب رمز از حروف بزرگ و کوچک انگلیسی و اعداد 0تا 9 برای انتخاب رمز  استفاده کنند بنابراین الفبای انتخاب رمز ما 62 کارکتر دارد.سرعت امتحان پسورد ها برای لاگین 1000 پسورد در ثانیه بوده و میخواهیم احتمال شکستن پسورد ما برای مدت یکسال کمتر از 1 درصد باشد،حال با مفروضات بالا داریم:

مدلی ریاضی  برای تعیین طول پسورد

و بنابراین برای محاسبه طول پسورد داریم:

مدلی ریاضی  برای تعیین طول پسورد

بنابراین اگر در صفحه رجیستر یا ثبت نام سایتمان کاربر را مجبور به انتخاب یک پسورد با حروف بزرگ ،کوچک و اعداد 0تا 9 با طول حداقل 7 کارکتر نماییم درصورتی که سرعت امتحان این پسورد روی سایت ما 1000 پسورد در ثانیه هم باشد احتمال شکستن این پسورد در طول یک سال کمتر از 1 درصد است!

توجه به فرمول اندرسون در محاسبه طول پسورد پاسخ برخی از سوالات را به خوبی روشن می سازد،مثلا چرا علیرغم اینکه پین کد سیم کارتها یا رمز کارتهای بانکی 4 رقمی است اما دارای امنیت کافی می باشد؟!چوان پارامتر G  در فرمول فوق که همان سرعت امتحان پسورد می باشد کاهش یافته است و چون صورت کسر کوچک میشود مقدار N  مورد نیاز (تعداد جایگشت های لازم) و به تبع آن طول پسورد کاهش می یابد بدون اینکه احتمال شکستن آن افزایش یابد !


مدلی ریاضی  برای تعیین طول پسورد



مدلی ریاضی  برای تعیین طول پسورد

مدلی ریاضی  برای تعیین طول پسورد





روح اله اورکی کوه شور
روح اله اورکی کوه شور

علاقمند به رایانش امن!

آشنا با پروتکل هاي امنیتی در فناوری اطلاعات! (دانشجوی کارشناسی ارشد رایانش امن)

18 دی 1400 این مطلب را ارسال کرده

نظرات