تخمين كلمات السرّ Passwords Guessing

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

يقوم المهاجم هنا بمحاولة اختراق حساب الضحية المحمي بكلمة سرّ Password ما عبر تخمين كلمة السرّ. كأن يحاول تركيبات من معلومات يعرفها عن الضحية، كرقم هاتفه أو تاريخ ميلاده أو اسم الزوجة أو الحبيبة، أو أسماء أفراد العائلة أو عبارات تملك معنى عاطفيا ما للضحية، أو الكلمات الشائعة، مثل 123456 و password و qwerty. أي تماما ما تعنيه تسمية هذه الطريقة حرفيا: تخمين كلمات السرّ.

أيضا قد يحاول المهاجم تجربة كلمة سرّ لك يعرفها على حساب آخر لك على الانترنت فيما يسمى باختراق بسبب إعادة استعمال كلمة السرّ Password Reuse Hack.

طرق لتخمين كلمات السرّ

يمكن لتخمين كلمة سرّ الضحية استخدام عدة طرق نذكر منها الطرق التالية:

كلمات السرّ الشائعة

يحدث أحيانا أن يقوم المخترقون بنشر كلمات سرّ استطاعوا الحصول عليها سواء عبر اختراق الحسابات أو عن طريق اختراق خدمة ما تتضمن حسابات محمية بكلمات السرّ.

يقوم الخبراء والباحثون والمخترقون عند نشر هذه الكلمات بتحليل تكرارها وتنوعها وطولها وصعوبة تخمينها، ويقومون بترتيبها حسب درجة تكرارها ونشر النتائج لكي يستفيد الآخرون من نتائج الدراسة.

فيما يلي لائحة لكلمات السرّ الخمس وعشرون الأولى الأكثر انتشارا لما نشر من الكلمات المخترقة عام 2015:

  1. 123456
  2. password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. football
  8. 1234
  9. 1234567
  10. baseball
  11. welcome
  12. 1234567890
  13. abc123
  14. 111111
  15. 1qaz2wsx
  16. dragon
  17. master
  18. monkey
  19. letmein
  20. login
  21. princess
  22. qwertyuiop
  23. solo
  24. passw0rd
  25. starwars

ولعام 2018 من بحث بعنوان SplashData’s Top 100 Worst Passwords of 2018:

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. [email protected]#$%^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1
  25. qwerty123

لاحظ أن الكلمات الأكثر انتشارا ليست كلمات سرّ جيدة ما يفسر حصول الكثير من الاختراقات على خدمات الانترنت المختلفة.

مراقبة إدخال الضحية لكلمة السرّ

يمكن للمهاجم في حال وجوده بقرب الضحية أن يراقب الضحية أثناء إدخال كلمة سرّه لحساب ما فيحفظ بضعة رموز وأحرف لبدايتها مثلا، أو لنهايتها أو ينصت السمع عند النقر على لوحة المفاتيح ليقدر طولها، ويستخدم هذه المعلومات الهامة في حصر الاحتمالات عند تخمين كلمة السرّ

يمكن أيضا لمهاجم صبور أن يقوم بذلك على مراحل, كأن يراقب في أول مرة أول رمزين أو ثلاثة من كلمة السرّ، ثم بعد عدة أيام إن تسنى له الأمر، الحرفان الأخيران وهكذا حتى تصبح كلمة السرّ واضحة لديه.

معرفة معلومات شخصية عن الضحية

يستخدم الكثير من الأشخاص معلومات ترتبط بشخصيتهم عند انشاء كلمة السرّ، لغرض بسيط هو ضرورة حفظها. وهذا يعني أن المعلومات التي يعرفها المهاجم عن الضحية قد تؤدي إلى تخمين كلمة السرّ بشكل صحيح لو لم يتبع الضحية خطوات انشاء كلمة سرّ جيدة وخاصة البند الخاص بعدم ذكر معلومات شخصية عند انشاء الكلمة.

تنقّل في الكتيب eBook Navigation

كلمات السرّ Passwords

المصادقة Authentication

التحكم بالوصول Access Control

أساسيات في الأمن الرقمي Information Security Essentials

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

الهجوم الأعمى Brute Force Attack

هجوم القاموس Dictionary Attack

اصطياد كلمات السرّ Passwords Phishing

برامج تسجيل المفاتيح Keystroke Loggers

تسرب البيانات Data Breaches

مراجع References

How to Guess a Password - WikiHow

SplashData’s Top 100 Worst Passwords of 2018