كشف تحليل جديد أجرته شركة "كاسبرسكي" عن إمكانية اختراق معظم كلمات المرور في وقت أقل بكثير مما نتخيله، وذلك بتكلفة زهيدة ووقت قليل، بالإضافة إلى خوارزمية ذكية تقوم بتخمين كلمات المرور بطريقة منهجية.
وفقاً للدراسة، تمكنت الخوارزمية من اختراق 59% من 193 مليون كلمة مرور حقيقية في أقل من 60 دقيقة، و45% في أقل من 60 ثانية.
اعتمدت الدراسة على ما يُسمى "هجوم القوة الغاشمة" (Brute-force Attack)، والتي تقوم على تجربة جميع التركيبات الممكنة لكلمة المرور حتى العثور على المطابقة. لكن الخبير الأمني في "كاسبرسكي"، أنطونوف، يشرح أن "خوارزميات التخمين الذكية يتم تدريبها على قاعدة بيانات تحتوي على كلمات مرور شائعة، وذلك لحساب تكرار مجموعات الأحرف المختلفة واختيار أكثر التوليفات شيوعاً أولاً، ثم الانتقال إلى الأقل شيوعاً".
على الرغم من شيوع هذه الهجمات بسبب بساطتها، إلا أنها ليست الأفضل عند الحديث عن خوارزميات اختراق كلمات المرور. عندما نضع في الاعتبار أن الغالبية العظمى من كلمات المرور المستخدمة يومياً تحتوي على خصائص متشابهة تشمل الجمع بين التواريخ والأسماء وكلمات القاموس وتسلسلات لوحة المفاتيح، فإن إضافة هذه العناصر إلى عملية التخمين الذكية يُسرّع الأمور كثيراً.
وكشفت دراسة "كاسبرسكي" أنه في ما يتعلق بنسبة كلمات المرور القابلة للاختراق بأي إطار زمني باستخدام كل طريقة، فإنه فيما تم اختراق 10% من قائمة كلمات المرور التي تم تحليلها في أقل من دقيقة، ارتفعت هذه النسبة إلى 45% عند إضافة التخمين الذكي إلى الخوارزمية. أما بالنسبة للوقت بين دقيقة وساعة، فقد بلغ الفرق 20% مقابل 59%.
بسبب طبيعتنا البشرية التي تميل إلى الاعتياد، نحن سيئون للغاية في اختيار كلمات مرور قوية. الحقيقة هي أن كلمات المرور التي نختارها لأنفسنا نادراً ما تكون عشوائية حقاً. نحن نعتمد على كل الأشياء التي صُممت خوارزميات التخمين الذكية للكشف عنها: الأسماء والعبارات الشائعة، التواريخ المهمة، سواء الشخصية أو التاريخية، والأنماط، الكثير من الأنماط.
لإعطاء فكرة عن مدى قابلية توقع اختياراتنا، أخذت قناة على يوتيوب عيّنة من أكثر من 200,000 شخص وطلبت منهم اختيار رقم "عشوائي" بين 1 و100. انجذب معظم الناس نحو المجموعة الصغيرة نفسها نسبياً: 7 و37 و42 و69 و73 و77. ووفقاً لـ"كاسبرسكي"، حتى عند محاولة اختيار سلسلة أحرف عشوائية، فإن معظم الناس يفضلون مركز لوحة المفاتيح لانتقاء الأحرف.
ووفقاً لأنطونوف، "تجعل الخوارزميات الذكية اختراق معظم كلمات المرور التي تحتوي على تسلسلات قاموسية عملية سهلة، بل إنها تكتشف حتى استبدال الأحرف". بعبارة أخرى، فإن استخدام p@ssw0rd بدلاً من password لن يبطئ الخوارزمية على الإطلاق.