سامانه‌ای برای مقابله با سرقت رمزهای عبور

یک گروه تحقیقی سامانه‌ای جدید طراحی کردند که دستیابی به رمزهای عبور را برای هکرها دشوار می‌کند. این سامانه در کنفرانس برنامه‌های امنیتی رایانه سال 2015 که در لس‌آنجلس برگزار شد، ارائه گردید. این کنفرانس سالیانه یک‌بار در نقاط مختلف جهان برگزار می‌شود که در آن کارشناسان و محققان امنیتی و رایانه‌ای گرد هم می‌آیند.
یکی از دانشجویان مقطع دکترای دانشگاه پوردو هند، محمد المشکاه (Mohammed Almeshekah)، بیان کرد که هدف از ساخت این سامانه مقاومت در برابر هکرهایی است که رمزهای عبور را سرقت می‌کنند. این سامانه به نام ارستزپسوردز (ErsatzPasswords) شناخته می‌شود.
طرز کار این سامانه به این صورت است که رمزهای عبور جعلی در اختیار هکرها می‌گذارد و از سرقت هویت اصلی جلوگیری می‌کند.

محمد المشکاه گفت: «باوجوداینکه سامانه مذکور، رمزهای عبور جعلی و طعمه در اختیار هکرها قرار می‌دهد، آنها می‌توانند با روش‌های دیگر اطلاعات را سرقت کنند.»
رمزهای عبوری که توسط سازمان‌ها و نهادها نگهداری می‌شوند، معمولاً به‌وسیله یک الگوریتم خاص رمزنگاری می‌شوند که این‌گونه رمزنگاری به هش (hash) معروف است.
رمزنگاری به‌صورت هش بسیار امن‌تر از رمزهای عبور به‌صورت متنی است و کشف آنها برای هکرها بسیار سخت است اما غیرممکن نیست.

هکرها برای کشف این‌گونه رمزنگاری، فهرستی از کلماتی که ممکن است به‌عنوان رمز عبور استفاده شوند را تهیه و از روی آن رمزهای احتمالی را امتحان می‌کنند تا به رمز موردنظر برسند.
این کار به‌شدت وقت‌گیر و ازنظر محاسباتی بسیار سخت است. هکرها برای از دست ندادن وقت، از نرم‌افزار جان‌ریپر (John the Ripper) استفاده می‌کنند. این نرم‌افزار لیست رمزهای عبور احتمالی را سریع امتحان می‌کند تا به رمز عبور اصلی برسد.
اما سامانه ارستزپسوردز از روش دیگری استفاده می‌کند. به این صورت که قبل از اینکه رمز عبور، رمزنگاری شود، از یک تابع وابسته به سخت‌افزار عبور می‌کند. عبور از این تابع موجب می‌شود که رمز عبور دارای قابلیتی شود که بازگرداندن آن به‌صورت متن ساده، غیرممکن شود.
این سامانه بر روی رمز عبور و اضافه یا کم شدن کلمات آن کنترل کامل دارد، به‌گونه‌ای که سخت‌افزار امنیتی یک رمز جعلی اما شبیه به رمز اصلی از خود خارج کند. درنتیجه اگر یک هکر، شروع به جور کردن رمز عبور موردنظر با لیست هش‌ها کند، هیچ‌یک از آنها به کار نمی‌آیند و درنهایت یک پسورد جعلی در اختیار او قرار می‌دهد که درنتیجه شخص هکر از آن برای ورود به سامانه استفاده می‌کند.
پس‌ازاینکه هکر برای ورود به سامانه از آن رمز عبور جعلی استفاده کرد، این سامانه به‌طور خودکار برای او یک صفحه کاربری ایجاد می‌کند که مدیر اصلی آن می‌تواند شخص هکر را مشاهده و از سرقت او جلوگیری کند.