اختراق كلمات المرور

في مجال تحليل الشفرات وأمن الحاسوب ، يُعرف اختراق كلمات المرور بأنه عملية تخمين كلمات المرور [ 1 ] لحماية نظام الحاسوب . إحدى الطرق الشائعة ( هجوم القوة الغاشمة ) هي تجربة تخمينات متكررة لكلمة المرور ومقارنتها بتجزئة تشفيرية متاحة لها. [ 2 ] وهناك طريقة أخرى تُعرف باسم رش كلمات المرور ، وهي غالبًا ما تكون آلية وتتم ببطء على مدى فترة زمنية طويلة لتجنب اكتشافها، باستخدام قائمة من كلمات المرور الشائعة. [ 3 ]

قد يكون الغرض من اختراق كلمات المرور هو مساعدة المستخدم على استعادة كلمة مرور منسية (إذ يتطلب تثبيت كلمة مرور جديدة بالكامل صلاحيات مدير النظام)، أو الوصول غير المصرح به إلى النظام، أو كإجراء وقائي يتحقق بموجبه مديرو النظام من كلمات المرور التي يسهل اختراقها. وعلى مستوى الملفات، يُستخدم اختراق كلمات المرور للوصول إلى الأدلة الرقمية التي سمح القاضي بالوصول إليها عندما تكون صلاحيات الوصول إلى ملف معين مقيدة.

عادةً ما تكون هجمات التخمين العشوائي لكلمات المرور على الأنظمة الإلكترونية غير فعّالة، لأن هذه الأنظمة مصممة لقفل الحسابات بعد عدد معين من محاولات تسجيل الدخول الفاشلة. يُتيح الحصول على التجزئة المشفرة لكلمة المرور إمكانية إجراء عدد غير محدود من التخمينات دون اتصال بالإنترنت. قد تحصل جهات خارجية على ملفات التجزئة بموجب أمر قضائي، أو كجزء من اختراق غير قانوني للبيانات . إذا أُعيد استخدام كلمات المرور عبر مواقع إلكترونية مختلفة، يُمكن استخدام ملف التجزئة المُستخرج من أحد المواقع لكسر التشفير، ومن ثم تجربة كلمات المرور المُكتشفة على عناوين البريد الإلكتروني نفسها في مواقع أخرى.

تتجنب تقنية رش كلمات المرور إجراءات منع قفل الحسابات عن طريق تخمين كلمة المرور نفسها عبر العديد من الحسابات، مما يسمح بمرور الوقت بين محاولات تسجيل الدخول إلى الحساب نفسه، والتي قد تشمل عمليات تسجيل دخول مشروعة. ولا تستهدف هذه التقنية حسابات محددة.

الوقت اللازم للبحث عن كلمات المرور

يرتبط وقت اختراق كلمة المرور بقوة البت، وهي مقياس لإنتروبيا كلمة المرور ، وتفاصيل كيفية تخزينها. تتطلب معظم طرق اختراق كلمات المرور من الحاسوب توليد العديد من كلمات المرور المحتملة، حيث يتم فحص كل منها. ومن الأمثلة على ذلك طريقة الاختراق بالقوة الغاشمة ، حيث يجرب الحاسوب كل مفتاح أو كلمة مرور ممكنة حتى ينجح. باستخدام معالجات متعددة، يمكن تحسين هذا الوقت من خلال البحث بدءًا من آخر مجموعة ممكنة من الرموز وبداية المجموعة في الوقت نفسه، مع تخصيص معالجات أخرى للبحث في مجموعة محددة من كلمات المرور المحتملة. [ 4 ] تهدف الطرق الأكثر شيوعًا لاختراق كلمات المرور، مثل هجمات القاموس ، والتحقق من الأنماط، واستخدام تنويعات الكلمات الشائعة، إلى تقليل عدد التخمينات، وعادةً ما تُجرَّب قبل هجمات القوة الغاشمة. تؤدي قوة البت العالية لكلمة المرور إلى زيادة عدد كلمات المرور المحتملة التي يجب فحصها، في المتوسط، لاستعادة كلمة المرور، وتقلل من احتمالية العثور على كلمة المرور في أي قاموس اختراق. [ 5 ]

تعتمد القدرة على اختراق كلمات المرور باستخدام برامج الحاسوب على عدد كلمات المرور المحتملة التي يمكن فحصها في الثانية الواحدة. فإذا كان لدى المهاجم تجزئة لكلمة المرور المستهدفة، فقد يصل هذا العدد إلى مليارات أو تريليونات المحاولات في الثانية، نظرًا لإمكانية تنفيذ هجوم دون اتصال بالإنترنت . أما إذا لم يكن لديه تجزئة، فيعتمد المعدل على ما إذا كان برنامج المصادقة يحد من عدد مرات تجربة كلمة المرور، إما عن طريق تأخيرات زمنية، أو اختبارات CAPTCHA ، أو حظر الحساب قسرًا بعد عدد معين من المحاولات الفاشلة. ومن الحالات الأخرى التي يُمكن فيها التخمين السريع لكلمة المرور، استخدامها لتكوين مفتاح تشفير . في هذه الحالة، يستطيع المهاجم التحقق بسرعة مما إذا كانت كلمة المرور المُخمنة قادرة على فك تشفير البيانات المشفرة بنجاح.

بالنسبة لبعض أنواع تجزئة كلمات المرور، يمكن لأجهزة الكمبيوتر المكتبية العادية اختبار أكثر من مئة مليون كلمة مرور في الثانية باستخدام أدوات كسر كلمات المرور التي تعمل على وحدة معالجة مركزية عامة، ومليارات كلمات المرور في الثانية باستخدام أدوات كسر كلمات المرور القائمة على وحدة معالجة الرسومات [ 1 ] [ 6 ] [ 7 ] [ 8 ] . يعتمد معدل تخمين كلمة المرور بشكل كبير على دالة التشفير التي يستخدمها النظام لإنشاء تجزئات كلمات المرور. تُعد دالة تجزئة كلمات المرور المناسبة، مثل bcrypt ، أفضل بكثير من الدوال البسيطة مثل MD5 أو SHA . تصل قوة كلمة مرور مكونة من ثمانية أحرف يختارها المستخدم، تتضمن أرقامًا وأحرفًا كبيرة وصغيرة ورموزًا، مع استبعاد كلمات المرور الشائعة ومطابقات القاموس الأخرى، إلى قوة 30 بت تقريبًا، وفقًا للمعهد الوطني للمعايير والتكنولوجيا (NIST). 2^ 30 هو مليار تبديل فقط [ 9 ] ، ويمكن كسرها في ثوانٍ إذا كانت دالة التجزئة بسيطة. عندما تُستخدم أجهزة الكمبيوتر المكتبية العادية في عملية اختراق، كما هو الحال مع شبكات الروبوتات ، تتوسع قدرات اختراق كلمات المرور بشكل كبير. ففي عام 2002، نجح موقع distributed.net في العثور على مفتاح RC5 ذي 64 بت خلال أربع سنوات، في عملية شملت أكثر من 300,000 جهاز كمبيوتر مختلف في أوقات متفرقة، وأنتجت ما يزيد عن 12 مليار مفتاح في الثانية الواحدة. [ 10 ]

تُسرّع وحدات معالجة الرسومات عملية كسر كلمات المرور بمقدار يتراوح بين 50 و100 ضعف مقارنةً بأجهزة الكمبيوتر العادية، وذلك بالنسبة لخوارزميات التشفير المُحددة. فعلى سبيل المثال، في عام 2011، ادّعت منتجات تجارية مُتاحة قدرتها على اختبار ما يصل إلى 2,800,000,000 كلمة مرور NTLM في الثانية الواحدة على جهاز كمبيوتر مكتبي عادي باستخدام مُعالج رسومات عالي الأداء. [ 11 ] يستطيع مثل هذا الجهاز كسر كلمة مرور مُكوّنة من 10 أحرف (بحالة الأحرف الأولى فقط) في يوم واحد. يُمكن توزيع هذه العملية على العديد من أجهزة الكمبيوتر لتحقيق تسريع إضافي يتناسب مع عدد أجهزة الكمبيوتر المُتاحة المزودة بوحدات معالجة رسومات مُماثلة. مع ذلك، تعمل بعض الخوارزميات ببطء، أو حتى صُممت خصيصًا للعمل ببطء، على وحدات معالجة الرسومات. ومن الأمثلة على ذلك: DES و Triple DES و bcrypt و scrypt و Argon2 .

أتاح تسريع الأجهزة في وحدة معالجة الرسومات (GPU) استخدام الموارد لزيادة كفاءة وسرعة هجوم القوة الغاشمة لمعظم خوارزميات التجزئة. في عام 2012، كشفت مجموعة ستريكتشر للاستشارات عن مجموعة من 25 وحدة معالجة رسومات حققت سرعة هجوم قوة غاشمة بلغت 350 مليار محاولة لتخمين كلمات مرور NTLM في الثانية، مما سمح لهم بالتحقق من958{\textstyle 95^{8}}تمكن الباحثون من فك تشفير جميع كلمات المرور المكونة من 8 أحرف وأرقام ورموز خاصة، والتي تُستخدم عادةً في بيئات المؤسسات ، في غضون 5.5 ساعات. وباستخدام برنامج ocl- Hashcat Plus على منصة مجموعة OpenCL افتراضية ، [ 12 ] تم استخدام مجموعة وحدات معالجة الرسومات (GPU) التي تعمل بنظام Linux لفك تشفير 90% من 6.5 مليون تجزئة لكلمات مرور مستخدمي LinkedIn . [ 13 ]

بالنسبة لبعض خوارزميات التشفير المحددة، لا تتوافق وحدات المعالجة المركزية (CPU) ووحدات معالجة الرسومات (GPU) بشكل جيد. يتطلب التشغيل بسرعات عالية أجهزة مصممة خصيصًا لهذا الغرض. يمكن تصنيع هذه الأجهزة باستخدام تقنية FPGA أو ASIC . يُعد تطوير كلتا التقنيتين معقدًا ومكلفًا للغاية. بشكل عام، تُفضل FPGAs بكميات صغيرة، بينما تُفضل ASICs بكميات كبيرة جدًا، كما أنها أكثر كفاءة في استهلاك الطاقة وأسرع. في عام 1998، قامت مؤسسة الحدود الإلكترونية (EFF) ببناء برنامج مخصص لكسر كلمات المرور باستخدام ASICs. تمكن جهازهم، Deep Crack ، من كسر مفتاح DES 56 بت في 56 ساعة، باختبار أكثر من 90 مليار مفتاح في الثانية. [ 14 ] في عام 2017، كشفت وثائق مسربة عن استخدام ASICs في مشروع عسكري كان لديه القدرة على اختراق العديد من أجزاء اتصالات الإنترنت ذات التشفير الأضعف. [ 15 ] منذ عام 2019، يدعم برنامج John the Ripper كسر كلمات المرور لعدد محدود من خوارزميات التشفير باستخدام FPGAs. [ 16 ] تستخدم الشركات التجارية الآن أنظمة تعتمد على مصفوفات البوابات المنطقية القابلة للبرمجة (FPGA) لكسر كلمات المرور. [ 17 ]

سهل التذكر، صعب التخمين

إن كلمات المرور التي يصعب تذكرها تقلل من أمان النظام للأسباب التالية:

  • قد يحتاج المستخدمون إلى تدوين كلمة المرور أو تخزينها إلكترونياً باستخدام طريقة غير آمنة.
  • سيحتاج المستخدمون إلى إعادة تعيين كلمات المرور بشكل متكرر، و
  • من المرجح أن يعيد المستخدمون استخدام كلمة المرور نفسها.

وبالمثل، كلما كانت متطلبات قوة كلمة المرور أكثر صرامة، مثل "أن تحتوي على مزيج من الأحرف الكبيرة والصغيرة والأرقام" أو "تغييرها شهريًا"، زادت درجة لجوء المستخدمين إلى التحايل على النظام. [ 18 ]

في دراسة بعنوان "سهولة تذكر كلمات المرور وأمانها" [ 19 ] ، قام جيف يان وزملاؤه بدراسة تأثير النصائح المقدمة للمستخدمين حول اختيار كلمة مرور جيدة. ووجدوا أن كلمات المرور المبنية على التفكير في عبارة واختيار الحرف الأول من كل كلمة لا تقل سهولة في التذكر عن كلمات المرور المختارة ببساطة، وتصعب اختراقها بنفس قدر صعوبة كلمات المرور المولدة عشوائيًا. كما يُعد دمج كلمتين غير مرتبطتين طريقة فعالة أخرى. كذلك، يُعد امتلاك " خوارزمية " مصممة خصيصًا لتوليد كلمات مرور معقدة طريقة فعالة أخرى.

مع ذلك، فإن مطالبة المستخدمين بتذكر كلمة مرور تتكون من "مزيج من الأحرف الكبيرة والصغيرة" تُشبه مطالبتهم بتذكر سلسلة من البتات: يصعب تذكرها، ويصعب اختراقها قليلاً فقط (على سبيل المثال، يصعب اختراق كلمات المرور المكونة من 7 أحرف بمقدار 128 مرة فقط، وأقل من ذلك إذا قام المستخدم بكتابة أحد الأحرف بحرف كبير). غالبًا ما تؤدي مطالبة المستخدمين باستخدام "الأحرف والأرقام معًا" إلى استبدالات يسهل تخمينها مثل 'E' → '3' و'I' → '1': وهي استبدالات معروفة جيدًا للمهاجمين. وبالمثل، فإن كتابة كلمة المرور في صف أعلى من لوحة المفاتيح حيلة شائعة يعرفها المهاجمون.

أظهرت دراسة مفصلة نُشرت في أبريل 2015 من قِبل عدد من الأساتذة في جامعة كارنيجي ميلون أن اختيارات المستخدمين لبنية كلمات المرور غالبًا ما تتبع أنماطًا معروفة. على سبيل المثال، عندما تتطلب متطلبات كلمة المرور حدًا أدنى طويلًا، مثل 16 حرفًا، يميل المستخدمون إلى تكرار الأحرف أو حتى الكلمات الكاملة في كلمات مرورهم. [ 20 ] ونتيجة لذلك، قد يكون اختراق كلمات المرور أسهل بكثير مما تشير إليه احتمالاتها الرياضية. فعلى سبيل المثال، غالبًا ما تتضمن كلمات المرور التي تحتوي على رقم واحد هذا الرقم في نهايتها. [ 20 ]

الحوادث

في 16 يوليو 1998، أبلغ مركز الاستجابة لحوادث أمن الحاسوب (CERT) عن حادثة تمكن فيها مهاجم من العثور على 186,126 كلمة مرور مشفرة. وبحلول وقت اكتشاف الاختراق، كان قد تم بالفعل فك تشفير 47,642 كلمة مرور. [ 21 ]

في ديسمبر 2009، وقع اختراق أمني كبير لكلمات مرور موقع Rockyou.com، مما أدى إلى تسريب 32 مليون كلمة مرور. قام المهاجم بعد ذلك بتسريب القائمة الكاملة لكلمات المرور (دون أي معلومات تعريفية أخرى) إلى الإنترنت. كانت كلمات المرور مخزنة كنص عادي في قاعدة البيانات، وتم استخراجها من خلال ثغرة حقن SQL . قام مركز Imperva للدفاع عن التطبيقات (ADC) بتحليل قوة كلمات المرور. [ 22 ] ومن أبرز النتائج التي توصل إليها:

  • اختار حوالي 30% من المستخدمين كلمات مرور يقل طولها عن سبعة أحرف.
  • اختار ما يقرب من 60% من المستخدمين كلمات مرورهم من مجموعة محدودة من الأحرف والأرقام، و
  • استخدم ما يقرب من 50% من المستخدمين أسماءً أو كلمات عامية أو كلمات من القاموس أو كلمات مرور بسيطة تعتمد على تركيبات ضعيفة مثل الأرقام المتتالية و/أو مفاتيح لوحة المفاتيح المتجاورة - على سبيل المثال، كانت كلمة المرور الأكثر شيوعًا بين مالكي حسابات RockYou هي ببساطة "123456". [ 22 ]

في يونيو 2011، تعرض حلف شمال الأطلسي ( الناتو ) لاختراق أمني أدى إلى تسريب أسماء المستخدمين وكلمات المرور لأكثر من 11000 مستخدم مسجل في متجر الكتب الإلكترونية التابع له. وقد سُرّبت هذه البيانات ضمن عملية "مكافحة الأمن" ، وهي حركة تضم مجموعات وأفرادًا من المخترقين، من بينهم "أنونيموس" و "لولز سيك" . [ 23 ]

في 11 يوليو/تموز 2011، تعرضت خوادم شركة بوز ألين هاملتون ، وهي شركة استشارات أمريكية كبيرة تقدم خدمات جليلة لوزارة الدفاع الأمريكية (البنتاغون )، للاختراق من قبل مجموعة أنونيموس ، وسُربت البيانات في اليوم نفسه. وشمل التسريب، الذي أُطلق عليه اسم "انهيار الجيش يوم الاثنين"، 90 ألف عملية تسجيل دخول لأفراد عسكريين، من بينهم أفراد من القيادة المركزية الأمريكية (USCENTCOM) ، وقيادة العمليات الخاصة (SOCOM) ، وسلاح مشاة البحرية ، ومنشآت مختلفة تابعة للقوات الجوية ، ووزارة الأمن الداخلي ، وموظفين في وزارة الخارجية ، بالإضافة إلى ما يبدو أنه متعاقدون من القطاع الخاص. [ 24 ] وقد تبين أن كلمات المرور المسربة مُشفرة باستخدام خوارزمية SHA-1 غير المُملحة ، وقام فريق ADC في شركة إمبيرفا بتحليلها لاحقًا ، ما كشف أن بعض الأفراد العسكريين استخدموا كلمات مرور ضعيفة مثل "1234". [ 25 ]

في 18 يوليو 2011، حظرت مايكروسوفت هوتميل كلمة المرور: "123456". [ 26 ]

في يوليو 2015، سرقت مجموعة تُطلق على نفسها اسم "فريق التأثير" بيانات مستخدمي موقع آشلي ماديسون . [ 27 ] تم تشفير العديد من كلمات المرور باستخدام خوارزمية bcrypt القوية نسبيًا وخوارزمية MD5 الأضعف . وقد مكّن اختراق الخوارزمية الأخيرة مجموعة CynoSure Prime المتخصصة في اختراق كلمات المرور من استعادة حوالي 11 مليون كلمة مرور نصية. [ 28 ]

وقاية

إحدى طرق منع اختراق كلمات المرور هي ضمان عدم تمكن المهاجمين من الوصول حتى إلى كلمة المرور المشفرة. على سبيل المثال، في نظام التشغيل يونكس ، كانت كلمات المرور المشفرة تُخزن في ملف متاح للعامة . أما في أنظمة يونكس الحديثة (وما شابهها)، فتُخزن في ملف كلمات المرور المخفي ، الذي لا يمكن الوصول إليه إلا من قِبل البرامج التي تعمل بصلاحيات موسعة (أي صلاحيات "النظام"). هذا يجعل من الصعب على المستخدم الخبيث الحصول على كلمات المرور المشفرة في المقام الأول؛ وقد سُرقت العديد من مجموعات تجزئات كلمات المرور على الرغم من هذه الحماية. كما أن بعض بروتوكولات الشبكة الشائعة تنقل كلمات المرور كنص عادي أو تستخدم آليات تحدي/استجابة ضعيفة. [ 29 ] [ 30 ]/etc/passwd/etc/shadow

إن استخدام الملح ، وهو قيمة عشوائية فريدة لكل كلمة مرور يتم دمجها في عملية التجزئة، يمنع مهاجمة التجزئات المتعددة في وقت واحد ويمنع أيضًا إنشاء قواميس محسوبة مسبقًا مثل جداول قوس قزح .

ثمة نهج آخر يتمثل في دمج مفتاح سري خاص بالموقع مع تجزئة كلمة المرور، مما يمنع استعادة كلمة المرور كنص عادي حتى في حال سرقة قيم التجزئة. مع ذلك، قد تؤدي هجمات تصعيد الامتيازات ، التي يمكنها سرقة ملفات التجزئة المحمية، إلى كشف سر الموقع. أما النهج الثالث فيتمثل في استخدام دوال اشتقاق المفاتيح التي تقلل من معدل تخمين كلمات المرور. [ 31 ] : 5.1.1.2

استبدلت أنظمة يونكس الحديثة دالة تجزئة كلمات المرور التقليدية crypt()، القائمة على خوارزمية DES ، بأساليب أكثر قوة مثل crypt-SHA و bcrypt و scrypt . [ 32 ] وبدأت أنظمة أخرى أيضًا في تبني هذه الأساليب. على سبيل المثال، كان نظام التشغيل Cisco IOS يستخدم في الأصل تشفير Vigenère العكسي لتشفير كلمات المرور، ولكنه يستخدم الآن md5-crypt مع قيمة ملح (salt) بحجم 24 بت عند استخدام الأمر "enable secret". [ 33 ] تستخدم هذه الأساليب الأحدث قيم ملح كبيرة تمنع المهاجمين من شن هجمات فعالة دون اتصال بالإنترنت على حسابات مستخدمين متعددة في وقت واحد. كما أن هذه الخوارزميات أبطأ بكثير في التنفيذ، مما يزيد بشكل كبير من الوقت اللازم لشن هجوم ناجح دون اتصال بالإنترنت. [ 34 ]

صُممت العديد من خوارزميات التجزئة المستخدمة لتخزين كلمات المرور، مثل MD5 وعائلة SHA ، لحسابات سريعة مع متطلبات ذاكرة منخفضة وتنفيذ فعال في الأجهزة. يمكن تشغيل نسخ متعددة من هذه الخوارزميات بالتوازي على وحدات معالجة الرسومات (GPUs)، مما يُسرّع عملية اختراق كلمات المرور. ونتيجة لذلك، تصبح خوارزميات التجزئة السريعة غير فعالة في منع اختراق كلمات المرور، حتى مع استخدام الملح (Salt). بعض خوارزميات تمديد المفاتيح ، مثل PBKDF2 و crypt-SHA، تحسب تجزئات كلمات المرور بشكل تكراري، ويمكنها تقليل معدل اختبار كلمات المرور بشكل كبير، إذا كان عدد التكرارات مرتفعًا بما يكفي. أما خوارزميات أخرى، مثل scrypt ، فهي تتطلب ذاكرة كبيرة نسبيًا بالإضافة إلى حسابات تستغرق وقتًا طويلاً، وبالتالي يصعب اختراقها باستخدام وحدات معالجة الرسومات والدوائر المتكاملة المُخصصة.

في عام 2013، أُعلن عن مسابقة طويلة الأمد لتجزئة كلمات المرور لاختيار خوارزمية قياسية جديدة لتجزئة كلمات المرور، [ 35 ] وفازت خوارزمية Argon2 في عام 2015. كما أوصت NIST بخوارزمية Balloon . [ 36 ] وتُعتبر كلتا الخوارزميتين من الخوارزميات التي تتطلب موارد ذاكرة كبيرة.

تُقدّم حلولٌ مثل رمز الأمان دليلاً رسمياً من خلال تغيير كلمة المرور باستمرار. تُقلّل هذه الحلول بشكلٍ كبيرٍ من الفترة الزمنية المتاحة لمحاولات الاختراق العشوائي (إذ يحتاج المهاجم إلى كسر كلمة المرور واستخدامها خلال تغييرٍ واحدٍ فقط)، كما تُقلّل من قيمة كلمات المرور المسروقة نظراً لقصر مدة صلاحيتها.

برمجة

تتوفر العديد من برامج اختراق كلمات المرور، لكن أشهرها [ 37 ] هي Aircrack-ng و Cain & Abel و John the Ripper و Hashcat و Hydra و DaveGrohl و ElcomSoft . كما تتضمن العديد من حزم برامج دعم التقاضي وظيفة اختراق كلمات المرور. وتستخدم معظم هذه الحزم مزيجًا من استراتيجيات الاختراق؛ حيث أثبتت الخوارزميات التي تعتمد على التجربة والخطأ وهجمات القاموس أنها الأكثر فعالية. [ 38 ]

أدى ازدياد توافر قوة الحوسبة وبرامج كسر كلمات المرور الآلية سهلة الاستخدام للمبتدئين لعدد من أنظمة الحماية إلى السماح للمتسللين المبتدئين بممارسة هذا النشاط . [ 39 ]

انظر أيضاً

مراجع

  1. 1 2 "hashcat - استعادة كلمات المرور المتقدمة" . hashcat . مؤرشف من الأصل في 26 يونيو 2016. تم الاسترجاع في 27 مايو 2026 .
  2. مونتورو، ماسيميليانو (2005). "دليل مستخدم كاين وهابيل: برنامج اختراق كلمات المرور بالقوة الغاشمة" . oxid.it (موقع غير متاح) . مؤرشف من الأصل في 7 يونيو 2019. تم الاطلاع عليه في 13 أغسطس 2013 .
  3. "ما هو تخمين كلمات المرور؟ وكيفية إيقاف هجمات تخمين كلمات المرور" . مؤرشف من الأصل في 30 سبتمبر 2022. تم الاطلاع عليه في 16 سبتمبر 2021 .
  4. بهادورسينغ، رومان (19 يناير 2020). "خوارزمية موزعة لكسر كلمات المرور باستخدام أسلوب التجربة والخطأ على عدد n من المعالجات" . doi : 10.5281/zenodo.3612276 . مؤرشف من الأصل في 24 يونيو 2022. تم الاطلاع عليه في 24 يونيو 2022 .{{cite journal}}يتطلب الاستشهاد بالمجلة ( مساعدة )|journal=
  5. لوندين، لي (11 أغسطس 2013). "أرقام التعريف الشخصية وكلمات المرور، الجزء 2" . SleuthSayers.org . أورلاندو. مؤرشف من الأصل في 19 مايو 2022. تم الاطلاع عليه في 24 يونيو 2022 .
  6. ألكسندر، ستيفن. (20 يونيو 2012) ساحر الأخطاء: ما هو الطول الأمثل لكلمات المرور؟ مؤرشف في 7 أبريل 2022 على موقع Wayback Machine . Bugcharmer.blogspot.com. تم الاطلاع عليه في 31 يناير 2013.
  7. مدونة كريبتوهايز : ١٥٤ مليار عملية تشفير NTLM/ثانية على ١٠ تجزئات. مؤرشفة في ٦ مارس ٢٠١٦ على موقع Wayback Machine . Blog.cryptohaze.com (١٥ يوليو ٢٠١٢). تم الاطلاع عليها في ٣١ يناير ٢٠١٣.
  8. معايير جون السفاح. مؤرشفة في 5 مايو 2018 على موقع Wayback Machine . openwall.info (30 مارس 2010). تم الاطلاع عليها في 31 يناير 2013.
  9. بور، دبليو إي؛ دودسون، دي إف؛ بولك، دبليو تي (2006). دليل المصادقة الإلكترونية (ملف PDF) (تقرير). غايثرسبيرغ، ماريلاند: المعهد الوطني للمعايير والتكنولوجيا. doi : 10.6028/nist.sp.800-63v1.0.2 .
  10. "حالة مشروع المفتاح 64 بت" . Distributed.net. مؤرشف من الأصل في 10 سبتمبر 2013. تم الاطلاع عليه في 27 مارس 2008 .
  11. "جدول سرعة استعادة كلمة المرور" . شركة إلكوم سوفت . مؤرشف من الأصل بتاريخ 21 فبراير 2011. تم الاطلاع عليه بتاريخ 1 فبراير 2011 .
  12. "منصة مجموعة VCL" . mosix.cs.huji.ac.il . مؤرشف من الأصل في 19 أكتوبر 2021. تم الاطلاع عليه في 12 سبتمبر 2021 .
  13. "مجموعة من 25 وحدة معالجة رسومية قادرة على اختراق جميع كلمات مرور ويندوز القياسية في أقل من 6 ساعات" . 2012. مؤرشف من الأصل في 27 يناير 2019. تم الاطلاع عليه في 27 يناير 2019 .
  14. "آلة EFF DES Cracker تُضفي المصداقية على نقاش العملات الرقمية" . EFF. مؤرشف من الأصل في 1 يناير 2010. تم الاطلاع عليه في 7 يونيو 2020 .
  15. بيدل، سام (11 مايو 2017). "جامعة نيويورك تكشف عن طريق الخطأ مشروعًا حاسوبيًا لفك الشفرات العسكرية للإنترنت بأكمله" . ذا إنترسبت . مؤرشف من الأصل في 9 يونيو 2022. تم الاطلاع عليه في 6 يونيو 2020 .
  16. "إعلان - [ openwall-announce ] جون ذا ريبر 1.9.0-jumbo-1" . openwall.com . مؤرشف من الأصل بتاريخ 8 نوفمبر 2020. تم الاطلاع عليه بتاريخ 6 يونيو 2020 .
  17. "هل عملية اختراق كلمات المرور باستخدام Bcrypt بطيئة للغاية؟ ليس إذا كنت تستخدم..." . Medium . 8 سبتمبر 2020. مؤرشف من الأصل في 20 سبتمبر 2021. تم الاطلاع عليه في 12 سبتمبر 2021 .
  18. إدارة أمن الشبكات . فريد كوهين وشركاؤه. All.net. تم الاطلاع عليه بتاريخ 31 يناير 2013.
  19. يان، ج.؛ بلاكويل، أ.؛ أندرسون، ر.؛ غرانت، أ. (2004). "إمكانية تذكر كلمات المرور وأمنها: نتائج تجريبية" ( ملف PDF) . مجلة IEEE للأمن والخصوصية . 2 (5): 25. doi : 10.1109/MSP.2004.81 . S2CID 206485325. مؤرشف (ملف PDF) من الأصل في 6 ديسمبر 2022. تم الاطلاع عليه في 24 يونيو 2022 . 
  20. 1 2 ستاينبرغ، جوزيف (21 أبريل 2015). "تقنية جديدة تخترق كلمات المرور 'القوية' - ما تحتاج إلى معرفته" . فوربس . مؤرشف من الأصل في 31 أغسطس 2017. تم الاسترجاع في 7 سبتمبر 2017 .
  21. "CERT IN-98.03" . مؤرشف من الأصل في 9 يوليو 2010. تم الاطلاع عليه في 9 سبتمبر 2009 .
  22. 1 2 "أسوأ ممارسات كلمات مرور المستهلكين" (ملف PDF) . Imperva.com . مؤرشف (ملف PDF) من الأصل بتاريخ 24 يونيو 2022. تم الاطلاع عليه بتاريخ 24 يونيو 2022 .
  23. "هجوم اختراق لحلف الناتو" . ذا ريجستر . مؤرشف من الأصل في 26 يوليو 2020. تم الاطلاع عليه في 24 يوليو 2011 .
  24. «مجموعة أنونيموس تُسرّب 90 ألف حساب بريد إلكتروني عسكري في أحدث هجوم مضاد للأمن» . 11 يوليو/تموز 2011. مؤرشف من الأصل في 24 يونيو/حزيران 2022. تم الاطلاع عليه في 24 يونيو/حزيران 2022 .
  25. "تحليل كلمات المرور العسكرية" . Imperva.com . 12 يوليو 2011.
  26. "حظر مايكروسوفت لحساب هوتميل رقم 123456" . Imperva.com . 18 يوليو 2011. مؤرشف من الأصل في 27 مارس 2012.
  27. "أشلي ماديسون: قراصنة ينشرون بيانات موقع المواعدة المسروقة" . bankinfosecurity.com . مؤرشف من الأصل بتاريخ 11 أبريل 2021. تم الاطلاع عليه بتاريخ 11 أبريل 2021 .
  28. "باحثون يفككون 11 مليون كلمة مرور لموقع آشلي ماديسون" . bankinfosecurity.com . مؤرشف من الأصل بتاريخ 11 أبريل 2021. تم الاطلاع عليه بتاريخ 11 أبريل 2021 .
  29. سينغر، آبي (نوفمبر 2001). "لا كلمات مرور نصية عادية" (ملف PDF) . تسجيل الدخول . 26 (7): 83-91 . مؤرشف (ملف PDF) من الأصل في 24 سبتمبر 2006.
  30. "تحليل تشفيري لبروتوكول النفق من نقطة إلى نقطة من مايكروسوفت" . Schneier.com . 7 يوليو 2011. مؤرشف من الأصل في 21 مايو 2016. تم الاطلاع عليه في 31 يناير 2013 .
  31. غراسي، بول أ. (يونيو 2017). "SP 800-63B-3 - إرشادات الهوية الرقمية: المصادقة وإدارة دورة الحياة" (ملف PDF) . المعهد الوطني للمعايير والتكنولوجيا. doi : 10.6028/NIST.SP.800-63b . مؤرشف (ملف PDF) من الأصل في 1 أبريل 2019. تم الاطلاع عليه في 3 فبراير 2021 .{{cite journal}}يتطلب الاستشهاد بالمجلة ( مساعدة )|journal=
  32. مخطط كلمات مرور قابل للتكيف مع المستقبل. مؤرشف في 24 سبتمبر 2008 على موقع Wayback Machine . Usenix.org (13 مارس 2002). تم الاطلاع عليه في 31 يناير 2013.
  33. الأسئلة الشائعة حول MDCrack 1.8 مؤرشفة بتاريخ 27 أغسطس 2008 في أرشيف الإنترنت . لا يوجد. تم الاطلاع عليها بتاريخ 31 يناير 2013.
  34. حماية كلمة المرور لأنظمة التشغيل الحديثة. مؤرشف في 11 مارس 2016 على موقع Wayback Machine . Usenix.org. تم الاطلاع عليه في 31 يناير 2013.
  35. "مسابقة تجزئة كلمات المرور" . مؤرشف من الأصل في 2 سبتمبر 2013. تم الاطلاع عليه في 3 مارس 2013 .
  36. "NIST SP800-63B القسم 5.1.1.2" (ملف PDF) . nvlpubs.nist.gov . مؤرشف (ملف PDF) من الأصل في 1 أبريل 2019. تم الاطلاع عليه في 3 فبراير 2021 .
  37. "أفضل 10 برامج لكسر كلمات المرور" . Sectools. مؤرشف من الأصل في 11 مايو 2019. تم الاطلاع عليه في 1 نوفمبر 2009 .
  38. "حافظ على أمانك: تعرف على كيفية عمل برامج اختراق كلمات المرور - مدونة كيبر" . مدونة كيبر للأمن السيبراني - أخبار الأمن السيبراني وتحديثات المنتجات . 28 سبتمبر 2016. مؤرشف من الأصل في 21 أكتوبر 2020. تم الاطلاع عليه في 7 نوفمبر 2020 .
  39. أندرسون، نيت (24 مارس 2013). "كيف أصبحتُ خبيرًا في اختراق كلمات المرور: أصبح اختراق كلمات المرور رسميًا نشاطًا للمبتدئين" . آرس تكنيكا . مؤرشف من الأصل في 26 أكتوبر 2017. تم الاطلاع عليه في 24 مارس 2013 .