رمز عبور و آنتروپی: علم پشت امنیت شما

« رمز عبور شما باید شامل ۸ کاراکتر، یک حرف بزرگ، یک حرف کوچک، یک عدد و یک کاراکتر خاص باشد. »

همه ما این قانون را می‌دانیم. با این حال، در امنیت سایبری، این چیزی است که ما آن را “تئاتر امنیتی” می‌نامیم. رمز عبوری مانند P@ssw0rd1! تمام این قوانین را رعایت می‌کند، اما در یک چشم به هم زدن توسط هر نرم‌افزار هک مدرن شکسته می‌شود.

امنیت واقعی بر اساس قوانین بصری دلخواه نیست، بلکه بر یک واقعیت ریاضی بی‌رحمانه استوار است: آنتروپی (Entropy).

آنتروپی به گفته کلود شانون

برای درک قدرت یک رمز عبور، باید به کلود شانون، پدر نظریه اطلاعات نگاه کنیم. آنتروپی درجه عدم قطعیت یا غیرقابل پیش‌بینی بودن اطلاعات را اندازه‌گیری می‌کند.

هنگامی که در مورد رمز عبور اعمال می‌شود، آنتروپی بر حسب بیت (bits) محاسبه می‌شود. هر چه تعداد بیت‌ها بیشتر باشد، رمز عبور برای رایانه غیرقابل پیش‌بینی‌تر است. فرمول ساده شده آنتروپی (E) یک رمز عبور که به طور تصادفی تولید شده است عبارت است از:

E = L × log2(R)

• L طول رمز عبور است.
• R اندازه مجموعه است (۲۶ برای حروف کوچک، ۶۲ با حروف بزرگ و اعداد، ۹۴ با نمادها).

افزایش اندازه مجموعه (افزودن نمادها) آنتروپی را افزایش می‌دهد، اما افزایش طول (افزودن کاراکترها) آن را به مراتب بیشتر افزایش می‌دهد. با این حال، طول تنها به یک شرط بر پیچیدگی غلبه می‌کند: اینکه رمز عبور کاملاً تصادفی ایجاد شود.

حمله Brute Force در برابر Dictionary Attack

اگر از کلمات یا ساختارهای قابل پیش‌بینی استفاده کنید، قانون طول خالص از بین می‌رود.

نرم‌افزارهای هک تمام ترکیبات حروف را یکی یکی امتحان نمی‌کنند (به این کار Brute Force می‌گویند). آنها از پایگاه‌های داده عظیمی استفاده می‌کنند که شامل میلیاردها کلمه موجود، عبارات رایج و نشت داده‌های گذشته است. این حمله دیکشنری (Dictionary Attack) است.

اگر رمز عبور شما طولانی است، اما از کلمات فرهنگ لغت یا جایگزین‌های قابل پیش‌بینی تشکیل شده است، آنتروپی واقعی آن به طور چشمگیری کمتر از آنتروپی ریاضی نظری آن است.

در اینجا زمان‌های تخمینی کرک در برابر خوشه‌ای از کارت‌های گرافیک مدرن (GPU) آورده شده است، که سریع‌ترین مسیر یافت شده با بهره‌گیری از ضعف‌های ساختاری به صورت پررنگ مشخص شده است:

توهم Leetspeak و قوانین جهش

مثال S3cr3t!99 را در نظر بگیرید. از نظر بصری، پیچیده و قوی به نظر می‌رسد. با این حال، این صرفاً کلمه فرهنگ لغت “secret” است، که در آن ’e’ با ‘3’ جایگزین شده است و یک پسوند بسیار رایج به آن اضافه شده است (!99). به این کار leetspeak می‌گویند.

در برابر حمله دیکشنری، این رمز عبور تنها چند ساعت، یا حتی چند دقیقه دوام می‌آورد. نرم‌افزارهای مدرن کرک (مانند Hashcat) فقط لیست کلمات ثابت را آزمایش نمی‌کنند؛ آنها به طور خودکار قوانین جهش (mutation rules) را اعمال می‌کنند. آنها هر کلمه را در فرهنگ لغت خود می‌گیرند، تمام ترکیبات ممکن leetspeak را آزمایش می‌کنند، حروف بزرگ را جابجا می‌کنند و سال‌ها یا نمادها را اضافه می‌کنند. Leetspeak حس امنیت کاذبی ایجاد می‌کند.

ترفند تغییر کیبورد (Keyboard Shift)

برای پیچیده کردن یک عبارت به یاد ماندنی، برخی از ترفند تغییر چیدمان صفحه کلید استفاده می‌کنند. به عنوان مثال، عبارتی مانند my-cat را به خاطر می‌سپارید. اما هنگام تایپ آن، انگشتان خود را روی یک صفحه کلید فیزیکی QWERTY قرار می‌دهید در حالی که سیستم عامل شما روی AZERTY (فرانسوی) تنظیم شده است.

• کلمه در ذهن: my-cat
• نتیجه تایپ شده: ,y)cqt (کلید ’m’ به ‘,’ تبدیل می‌شود؛ ‘-’ به ‘)’ تبدیل می‌شود؛ ‘a’ به ‘q’ تبدیل می‌شود).

آیا این ایده خوبی در OPSEC است؟ خیر، اگر این روش به تنهایی استفاده شود کافی نیست. درست مانند leetspeak، نرم‌افزارهای پیشرفته کرک دارای قوانین جهش سخت‌افزاری هستند که به طور خودکار تغییرات صفحه کلید بین‌المللی (QWERTY، AZERTY، QWERTZ، Dvorak) را آزمایش می‌کنند. در OPSEC، این امنیت از طریق ابهام است: این کار یک مهاجم آماتور را به تأخیر می‌اندازد، اما یک حمله هدفمند و مجهز را متوقف نخواهد کرد.

با این حال، اگر این تکنیک با رمز عبوری ترکیب شود که از قبل در پایه قوی است (مانند یک عبارت عبور بسیار طولانی و به یاد ماندنی)، با وارد کردن کاراکترهای خاص غیرمنتظره در یک ساختار از قبل قوی، آنتروپی را به میزان قابل توجهی افزایش می‌دهد.

ساخت رمز عبور ایده‌آل (~250 بیت)

اگر لیست کلمات، leetspeak و ترفندهای تایپ محدودیت‌های خود را دارند، چگونه رمز عبور اصلی (master password) بی‌نقصی بسازیم؟ برای دستیابی به امنیت بهینه و مقاومت در برابر ابزارهای محاسباتی نسل بعدی، هدف فعلی رسیدن به حدود ۲۵۰ بیت آنتروپی است.

بسته به نیاز شما دو راه برای رسیدن به این هدف وجود دارد:

1. گزینه کاملاً تصادفی (ایده‌آل برای مدیر رمز عبور)

رشته‌ای از کاراکترها که کاملاً تصادفی تولید شده است و حدس زدن آن را برای ماشین بسیار دشوار می‌کند: k9$Yz2!pL#8vQx5@mN7*jW4&hC1%bF3^tR9(dZ6 ۳۹ کاراکتر تصادفی با استفاده از کل مجموعه نمادها.

2. گزینه عبارت عبور ترکیبی (ایده‌آل برای رمز عبور اصلی به یاد ماندنی)

دنباله‌ای از کلمات فرهنگ لغت که به طور تصادفی تولید شده‌اند، و به شدت با اعداد و نمادها ترکیب شده‌اند: Sovereign_Crypto_99_Privacy_Zero_Knowledge_Secure_2026_Key_Lock_Cloud_Act_Grover این روش به انسان اجازه می‌دهد تا ساختاری را از نظر بصری یا عضلانی به خاطر بسپارد، در حالی که یک مانع عظیم ریاضی را حفظ می‌کند.

تهدید کوانتومی: الگوریتم گراور

چرا باید ۲۵۰ بیت را هدف قرار داد در حالی که ۱۲۸ بیت هم‌اکنون ابررایانه‌های امروزی را مسدود می‌کند؟ پاسخ در ظهور محاسبات کوانتومی نهفته است.

در رمزنگاری، الگوریتم گراور (Grover) به یک کامپیوتر کوانتومی اجازه می‌دهد تا در یک پایگاه داده مرتب نشده بسیار سریعتر از یک کامپیوتر کلاسیک جستجو کند. به طور مشخص، گراور سطح امنیت مؤثر یک کلید متقارن یا رمز عبور را به نصف کاهش می‌دهد.

در برابر یک کامپیوتر کوانتومی که الگوریتم گراور را اجرا می‌کند، رمز عبوری با آنتروپی ۱۲۸ بیت تنها مقاومتی معادل ۶۴ بیت (که قابل کرک شدن است) ارائه می‌دهد.

در نتیجه، برای حفظ امنیت واقعی ۱۲۸ بیتی در دنیای پسا کوانتومی، لازم است آنتروپی اولیه را دو برابر کرد. این یکی از ارکان مفهوم Harvest Now, Decrypt Later (HNDL) است: مهاجمان دولتی امروز داده‌های رمزگذاری شده را جمع‌آوری می‌کنند تا فردا آنها را بشکنند. هدف قرار دادن ۲۵۰ بیت آنتروپی حداقل استاندارد برای محافظت از کلیدهای اصلی شما در دراز مدت است.

Arpokrat Password Generator: خودتان آن را امتحان کنید

امنیت دسترسی خود را به شانس واگذار نکنید. ما یک ابزار داخلی توسعه داده‌ایم که به شما امکان می‌دهد رمزهای عبور قوی رمزنگاری شده (از جمله پسا کوانتومی) تولید کنید، و بالاتر از همه آنتروپی واقعی رمزهای عبور خود را ارزیابی کنید.

👉 Arpokrat Password Generator

رمزهای عبور فعلی خود را آزمایش کنید تا ببینید آیا در برابر قدرت محاسباتی مدرن مقاومت می‌کنند یا خیر. این ابزار ۱۰۰٪ به صورت محلی در مرورگر شما کار می‌کند، هیچ داده‌ای در شبکه منتقل نمی‌شود.

آخرین حلقه ضعیف: بازیافت و مدیریت دسترسی

آنتروپی ریاضی در برابر خطای انسانی محافظت نمی‌کند. رمز عبور ۲۵۰ بیتی در صورتی که در چندین سایت استفاده شود (حمله‌ای به نام Credential Stuffing) یا در صورتی که توسط فاکتور دوم احراز هویت (2FA) محافظت نشود، بی‌فایده است.

قانون طلایی بهداشت دیجیتال این است که شما فقط باید یک رمز عبور را به خاطر بسپارید: رمز عبور اصلی ۲۵۰ بیتی خود (به شکل یک عبارت عبور ترکیبی). تمام دسترسی‌های دیگر شما (بانک، شبکه‌های اجتماعی، سرورها) باید از رمزهای عبور منحصر به فرد با ۲۵۰ بیت آنتروپی خالص (رشته‌های کاراکتر تصادفی) که به طور خاص برای آنها ایجاد شده است استفاده کنند.

برای ذخیره و مدیریت این حجم از کلیدهایی که به خاطر سپردن آنها در ذهن غیرممکن است، استفاده از یک مدیر رمز عبور Zero-Knowledge ضروری است. یکی از بهترین استانداردهای فعلی Proton Pass است. مستقر در سوئیس، متن‌باز و رمزگذاری شده به صورت End-to-End، تضمین می‌کند که حتی مهندسان خود آن نیز نمی‌توانند محتویات صندوق شما را بخوانند. این همراه ایده‌آل برای ذخیره کلیدهای فوق‌العاده قدرتمند تولید شده توسط Arpokrat است، و کل زندگی دیجیتال شما را در پشت یک مانع ریاضی واقعی قفل می‌کند.