وقتی قفل‌ها شکسته می‌شوند!

اصلاً کرک کردن پسورد یعنی چی؟

وقتی صحبت از کرک کردن پسورد (Password Cracking) میشه، منظورمون دقیقاً اون لحظه‌ایه که یه آدم کنجکاو (و اغلب با نیت‌های نه چندان دوستانه!) تصمیم می‌گیره بدون اجازه، وارد حریم شخصی یا حساب کاربری کسی بشه. این کار یعنی “دستیابی غیرمجاز”.

هکرها و مهاجمین سایبری عاشق این کارن؛ چون کلید ورود به اطلاعات حساس، پول، و داده‌های شخصی دقیقاً پشت همین چند تا کاراکتر رمز عبور پنهان شده. این فرآیند اصلاً جادوگری نیست؛ بلکه ترکیبی از حدس زدن هوشمندانه، مهندسی معکوس و استفاده از یه سری تکنیک‌های فنی برای کشف یا شکستن اون رمز عبور لعنتیه! حالا بیا ببینیم این جماعت هکر چطوری این کار رو انجام میدن.

---

هکرها چطور وارد میشن؟ (روش‌های متداول کرک کردن)

اینجا ۹ تا روش اصلی رو برات باز می‌کنم که مو به تنت سیخ می‌کنه:

۱. حملات دیکشنری (Dictionary Attack): کتابِ لغتِ هکرها

تو این روش، هکر یه لیست بلندبالا داره که بهش میگن “دیکشنری”. تو این لیست، تمام کلمات رایج و پرکاربرد دنیا وجود داره. هکر میاد و دونه دونه این کلمات رو روی اکانت شما تست می‌کنه. چرا؟ چون متاسفانه خیلی از ماها تنبلیم و از کلمات ساده استفاده می‌کنیم.

• مثال: اگه رمزت رو گذاشتی “۱۲۳۴۵۶”، “password”، یا “qwerty”، باید بگم تو نفر اولی هستی که تو این حمله هک میشی! اینا اهداف اصلی این حمله‌ن.

۲. حملات بروت فورس (Brute Force): زورآزمایی محض

اینجا دیگه بحث هوش نیست، بحث “زوره”. تو روش Brute Force، هکر میاد تمام ترکیب‌های ممکن از حروف، اعداد و کاراکترها رو امتحان می‌کنه. از aaaa شروع می‌کنه تا برسه به رمز تو.

• نکته: این روش برای پسوردهای کوتاه و ضعیف عالیه، اما اگه پسوردت طولانی و پیچیده باشه، اینقدر طول میکشه که شاید عمر هکر کفاف نده! هرچی پسوردت طولانی‌تر، کار این روش سخت‌تر.

۳. حملات ترکیبی (Hybrid Attack): هوش + زور

این روش، بچه زرنگِ کلاس کرک کردنه! ترکیبی از دیکشنری و بروت فورس. یعنی چی؟ یعنی هکر میاد کلمات دیکشنری رو برمیداره، ولی چون میدونه شاید تو یه عدد تهش گذاشته باشی، میاد اعداد یا کاراکترهای خاص رو هم بهش می‌چسبونه.

• مثال: فرض کن رمزت “password123!” باشه. این روش اول کلمه “password” رو از دیکشنری پیدا می‌کنه، بعد شروع می‌کنه اعداد و علامت تعجب رو بهش اضافه کردن تا برسه به رمز تو.

۴. حملات جداول رنگین‌کمانی (Rainbow Table)

این یکی خیلی فنیه. ببین، سیستم‌ها معمولاً پسورد تو رو به صورت متن ساده ذخیره نمی‌کنن، بلکه اون رو “هش” (Hash) می‌کنن (یه رشته کد درهم‌ریخته). حمله Rainbow Table از یه سری جداول از پیش آماده شده استفاده می‌کنه که توش هشِ میلیون‌ها پسوردِ ممکن وجود داره.

• مکانیزم: هکر میاد هش پسورد دزدیده شده رو با این جداول مقایسه می‌کنه و خیلی سریع‌تر از Brute Force، اصلِ پسورد رو پیدا می‌کنه (اصطلاحاً بازیابی می‌کنه). البته به شرطی که به اون جداول دسترسی داشته باشه.

۵. حملات Pass-the-Hash: دور زدن رمز عبور

تو این روش، هکر اصلاً زحمت کرک کردن رمز واقعی رو به خودش نمیده! اون فقط دنبال “هش” پسورد توئه. وقتی هش رو گیر آورد، همون رو به سیستم نشون میده و میگه “من فلانی‌ام”.

• نکته: سیستم که هش رو برای تایید کاربر لازم داره، گول میخوره و بدون اینکه هکر رمز واقعی رو بدونه، بهش اجازه ورود میده.

۶. حملات فیشینگ (Phishing): ماهیگیری با طعمه دروغین

اینجا هکر کاری به سیستم نداره، با “تو” کار داره. فیشینگ یعنی فریب دادن کاربر. هکر ایمیل جعلی، سایت تقلبی یا پیامک می‌فرسته و تو رو گول می‌زنه که خودت با دستای خودت رمزت رو بهش بدی.

• مثال: یه ایمیل میاد شبیه ایمیل بانک یا اینستاگرام، میگه “روی لینک زیر کلیک کن”. تو کلیک می‌کنی، نام کاربری و رمزت رو میزنی و تامام! تقدیمش کردی به هکر.

۷. کی‌لاگر (Keylogger): جاسوسِ صفحه کلید

این روش خیلی ترسناکه. هکر یه بدافزار (نرم‌افزار) یا حتی یه قطعه سخت‌افزاری کوچیک رو روی سیستم قربانی نصب می‌کنه. این کی‌لاگر وظیفه‌ش چیه؟ ضبط کردن هر چیزی که تایپ می‌کنی!

• نتیجه: هر دکمه‌ای که فشار بدی، از جمله تک‌تک حروف رمز عبورت، ثبت میشه و برای هکر ارسال میشه.

۸. حملات پر کردن اعتبار (Credential Stuffing)

این روش مخصوص کساییه که یه رمز رو برای همه جا استفاده می‌کنن. هکر میاد دیتابیس‌های لو رفته از سایت‌های دیگه رو برمیداره (مثلاً قبلاً یاهو هک شده)، بعد اون ایمیل و پسورد رو توی سایت‌های دیگه (مثل نتفلیکس، اسپاتیفای و…) امتحان می‌کنه.

• نکته: اگه تو هم از اونایی هستی که رمز ایمیلت با رمز اینستاگرامت یکیه، دقیقاً طعمه این حمله‌ای.

۹. مهندسی اجتماعی (Social Engineering): بازی با ذهن

اینجا هکر تبدیل میشه به یه روانشناس یا بازیگر ماهر. با دستکاری روانشناسی، زبون‌بازی یا فریب، قربانی رو قانع می‌کنه که اطلاعات حساسش رو لو بده.

• مثال: تماس‌های تلفنی الکی که میگن “از طرف پشتیبانی هستیم، رمزتون رو بدید چک کنیم”، یا حتی مکالمات حضوری دوستانه که تهش به پرسیدن رمز ختم میشه.

---

ابزارهای دست هکرها (جعبه ابزار شیطان!)

هکرها که دستی کار نمی‌کنن؛ اونا ابزارهای خودکار و خفنی دارن. معروف‌تریناشون اینان:

• John the Ripper: یه پیرمردِ کارکشته و متن‌باز! از دیکشنری و بروت فورس استفاده می‌کنه و خوراکش کرک کردن پسورده.
• Hashcat: این غول مرحله آخره! یکی از سریع‌ترین ابزارهاست که از قدرت کارت گرافیک (GPU) استفاده می‌کنه تا میلیون‌ها هش رو توی “یک ثانیه” پردازش کنه.
• Hydra: این ابزار متخصص حملات بروت فورس روی پروتکل‌های شبکه است. میخوای وارد FTP، SSH یا پنل ادمین سایت بشی؟ هایدرا ابزارشه.
• Cain & Abel: یه ابزار قدیمی ولی کاربردی برای ویندوز. هم پسورد کرک می‌کنه، هم ترافیک شبکه رو شنود می‌کنه (Man-in-the-middle).

---

چطور ضدضربه بشیم؟

خب، حالا که ترسوندیمت، راه حل هم بدیم. چطور جلوی این حملات بایستیم؟

1. رمز عبور قوی و پیچیده بساز:

بیخیالِ “۱۲۳۴۵۶” شو! یه رمز بذار که حداقل ۱۲ کاراکتر باشه. توش حروف بزرگ و کوچک، اعداد و علامت‌های عجیب غریب (!@#$) بریز.

2. تغییر منظم رمز عبور:

هر چند وقت یکبار (مثلاً هر ۳ ماه) رمزت رو عوض کن. نکته مهم: رمزهای قدیمی رو دوباره استفاده نکن.

3. احراز هویت دو عاملی (MFA/2FA) – واجب‌تر از نون شب:

این رو حتماً فعال کن. حتی اگه هکر رمزت رو هم بدست بیاره، تا وقتی کد پیامکی یا کد اپلیکیشن (مثل Google Authenticator) رو نداشته باشه، پشت در می‌مونه.

4. استفاده از پسورد منیجر (Password Manager):

حافظه‌ت یاری نمی‌کنه؟ طبیعیه. از برنامه‌های مدیریت پسورد استفاده کن. اینا برای هر سایت یه رمز عجیب و طولانی میسازن و خودشون هم یادت نگه میدارن. تو فقط باید رمز اصلیِ خود برنامه رو حفظ کنی.

5. رمزنگاری و نمک‌گذاری (Salting):

این بیشتر مربوط به برنامه‌نویس‌ها و مدیران سروره. سیستم‌ها نباید پسورد خام ذخیره کنن. باید “هش” کنن و بهش “نمک” (Salt) اضافه کنن. نمک باعث میشه حتی اگه من و تو رمز یکسانی داشته باشیم (مثلاً “۱۲۳”)، هش‌های ذخیره شده‌مون توی دیتابیس کاملاً متفاوت باشه و کار هکر سخت بشه.