شاید عجیب به نظر بیاید اما بد نیست بدانید که گاهی هکرها از لیستی لو رفته از پسوردهای امنیتی برای سرعت بخشیدن به کار خود استفاده میکنند! این لیست به کمبو لیست (Combo List) معروف است؛ از آن جایی که کمتر جایی از این حوزه به صورت جامع سخن گفته شده است، سعی شده در این مقاله به طور اختصاصی و با دیدی جامعتر به این موضوع پرداخته شود.
برای این که بهتر درک کنید کمبو لیست چیست، بد نیست ابتدا با دو مفهوم یوزر و پسورد و اهمیت امنیت آن بیشتر آشنا شوید. البته که به لطف دیجیتال شدن همه رفتارهای روزمره، مطمئنا آشنایی کامل با این دو مورد را دارید!
نام کاربری یا یوزرنیم (Username)
معمولا به فردی گفته میشود که از چیزی استفاده میکند. این اصطلاح بیشتر در دنیای کامپیوتر و اپلیکیشنها و سایتها استفاده میشود. برای مثال کسانی که از یک اپلیکیشن یا سایت استفاده میکنند، یوزر یا همان کاربر آن هستند.
هر فردی که بخواهد داخل یک سایت یا اپلیکیشن ثبت نام کند، نیاز به یک یوزرنیم دارد، که به آن «نام کاربری» هم گفته میشود. یوزر (User) به معنای کاربر یا استفادهکننده است؛ برای انتخاب یوزر بهتر است از نام و نامخانوادگی خود به همراه سال تولد (میلادی یا شمسی) استفاده شود. البته گاهی افراد از نامهای مستعار برای یوزر خود استفاده میکنند. همچنین در برخی از سایتها آدرس ایمیل را به عنوان یوزر ذخیره میکنند؛ به عنوان مثال:
Amirreza1995 Saeedparsapoor76
کلمهی عبور یا پسورد (Password)
پسورد معناهای مختلفی مثل کلمه عبور، رمز عبور و یا اسم رمز دارد. در واقع یک کلمه، جمله یا دنبالهای از چند حرف، عدد و علامت است که برای شناسایی و احراز هویت کاربر مورد نظر استفاده میشود. پسوردها در بیشتر سامانههای رایانهای و دستگاههای الکترونیکی مورد استفاده قرار میگیرند. معمولا فرایند پیکربندی دستگاههای الکترونیکی توسط گذرواژه محافظت میشود.
انتخاب رمز عبور مناسب تأثیر محافظت با گذرواژه را بسیار بیشتر میکند و از سامانه در برابر دسترسیهای غیر مجاز و افراد متفرقه و سودجو محافظت میکند. برای درک بهتر، پسورد همچون کلید خانه است؛ ما تا کلید نداشته باشیم نمیتوانیم وارد آن شویم بعلاوه این که ما کلید خانهمان را بدست افراد دیگر نمیدهیم.
ویژگیهای یک پسورد یا گذرواژه مناسب:
- بهخاطرسپاری آن برای شما ساده و برای دیگران سخت باشد.
- طول گذرواژه نباید کوتاه باشد چون امنیت آن کاهش مییابد.
- برای گذرواژه بهتر است از کلمات با معنی استفاده نشود.
- ترکیبی از حروف، اعداد و کارکترهای مختلف را استفاده کنید.
- از اطلاعات شخصی (تاریخ تولد، شماره موبایل و…) استفاده نکنید.
- از حروف و اعدادی که در صفحه کلید کنار هم قرار دارند استفاده نکنید.
اگر علاقهمندید بیشتر با ویژگیهای یک پسورد مطمئن آشنا شوید، مقالهی آشنایی با حمله فیشینگ میتواند برای شما جذاب باشد؛ پسورد همان کلمه عبور است که با استفاده از هر کس میتواند به اکانت کاربری خود وارد شود و به آن دسترسی پیدا کند. حال که مفهوم این دو بخش کلیدی از موضوع این مقاله را دانستید، نوبت به آن رسیده که بدانید کمبو لیست چیست و دقیقا به چه چیزی اشاره دارد؟
کمبو لیست چیست؟
بیایید اول به معنای لغوی آن بپردازیم؛ کمبو به معنای ترکیبی است و به ترکیب یوزر و پسورد در کنار هم اشاره دارد. لیست هم که از اسمش پیداست، به دنبالهای از این یوزر و پسوردها اشاره دارد. پس کمبو لیست (Combo List) یک لیست یوزر و پسوردهای لو رفته است که هکرهای حرفهای با استفاده از یک سری ابزار این کمبو لیستها را روی سایتها و اکانتهای مختلف آزمایش میکنند تا بتوانند به آن دسترسی پیدا کنند.
هنگامی که یک هکر میخواهد به یک وبسایت یا اپلیکیشن حمله کند، عبور کردن از مرحله نام کاربری و پسووردی که در وبسایت در قسمت Login تعریف شده است یک مسئله بسیار مهم است.
هکرها با استفاده از این لیستهای طولانی شانس خود را برای بدست آوردن یوزر و پسورد امتحان میکنند و برای تارگت مورد نظر خود استفاده می کنند. لازم است بدانید که کمبو لیست، به صورت یک لیست از دو ستون است که به وسیله کاراکتر دو نقطه (:) از هم جدا شدهاند. در ادامه یک نمونه از کمبو لیست را میتوانید مشاهده کنید.
نمونهای از یک کمبو لیست:
Password | Username |
---|---|
kimbatoo | Goofygoofy |
hamingway1786 | Leosusan70 |
2elsoo11 | butter_ball_11288 |
123456 | cemil_ende |
6rustee | nkdnvjdl |
sarah1234 | Amory_kooper |
2stryker | kamilla.nieman |
user149 | Webuser |
pass7582 | kallylinsie |
davidpierceandthorn | smithidavid |
traxxas | collinsviolin |
0123456789 | _andybianka.bruemmer |
notway25585 | ashleywilliams |
کاربرد کمبو لیست چیست؟
از کمبو لیست میشود در بزرگترین فروشگاههای اینترنتی مثل آمازون و دیجی کالا و… تا بزرگترین شبکههای گیمینگ مانند پلی استیشن و ایکس باکس و محبوبترین شبکههای اجتماعی مانند فیس بوک، یوتیوب و اینستاگرام استفاده کرد.
از سوی دیگر کمبو لیستها بیشتر برای هکرهای تازهکار و نوپا کاربرد دارد البته به این معنی نیست که هکرهای حرفهای از این لیستها استفاده نمیکنند! در واقع هکرهای حرفهای فقط به این لیست اتکا نمیکنند و برای خودشان لیست بخصوصی برای تارگت دارند؛ جالبتر این است که یکی از کاربردهای کمبو لیست، تست امنیت وبسایتهای مختلف است.
نحوه تست امنیت سایت به کمک کمبو لیست
برای برقراری امینت شبکه یا حسابهای کاربری وبسایت، میتوان به راحتی از Combo List استفاده کرد. نحوه کار به این صورت است که تصادفی یا رندوم با استفاده از روشهایی کاراکتر و حرفهای مختلف را تست میکنند در اصطلاح Brute Force میکنند. البته امروزه این روش در خیلی از وبسایتهای امروزی امکان پذیر نیست. زیرا تعداد ورودهای ناموفق محدود است و آدرس مورد نظر پس از چندبار اشتباه وارد شدن بسته میشود.
استفاده از کمبو لیستها که احتمال موفقیت آن کمی بیشتر از رندم وارد کردن اطلاعات ورود است. کمبو لیست در واقع لیستی از احتمالات است. احتمال برابر بودن نام کاربری و رمز عبوری که در وبسایتهای دیگر استفاده شده و در این وب سایت هم قابل استفاده است. در نهایت، اگر حداقل ورود یکی از دادههای کمبو لیست موفقیت آمیز بود، نشان دهنده این است که آن رمز ورود و نام کاربری احتمالا امنیت کافی را ندارد! برای درک بهتر این موضوع و پیادهسازی امنیت وبسایت خود به کمک کمبو لیست، ابتدا باید اطلاعات کافی در حوزه شبکههای کامپیوتری کسب کنید.
دلیل موفقیت هکرها هنگام استفاده از کمبو لیست چیست؟
برای پاسخ به این سوال و درک بهتر کمبو لیستها، بیایید با یک مثال پیش برویم. مثلا شخصی در یک وب سایت فروشگاه مواد غذایی اکانت میسازد و محصولی را خریداری میکند. حالا به هر دلیل هکرها آن یوزرنیم و پسورد را به دست میآورند آن را به کمبو لیست اضافه میکنند و در سایتهای دیگر مثل سایت فروش کتاب امتحان میکنند.
احتمال اینکه فرد با مشخصات تکراری در سرویسهای مختلف اکانت بسازد خیلی زیاد است و به همین دلیل احتمال موفقیت یک کمبو لیست میتواند در مواردی بالا باشد. اگر دقت کرده باشید، پسورد منیجر (Password Manager) گوگل، چنانچه نام کاربری و رمز عبور واحد برای چندین وبسایت را در لیست شما پیدا کند، به شما هشدار خواهد داد که یکی از آنها را تغییر دهید. یکی از دلایل این هشدار گوگل، دقیقا کاهش شانس موفقیت کمبو لیستها است.
متاسفانه بسیاری از اکانتهای اینستاگرام و سایر شبکههای اجتماعی نیز به همین شکل هک میشوند. پس همیشه سعی کنید نام کاربری و پسوردهای مختلف را برای ثبتنام در سرویسهای مختلف استفاده کنید. حتی شده با قرار دادن یک کاراکتر نامربوط، مثل علامت تعجب یا فاصله (Space) پسوردتان را متفاوت ذخیره کنید.
انواع کمبو لیست چیست؟
کمبو لیست انواع مختلفی هم دارد که هر نوع، برای وبسایتهای مختلف و نحوه ثبت نام در آنها، میتواند ظاهری متفاوت داشته باشد.
کمبو لیست ایمیل پسورد
این کمبو لیست برای سایتهایی است که برای ثبت نام از کاربران خود یک آدرس ایمیل درخواست میکنند. در حقیقت در این نوع سایتها، یوزر هر فرد همان آدرس ایمیل او است. برای تست امنیت این سایتها از کمبو لیست Email/Pass استفاده میشود.
مثال کمبو لیست Email:Pass
mailname@gmail.com:passcode
این نوع کمبو از یک ایمیل + پسورد درست شده است که با علامت : از یکدیگر تفکیک شدهاند.
کمبو لیست یوزر پسورد
این کمبو لیست برای سایتهایی است که برای ثبت نام از کاربران خود یک یوزرنیم همان نام کاربری درخواست میکنند. در این نوع سایتها، یوزر آدرس ایمیل نیست و معمولا افراد از اسم و فامیل خود استفاده میکنند. برای تست امنیت این سایتها از کمبو لیست User/Pass استفاده میشود.
مثال کمبو User/Pass
blueway:021514152
این نوع کمبو از یک یوزر + پسورد درست شده است، یوزر و پسورد با علامت : از یکدیگر تفکیک شدهاند.
نرمافزارهای تست نفوذ (Black Bullet) یک کمبو لیست خیلی بزرگ را (مثلا کمبو لیست ۱ میلیونی) بر روی یک سایت (مثلا اینستاگرام) چک میکنند و اگر یکی از کمبوهای موجود در آن کمبو لیست صحیح بود، به شما اطلاع میدهند.
واقعیت کمبو لیست، یوزرنیم و پسوردهای آماده چیست؟
آیا کسانی که چند کارت عابر بانک دارند رمز عبور تمام کارتهای عابر بانک آنها با هم متفاوت است؟ یا پسورد شبکه اجتماعی اینستاگرام هر کس با ایمیل آن متفاوت است؟ یا کسانی که دو گوشی موبایل دارند برای هرکدام پسوردی متفاوت انتخاب میکنند؟
معمولا در اکثر مواقع افراد یک رمز عبور واحد را برای کارتهای بانکی خود یا یوزر و پسورد یکسان برای دنیای مجازی خود استفاده میکنند تا آن را فراموشش نکنند و یا رمزها را باهم قاطی نکنند.
این کار، یعنی انتخاب یک رمز واحد، کار را برای هکران بسیار راحت میکند. همین کار سبب میشود تا هکرها حداقل شانس خود را یک بار امتحان کنند. در حقیقت این کار تیری در تاریکی است که ممکن است به هدف بخورد. کمبو لیستها ۱۰ یا ۲۰ یوزر نیستند و هنگامی که از آن صحبت میکنیم لیستی است از هزاران و گاهی میلیونها یوزر و پسورد را مدنظر داریم.
آیا کمبو لیستهای هر کشور برای سراسر جهان کاربرد دارد؟
در واقع چنین چیزی ممکن نیست و هر کمبو لیست مخصوص کشور خودش است. یکی از دلایلی که میشود نام برد تفاوت اسم افراد در کشورهای مختلف است مثلا کسی در ایران برای یوزر خود از Sharan758 استفاده نمیکند؛ یا حداقل خیلی کم پیش میآید که این اتفاق بیوفتد.
اما در همه جا استثناهایی وجود دارد بعضی از پسورد لیستهای خارجی به درد کشور ما میخورد. مثلا اگر کسی بخواهد اکانتهای Play Station را هک کند برایش فرقی ندارد که کمبو لیست ایرانی باشد یا خارجی! البته در این مورد خاص، کمبو لیست خارجی بهتر است. چرا که پلتفرم بینالمللی بوده و حتی برخی از کاربران ایرانی، به دلیل تحریمهای مختلف، با یوزرنیم و پسورد خارجی اقدام به خرید اکانت میکنند.
آیا کمبو لیستها به صورت تصادفی و رندم درست میشوند؟
این لیستها بصورت رندوم ایجاد نمیشوند! تصور کنید یک نفر چقدر میتواند بیکار باشد تا ۱۰۰۰ یوزر و پسورد رندم از خودش ابداع کند! کار بیهودهای به نظر میآید؛ حقیقت امر این است که این لیستها در یک جایی در دنیا مورد استفاده قرار میگرفتند و خورد خورد جمع شدهاند تا به دست یک هکر رسیدهاند. سوال اینجاست که کمبو لیست از کجا میآید؟
تصور کنید شما صاحب یک وبسایت با هزاران کاربر هستید. از شانس بدتان، سایت شما هک شده و لیست یوزر و پسوردهایتان لو رفته است. این لیست، در کنار سایر لیستهای لو رفته با هم تشکیل یک کمبو لیست جامع را برای هکرهای فرصتطللب میدهد! البته این را هم بدانید که برخی از هکرها (فقط برخی) در مواردی خودشان اقدام به تهیه لیست یوزر و پسورد میکنند.
به مفهوم سادهتر اگر شما الان کمبو لیستی در اختیار دارید قطعا این یوزر و پسورد در جایی از دنیا مورد استفاده قرار میگرفتند و معتبر هستند. حتی نمونه یوزر و پسوردهایی که در این مقاله مثال زدیم فرضی نیستند! ممکن است هر یک از آنها در یک وبسایت جایی در این دنیا معتبر باشند!
آیا کمبو لیستهای خارجی برای وبسایت ایرانی قابل استفاده است؟
به نظر شما، چقدر امکان دارد که یک فرد ایرانی با نامهای خارجی برای خود حساب کاربری بسازد؟ یا برعکس، آیا یک فرد خارجی اصلا نامهای ایرانی را به درستی میشناسد که حساب خود را به نام ایرانی ایجاد کند؟ بنابراین، در جواب این سوال باید گفت در نود و نه درصد کمبو لیستهای خارجی برای وبسایتهای ایرانی جوابگو نیستند.
این یک درصد احتمال هم برای کاربرهای ایرانی است که در وبسایت خارجی ثبت نام کردهاند، نام کاربری و رمزعبورشان افشا شده و داخل لیست قرار گرفته است. برعکس این موضوع هم وجود دارد؛ نمیشود انتظار داشت که کمبو لیست فردی که داخل ایران هست برای یک وب سایت خارجی که کل کاربرانش خارجی هستند قابل استفاده باشد و این قضیه نیز منطقی است! چون یوزر و پسوردها مربوط به کاربران واقعی هستند.
یک کمبو لیست چقدر میتواند موفق باشد؟
میزان موفقیت یک کمبو لیست بستگی به موارد مختلفی دارد؛ مثلا این که:
- وبسایت هدف خارجی است یا ایرانی؟
- مخاطبان وبسایت چه کسانی هستند؟
- موضوع فعالیت وبسایت دقیقا چیست؟
یعنی اگر یک کمبو لیست در اختیار باشد که کاربرهای یک بازی (فرضا Call Of Duty) را داخل خود داشته باشد کمبو لیست دیگر لیستی از کاربرهای اینستاگرام ایرانی را دارا باشد میزان موفقیت برای تست کردن این دو لیست برای طرف مقابل خیلی کم است ولی اگر کمبو لیست این بازی را که به طور مثال ۱۰ هزار کاربر دارد روی بازی مشابه دیگری (مثل Fortnite) تست کنیم، میزان موفقیت بسیار بالاتر است چون احتمال اینکه از این ۱۰ هزار نفر ۱۰۰ نفر داخل بازی دیگری مشابه آن ثبت نام کرده باشند، طبیعتا بیشتر از سایر مواقع است.
این موضوع در مورد شبکههای اجتماعی هم صدق میکند. مثلا اگر در ایران فردی از وبسایت دیوار استفاده میکند این احتمال بسیار زیاد است که در وبسایتهای مشابهی که در حوزه خرید و فروش کالا هستند هم با همین نام کاربری و رمز عبور مشابه ثبت نام کرده باشد؛ بنابراین همیشه سعی کنید یوزر و پسوردهای متفاوت برای اکانتهای مشابه خود داشته باشید!
محافظت از اطلاعات کاربران در برابر کمبو لیست
اگر صاحب یک وبسایت یا اپلیکیشن هستید، برای اینکه بتوانید جلوی چنین مشکلاتی را بگیرید، باید تمام پسوردهای کاربرانتان را به شکل هش شده در پایگاه داده ذخیره کنید، الگوریتم هش، نوعی از الگوریتم رمزنگاری است که کلمات عبور و رشتههای کارکتری را به شکل تصادفی تولید میکند، بهگونهای که رشتهی کارکتری تولید شده دیگر امکان بازیابی ندارد.
بنابراین هکر نمیتواند با داشتن هش به اصل پسورد برسد و بدین ترتیب حتی اگر هکر به دیتابیس شما دسترسی پیدا کنید، مشکلی برای کلمات عبور کاربرانتان پیش نخواهد آمد، هرچند اگر علاقهمندید بیشتر در این زمینه اطلاعات کسب کنید، بد نیست کمی با نتورک پلاس آشنایی داشته باشید، هدف از یادگیری نتورک پلاس، آموزش علمی و تئوری مفاهیم امنیت شبکههای کامپیوتری است و با گذراندن آن میتوانید دید خوبی نسبت به شبکه و نحوهی کارکرد آن کسب کنید.
شما چه تجربهای در این خصوص داشتهاید؟ آیا تا بهحال درگیر چنین مشکلاتی شددهاید؟ کلمهی عبور و نام کاربریتان لو رفته است؟ یا حتی شاید در سمت دیگر ماجرا هستید و از این تکنیک برای نفوذ به حساب کاربری دیگران استفاده میکنید! دیدگاهها و تجربیات خود را در بخش نظرات این مقاله با ما در میان بگذارید.