بقلم Tomas Foltyn، الكاتب في أمن المعلومات لدي شركة ESET
لقد دخل الكثير منا عام 2019 مع حمولة كبيرة من القرارات والترتيبات. إن ممارسة المزيد من التمارين الرياضية، وتغيير عادات الأكل الغير الصحية وتوفير المزيد من الأموال كلها أهداف محترمة للغاية في حد ذاتها، ولكن قد لا يكون ذلك كافياً في عصر لا محدود من التطبيقات والمواقع التي تصرخ لتسمح لها بمساعدتك في الوصول إلى أهدافك وترتيباتك الشخصية للعام الجديد.
قد ترغب الاًن في إضافة بعض العادات الأكثر قيمة و الأقل جهداً. وفي ما يلي بعض النصائح حول “التمارين” التي ستفيدك بشكل جيد في أدائك عبر الإنترنت.
لن أفوت كلمات المرور الصعبة
تتسم كلمات المرور بعادات سيئة، وتستحق ذلك بجدارة: فهي تعاني من نقاط ضعف تتعلق بالأمان والراحة، مما يجعلها طريقة أقل مثالية فيما يتعلق بالمصادقة. ومع ذلك، فإن الكثير مما تقدمه الإنترنت يعتمد على اشتراكك في خدمات تتطلب تسجيل أذونات دخول، كما أن غالبية شكل المصادقة المعروف عالمياً يتكون من اسم المستخدم / كلمة المرور.
مع مفاتيح فتح الحسابات عبر الإنترنت (لا نتحدث عن العديد من الأجهزة) غالبًا ما يُنظر إلى كلمات المرور على أنها أول خط دفاع وهو خط الدفاع الوحيد في الغالب الذي يحمي أصولك الافتراضية الحقيقية من المتطفلين. و لا تقدم كلمات المرور الكثير من الحماية ما لم تكن في المقام الأول قوية وفريدة لكل جهاز وحساب.
لكن ما الذي يشكل كلمة مرور قوية؟ إنها “عبارات المرور” (passphrase) وعادة ما تكون عبارات المرور أكثر أمانًا وأكثر سهولة من كلمات المرور العادية. كلما كانت عبارة المرور أطول وتحتوي على كلمات أكثر كلما كانت أفضل، إن توفير سبع كلمات تعتبر بداية قوية. ومع كل عنصر إضافي يرتفع عدد المجموعات الممكنة بشكل كبير، مما يجعل فرص نجاح الهجمات الغاشمة للإختراق و تكسير عبارات المرور أقل إن لم تكن مستحيلة تمامًا (مع الافتراض بالطبع، أن خدمة إدخال كلمة المرور لا تفرض قيودًا على طول الكلمات المُدخلة – وهو أمر ما زال للأسف شائعًا إلى حد كبير).
لا تعاطف مع تكسير عبارات المرور
هناك تحذير هام حول أهمية الامتناع عن العبارات التي تدخل في المعجم اليومي. مثل أسماء الكتب كاملة أو الاقتباسات المشهورة أو كلمات أغان، والتي تميل بالفعل بأن تكون أداة سهلة لتكسير كلمات المرور. يجب أن تكون الكلمات فردية بترتيب عشوائي، ولأكثر مثالية يتم اضافة طابع شخصي واستبدال الأحرف، مع الاحتفاظ في نفس الوقت بمعنى مخفي. وللحصول على إرشادات عملية حول إنشاء عبارات المرور، قد ترغب في الرجوع إلى هذا الفيديو التعليمي القصير أو إلى هذه المقالة.
و بالطبع هناك حاجة إلى أن تكون كل عبارة مرور مميزة لكل حساب، بحيث لا يتردد صداها في أحد عبارات المرور الخاصة بك من خلال حساباتك الأخرى وربما الأكثر قيمة. وللأسف، الممارسة الخطيرة المتعلقة بإعادة تدوير كلمة المرور موجودة في كل مكان، ويستطيع المهاجمون استغلالها باستخدام تقنية آلية تعرف باسم “حشو بيانات الاعتماد“.
من المحتمل أنك تستخدم الكثير من الحسابات عبر الإنترنت لتتذكر عبارة مرور مميزة لكل منها. وفي هذه الحالة، من المفيد وضع “مدفن/إدارة لكلمة المرور” الذي يعمل على تشفير و تخزين كلمة المرور ويزيل الكثير من المعضلات التي تنطوي علي إدارة كلمات المرور. و يمكن لهذه الأداة أيضًا إنشاء كلمات وعبارات مرور عشوائية ومعقدة.
في حين يجب عليك تذكر كلمة مرور رئيسية واحدة فقط، والتي تفتح في النهاية جميع حساباتك على الإنترنت، سيكون عليك التأكد من متانة وتفرد هذا المفتاح الوحيد لمملكتك الرقمية – لذا عليك العودة إلى الاقتراحات أعلاه.
لن أتخطى الخطوة الثانية
قد تنشأ مشكلة أخرى مع كلمات/عبارات المرور فواقع الأمر يقول أنها خط الدفاع الوحيد لأمن حسابك. وعندما ينهار هذا الحاجز – عادة من خلال هجوم تصيد أو من قبل المهاجمين عملوا بطريقة ما على تفاصيل تسجيل الدخول الخاصة بك – قد يؤدي عامل التوثيق الإضافي إلى إحباط خصومك بشكل جيد.
إن المصادقة الثنائية (2FA) أو المصادقة متعددة العوامل (MFA) هي طريقة ممتازة لتعزيز أمن حساباتك، خاصة عندما تقترن بمفاتيح الأجهزة أو التطبيقات المخصصة، وأقل من ذلك مع المصادقة الثنائية عبر خدمة الرسالة النصية القصيرة (SMS-borne 2FA). على الرغم من أن العديد من الخدمات عبر الإنترنت توفر خيارات المصادقة الثنائية 2FA، إلا أن القليل منها يتطلب استخدامها. إن اعتماد برنامج المصادقة الثنائية في تزايد. إن تطبيق تسجيل الدخول عبر المصادقة الثنائية يتطلب جهد إضافي ولكنه يستحق ذلك، لأنه يمكن أن يساعد في توفير سيناريوهات مختلفة، بما في ذلك الحد من وقوعك فريسة لأي هجوم إلكتروني يهدد أيًا من كلمات المرور الخاصة بك.
ومن المحتمل أن تكون بعض تفاصيل المصادقة قد تمت سرقتها ونشرها عبر الإنترنت أو أصبحت متوفرة للبيع في الأسواق تحت الأرض. يشمل مصدر تسريبات تلك كلمات المرور العديد من الخروقات الأمنية التي أفسدتها الخدمات عبر الإنترنت وتجارة التجزئة وسلسلة خدمات الفنادق وما شابه. و قد يكون الكيان المستهدف قد حمى كلمات مرور المستخدمين لديه بوظائف حماية ضعيفة و هشة، أو عبر تخزين كلمات المرور في نص عادي. والأسوأ من ذلك، أن مقدم الخدمة قد لا يعرف حتى وقت قصير أن المخترقين قاموا بسرقة البيانات التي غالباً ما تكون ضعيفة الحماية، أو قاموا بشرائها على شبكة الإنترنت المظلمة، لذلك لن يتوفر لديك أي فرصة لاتخاذ أي تدابير دفاعية خاصة. مرة أخرى، هذا هو الوقت الذي سيؤدي فيه عامل المصادقة الثنائي إلى إحباط أي محاولات للاستيلاء على الحسابات.
ويمكنك كذلك أن تذهب وتتأكد بنفسك على موقع (Have I Been Pwned) ما إذا كان أي من حساباتك على الإنترنت قد يكون جزءًا من خرق معروف. فهناك ما يقرب من 5.7 مليار حساب مخترق من المواقع المختلفة، فالموقع يمتلك مخبأ لأكثر من نصف مليار كلمة مرور مسربة بشكل عام أو مسروقة في نص واضح تم كشفه في خروقات سابقة، بحيث يمكنك التحقق من حساباتك أيضاً.
هل هو أمر خاطئ؟ حسنًا ، قد يبدو الأمر بديهيًا، ولكن إصلاح كلمات المرور الخاصة بك قد يعني أيضًا الحاجة إلى عدد أقل منها في المقام الأول. بمعنى أدق عليك قطع العلاقات لأي من الخدمات التي لم تعد تستخدمها، بحيث لا تحتاج إلى “الاعتناء” بحساباتك معهم. لقد أنشأنا جميعًا حسابات لم نعد نستخدمها. قد يكون لدينا عدد غير قليل منهم تراكم على مر السنين، بما في ذلك بعض ما نتذكره بالكاد. إن القول المأثور “الإنترنت لا ينسى أبداً” يناسب الموقف هنا، والنسيان أمر لا ينبغي عليك فعله أيضًا.
تكمن المشكلة في الحسابات غير المستخدمة في أن كل واحد منهم يشكل مصدراً محتملاً للخطر. قد تعاني الخدمة من خرق تعريض كلمة المرور الخاصة بك أو قد يتم بيعها إلى المالكين الجدد أصحاب النوايا الغير طيبة. أو إذا استولى المحتالون على حسابك، فربما يكون بإمكانهم استخدامه لاقتحام أحد حساباتك ذات القيمة العالية، سواء كان ذلك عن طريق جمع معلومات خاصة عنك، أو من خلال عدم استخدام كلمة مرور فريدة لكل حساب. أو يمكنهم أيضًا استخدامها لإخراج الرسائل غير المرغوب فيها.
لكن ..الذي لا وجود له لا يمكن الاستيلاء عليه، أليس كذلك؟ لا تشعر بالندم: ما عليك سوى إرسال هذه الحسابات إلى مكان أفضل وعدم النظر خلفك أبدًا.
هناك أيضًا خدمات تعِد بتخفيض بصمتك على الإنترنت؛ أي دون الحاجة إلى استدعاء أو تمشيط وتقوم يدوياً بإيقاف كل حساب غير نشط. إن استخدام الخدمة لمجرد المساعدة في إغلاق الحسابات الغير مستخدمة عبر الإنترنت قدلا يكون متاح للجميع، ولكنك تحتاج إلى أخذ كلمات مطوري هذه الأدوات.
أثناء العمل على تقليل مستوى الفوضى، فكّر في قطع الروابط أيضًا مع التطبيقات والخدمات الخارجية المرتبطة بحساباتك على المواقع الاجتماعية وغيرها من المواقع الرئيسية، وخصوصًا التطبيقات التي لم تعد تستخدمها. يمكن إساءة استخدام هذه التطبيقات أيضًا كنقاط دخول أخرى لجمع البيانات غير المشروعة أو حتى أسوأ من ذلك. لسحب القابس لمنع وصولهم إلى حسابك وبياناتك، انتقل إلى إعدادات الخصوصية و / أو الأمان الخاصة بالخدمة (الخدمات) عبر الإنترنت التي تختارها؛ ومن هناك عادة ما يتطلب الأمر نقرة واحدة أو اثنتين فقط.
القادم
لن يصبح الحفاظ على الأمان عبر الإنترنت أكثر سهولة هذا العام، لذا سنعود في غضون بضعة أيام مع المزيد من النصائح لتعزيز أمانك الشخصي عبر الإنترنت. وفي المرة القادمة، سنركز بشكل أساسي على طريقتين سهلتين لتعزيز أمان شبكتك اللاسلكية.