بقلم Tomas Foltyn، الكاتب في أمن المعلومات لدي شركة ESET
بمناسبة اليوم العالمي لكلمة المرور ، اليوم الذي يحتفل به في أول خميس من كل شهر مايو ، هو تذكير بحقيقة أن كلمات المرور الخاصة بنا هي المفتاح لثروة من المعلومات الشخصية عنا.
سيكون من الجميل أن نتخيل أن المتنافسون المختلفون من “مخترعو كلمة المرور” الذين عرفوا سابقا كم من المتاعب قد يجدوا أن الكمبيوترات بأنواعها ستختفي و تنتهي في نهاية المطاف بعد قرون، ولن يجدوا إزعاج أبدا في ذلك. أو ربما لم يهتم هذا المخترع بالمقايضة بين كلا من الأمن والراحة التي نعاني منها في عصر الإنترنت. وفي كلتا الحالتين ، فإن إرث إختراع كلمة المراقبة باقي و لن يتغير.
ومن جانب اخر ، فإن الروتين في عمليات التسجيل يعمل على هذا النحو: تقوم بالتسجيل باسم المستخدم وكلمة المرور اللذين لا يعرفهما أحد غيرك. و لتسجيل الدخول مرة أخرى، تحتاج فقط إلى استدعاء وإدخال بيانات اعتماد تسجيل الدخول الخاصة بك. وبالطبع أنت تعلم بأن هذا سيحدث ، لذلك قمت باتخاذ بعض “الاحتياطات”: فلقد قمت بإعداد الحساب بكلمة مرور سهلة التذكر.
وهنا تكمن المشكلة. إن “سهل التذكر” غالبا ما يساوي مفهوم قصيرة وبسيطة ، وأيضا من السهل تخمينها و معرفتها. وينطبق ذلك بصفة خاصة على برامج تكسير كلمات المرور التي تتقدم بعمل مزايدات لنية المشغِّل و تعمل على الإجبار في عملية الدخول إلى حسابك. مثل هذه البرامج يمكنها أن تفتح الحسابات بطريقة سحرية لتكتشف الكنوز مثلما تفعل عبارة “افتح يا سمسم!” مثل القصة الشعبية المعروفة لكهف الكنوز.
على الجانب الآخر ، فإنه من الصعب اختراق كلمة مرور طويلة ومعقدة وعشوائية ، ولكن أيضا فإنه يصعب تذكرها كثير من الأحيان. وهنا تكمن المشكلة .إن تذكر العديد من كلمات المرور التي لا يمكن تخمينها والقدرة على تذكرها و كل منها تابع لحساب مختلف على مواقع الإنترنت، أمر كبير و مرهق للغاية ما لم يكن لديك ذاكرة بحجم قوة ذاكرة فيل.
في الواقع ، إن قرائة مدونة WeLiveSecurity قد تقدم المساعدة في عملية البحث و الحصول عن الأمن والراحة. ومع ذلك ، هل من المعقول توقع أن يتذكر كل مستخدم عبارة مرور أو كلمة مرور مميزة لكل حساب على الإنترنت؟
هناك شيئا يجب ان يتم تقديمه
ما يفعله العديد من الناس – على الأقل أولئك الذين ليسوا من أصحاب ذاكرة الأفيال – يبخلون على أمنهم ، يستخدمون كلمة مرور شنيعة (“123456” ، أي شئ؟) ويواصلون طريقهم. حتى يتم اختراق حساباتهم ويتم اختراق شخصياتهم عبر الإنترنت ، أو ربما الأسوأ من ذلك ، يتم سرقة هوياتهم وأموالهم. إنها من الطبيعة البشرية.. تجاهل المخاطر حتى وقوع الكارثة.
في الواقع ، يبدو وكأنه لا يمكنك الحصول على كل شيء ؛ فهناك العديد من الحسابات عبر الإنترنت كل منها لديها كلمة مرور قوية جدًا وفريدة و كلمات مرور وعبارات وصول لا تنسى. ولا عجب أن صبرنا يلبس رقيقًا ونحن نتخذ اختصارات عقلية لنوفر على أنفسنا المجهود. وندخل استراتيجية تقليدية و مفهومة تسهل بها عمليات القرصنة وهي إعادة استخدام كلمة المرور.
و يمكنك المراهنة على أن إعادة تدوير كلمة المرور بشكل ثابت ثابتة بتضمن جزئا كبيرا من الأمن . و تمنع الكثير من التعرض للجرائم الحمقاء و للتوتر بسبب عمليات المصادقة. إن كلمات المرور التي تم إنشاؤها باستخدام إستراتيجية أخرى ، والتي تتضمن تعديل كلمة المرور بشكل طفيف لكل حساب (“إعادة الاستخدام الجزئي”) ، تميل إلى أن تكون قابلة للتنبؤ ، وبالتالي ، يسهل اختراقها تمامًا.
لماذا إعادة استخدام كلمة المرور مخاطرة؟
في وقتنا الحالي زادت علميات الخروقات عبر الإنترنت بشكل مضاعف. وكثيراً ما تكشف تلك الخروقات تفاصيل الدخول التي يمكن استغلالها بنجاح – خصوصا إذا كنت تستخدمها للوصول إلى حسابات متعددة – في الهجمات المعروفة بحشو بيانات الاعتماد. ويصبح هذا مقلقًا بشكل خاص عند استخدام أحد المهاجمين لبيانات اعتماد الوصول المسروقة أو المسربة التي تنتمي إلى حساب واحد من أجل اقتحام حساب آخر .وبفضل عمليات تفريغ كلمة المرور المتكررة ، يسهل الوصول إلى مجموعات المستخدمين / كلمات المرور ، وغالباً ما يكون ذلك بتكلفة بسيطة.
وإذا تم الضرب بعملية خرق و لم تكن بيانات الإعتماد مخزنة مع وظائف تخزين متقدمة (على سبيل المثال ، الاختراق على أدوبي في عام 2013) مع كلمة مرور أو حتى عبارة المرور قوية فيمكن أن يكون ذلك غير كافي لإفشال عملية الاستيلاء على الحساب إذا كنت تستخدم كلمة المرور هذه للوصول إلى خدمات متعددة عبر الإنترنت.
تحليل العوامل في عامل آخر
يمكن إحباط العديد من محاولات الاستيلاء على الحساب باستخدام المصادقة الثنائية (2FA). يوفر عامل المصادقة الإضافي طبقة إضافية من الدفاع تتجاوز رمز المرور / كلمة المرور / كلمة المرور البسيطة ، وبطريقة ما ، يعمل على إصلاح بعض نقاط الضعف البشرية الكامنة التي يتم كشفها بشكل روتيني من خلال خيارات كلمات المرور الضعيفة.
إنه أمر جيد جدا حتى الاَن. ومع ذلك ، فإن العديد من مقدمي الخدمات عبر الإنترنت لم ينفذوا بعد المصادقة الثنائية في مخططات التوثيق الخاصة بهم. (يمكنك التحقق من حالات مواقع الويب المختلفة في مقابل 2FA عبر: https://twofactorauth.org). و بالإضافة إلى ذلك ، كما هو موضح في تقرير حديث حول معدل اعتماد المصادقة الثنائية بين حسابات “جوجل” النشطة (أقل من 10 بالمائة) ، حتى لو كان هذا الخيار متاحًا لسنوات ، فإن معظم المستخدمين ببساطة لا يستفيدون منه ، سواء كانوا غير مدركين له أو على ما يبدو غير مهتمين.
وهناك بالطبع أشكال توثيق أخرى، قد تأخذ بعض من الوزن من على أكتافنا و أدمغتنا ، سواء كانت بيومترية (على سبيل المثال بصمة الإصبع أو العين) أو خوارزميات لقياس الخصائص السلوكية (على سبيل المثال ، كتابة الإيقاع أو غيرها) .
هل هناك طريقة أخرى ؟
نعم ، على الرغم من وجود الكثير من النصائح التي يقدمها خبراء الأمن. فلقد أصدر في عام 2014 من قبل ميكروسوفت للأبحاث ورقة احتوت على إقتراحات مختلفة. عند التفكير في العديد من الحسابات على الإنترنت باعتبارها متسلسلة إلى حد ما ، كانت الورقة تشير إلى أن درجة معينة من إعادة استخدام كلمة المرور أمر لا مفر منه ، ولكن يجب أن تكون محفوظة للخدمات منخفضة المخاطر وذات القيمة المنخفضة. بعبارة أخرى ، المنطق يقول أن جميع الحسابات لا تولد متساوية وينبغي بالتالي تقسيمها إلى مجموعات حسب قيمتها و أهميتها. لقد قام دافيد هارلي ، كبير الباحثين في “ESET” ، بالعمل على هذا النهج ، بينما كان يشير إلى المخاطر المحتملة في مقالة رائعة.
من ناحية أخرى ، هناك احتمالات أنك لن تقلل حساباتك عبر الإنترنت إلى أي رقم يمكنك إدارته بسهولة باستخدام كلمات مرور أو عبارات مرور فريدة وقوية. كما أنك لن تكون على استعداد للمشاركة في بعض فنون الإستذكار الجادة أو تطمح إلى الأهلية للمشاركة في مسابقة للذاكرة.
ومع الأخذ ذلك في الاعتبار ، فإن أسهل ما يمكنك فعله هو وضع جميع كلمات السر الخاصة بك (قوية وفريدة من نوعها بالطبع) في نوع من التخزين الرقمي الاَمن. هذا البرنامج عبارة عن برنامج مخصص لإدارة كلمات المرور يقوم ، من الناحية المثالية ، بتشفير وتخزين جميع كلمات المرور الخاصة بك محليا وخارج الإنترنت.
في الواقع ,فإن برامج إدراة كلمات المرور هم معظمهم في أمان وبشكل بديهي ،و من الصعب إنكار مزاياهم. بالإضافة إلى ذلك ، وجدت الأبحاث الحديثة أن برامج إدارة كلمات المرور يستفيد المستخدم من قوة كلمة المرور والتفرد ، على الرغم من أن هذه الإستراتيجية تعمل على ما يبدو فقط إذا تم إنشاء كلمات المرور بواسطة البرنامج.
في كلتا الحالتين ، على افتراض أنك تثق في تنفيذ برامج إدارة كلمة المرور – وأنك لن تستخدمها إذا لم تكن كذلك – ثم يتم تحديد أمانها إلى حد كبير من خلال قوة كلمة المرور الرئيسية الخاصة بك. فإنك هنا تضح كل البيض في سلة واحده وفي واقع الأمر ، يمكن لهذه السلة أن تصبح نقطة فشل واحدة و كبيرة.
لا يمكن السماح لهم بالمرور
بالتأكيد، فإن كلمات المرور معيبة. إلا أنه، في عصر الإنترنت، لا يوجد أي طريقة أخرى في كل مكان لمصادقة المستخدم. وبعد التنبأ بعودة الزوال الوشيك مرة أخرى في عام 2004، فإن كلمات المرور قد تكون عرضة للكشف. ومع ذلك، يبدو أنه ما زال هناك بعض الوقت قبل أن نسلك نفس طريق الديناصورات.
وكما قيل للجميع ، هناك أشياء تتعلق بأمن الكمبيوتر خارج سيطرة المستخدم العادي ، ولكن لماذا لا نذهب ونصلح تلك الأمور؟ بطريقة ما يمنح بإستمرار إستخدام كلمة المرور الضعيفة الفرص لتلقي الضربات و هو أمر لن يعجب المستخدم إطلاقا؟
