بقلم توماس فولتين الكاتب في أمن المعلومات لدى شركة إيسيت
يصادف اليوم العالمي لكلمات المرور، الذي يحتفل به في أول خميس من شهر مايو، هو تذكير بحقيقة أن كلمات المرور الخاصة بنا هي المفتاح لثروة من المعلومات الشخصية عنا.
سيكون من الجميل أن نتخيل أن المتنافسون المختلفون من مخترعو كلمات المرور الذين عرفوا سابقًا كم من المتاعب قد يجدوا أن الحواسيب بأنواعها ستختفي و تنتهي في نهاية المطاف بعد قرون، ولن يجدوا إزعاج أبدًا في ذلك، أو ربما لم يهتم هذا المخترع بالمقايضة بين كلًا من الأمن والراحة التي نعاني منها في عصر الإنترنت، وفي كلتا الحالتين، فإن إرث إختراع كلمة المراقبة باقي و لن يتغير.
ومن جانب آخر، فإن الروتين في عمليات التسجيل يعمل على هذا النحو، تقوم بالتسجيل باسم المستخدم وكلمة المرور اللذين لا يعرفهما أحد غيرك، و لتسجيل الدخول مرة أخرى، تحتاج فقط إلى استدعاء وإدخال بيانات اعتماد تسجيل الدخول الخاصة بك، وبالطبع أنت تعلم بأن هذا سيحدث، لذلك قمت باتخاذ بعض الاحتياطات، فلقد قمت بإعداد الحساب بكلمة مرور سهلة التذكر.
وهنا تكمن المشكلة، إن “سهل التذكر” غالبًا ما يساوي مفهوم قصيرة وبسيطة، وأيضًا من السهل تخمينها و معرفتها، وينطبق ذلك بصفة خاصة على برامج تكسير كلمات المرور التي تتقدم بعمل مزايدات لنية المشغِّل و تعمل على الإجبار في عملية الدخول إلى حسابك، مثل هذه البرامج يمكنها أن تفتح الحسابات بطريقة سحرية لتكتشف الكنوز مثلما تفعل عبارة “افتح يا سمسم”.
على الجانب الآخر فإنه من الصعب اختراق كلمة مرور طويلة ومعقدة وعشوائية، ولكن أيضًا فإنه يصعب تذكرها كثير من الأحيان، وهنا تكمن المشكلة، إن تذكر العديد من كلمات المرور التي لا يمكن تخمينها والقدرة على تذكرها و كل منها تابع لحساب مختلف على مواقع الإنترنت، أمر كبير و مرهق للغاية ما لم يكن لديك ذاكرة قوية جدًا.
في الواقع، إن قراءة WeLiveSecurity قد تقدم المساعدة في عملية البحث و الحصول عن الأمن والراحة، ومع ذلك هل من المعقول توقع أن يتذكر كل مستخدم عبارة مرور أو كلمة مرور مميزة لكل حساب على الإنترنت؟
هناك شيئًا يجب أن يتم تقديمه
ما يفعله العديد من الناس، على الأقل أولئك الذين ليسوا من أصحاب الذاكرة القوية، يبخلون على أمنهم، ويستخدمون كلمة مرور شنيعة “123456”، أي شئ؟” ويواصلون طريقهم، حتى يتم اختراق حساباتهم ويتم اختراق شخصياتهم عبر الإنترنت، أو ربما الأسوأ من ذلك، يتم سرقة هوياتهم وأموالهم، إنها من الطبيعة البشرية تجاهل المخاطر حتى وقوع الكارثة.
في الواقع يبدو وكأنه لا يمكنك الحصول على كل شيء، فهناك العديد من الحسابات عبر الإنترنت كل منها لديها كلمة مرور قوية جدًا وفريدة و كلمات مرور وعبارات وصول لا تنسى، ولا عجب أن صبرنا يلبس رقيقًا ونحن نتخذ اختصارات عقلية لنوفر على أنفسنا المجهود، وندخل استراتيجية تقليدية و مفهومة تسهل بها عمليات القرصنة وهي إعادة استخدام كلمة المرور.
ويمكنك المراهنة على أن إعادة تدوير كلمة المرور بشكل ثابت بتضمن جزئًا كبيرًا من الأمن، و تمنع الكثير من التعرض للجرائم الحمقاء و للتوتر بسبب عمليات المصادقة، إن كلمات المرور التي تم إنشاؤها باستخدام إستراتيجية أخرى، والتي تتضمن تعديل كلمة المرور بشكل طفيف لكل حساب “إعادة الاستخدام الجزئي”، تميل إلى أن تكون قابلة للتنبؤ، وبالتالي يسهل اختراقها تمامًا.
لماذا إعادة استخدام كلمات المرور مخاطرة؟
في وقتنا الحالي زادت علميات الخروقات عبر الإنترنت بشكل مضاعف وكثيراً ما تكشف تلك الخروقات تفاصيل الدخول التي يمكن استغلالها بنجاح خصوصًا إذا كنت تستخدمها للوصول إلى حسابات متعددة في الهجمات المعروفة بحشو بيانات الاعتماد.
ويصبح هذا مقلقًا بشكل خاص عند استخدام أحد المهاجمين لبيانات اعتماد الوصول المسروقة أو المسربة التي تنتمي إلى حساب واحد من أجل اقتحام حساب آخر، وبفضل عمليات تفريغ كلمة المرور المتكررة، يسهل الوصول إلى مجموعات المستخدمين، كلمات المرور، وغالباً ما يكون ذلك بتكلفة بسيطة.
وإذا تم الضرب بعملية خرق ولم تكن بيانات الإعتماد مخزنة مع وظائف تخزين متقدمة، على سبيل المثال، الاختراق على أدوبي في عام 2013 مع كلمة مرور أو حتى عبارة المرور قوية فيمكن أن يكون ذلك غير كافي لإفشال عملية الاستيلاء على الحساب إذا كنت تستخدم كلمة المرور هذه للوصول إلى خدمات متعددة عبر الإنترنت.
تحليل العوامل في عامل آخر
يمكن إحباط العديد من محاولات الاستيلاء على الحساب باستخدام المصادقة الثنائية 2FA، يوفر عامل المصادقة الإضافي طبقة إضافية من الدفاع تتجاوز رمز المرور، كلمة المرور، كلمة المرور البسيطة، وبطريقة ما، يعمل على إصلاح بعض نقاط الضعف البشرية الكامنة التي يتم كشفها بشكل روتيني من خلال خيارات كلمات المرور الضعيفة.
إنه أمر جيد جدا حتى الاَن، ومع ذلك، فإن العديد من مقدمي الخدمات عبر الإنترنت لم ينفذوا بعد المصادقة الثنائية في مخططات التوثيق الخاصة بهم، و بالإضافة إلى ذلك، كما هو موضح في تقرير حديث حول معدل اعتماد المصادقة الثنائية بين حسابات جوجل النشطة أقل من 10 بالمائة، حتى لو كان هذا الخيار متاحًا لسنوات، فإن معظم المستخدمين ببساطة لا يستفيدون منه، سواء كانوا غير مدركين له أو على ما يبدو غير مهتمين، وهناك بالطبع أشكال توثيق أخرى، قد تأخذ بعض من الوزن من على أكتافنا و أدمغتنا، سواء كانت بيومترية أو خوارزميات لقياس الخصائص السلوكية.
هل هناك طريقة أخرى؟
نعم، على الرغم من وجود الكثير من النصائح التي يقدمها خبراء الأمن، فلقد أصدر في عام 2014 من قبل ميكروسوفت للأبحاث ورقة احتوت على اقتراحات مختلفة، عند التفكير في العديد من الحسابات على الإنترنت باعتبارها متسلسلة إلى حد ما، كانت الورقة تشير إلى أن درجة معينة من إعادة استخدام كلمة المرور أمر لا مفر منه، ولكن يجب أن تكون محفوظة للخدمات منخفضة المخاطر وذات القيمة المنخفضة، بعبارة أخرى المنطق يقول أن جميع الحسابات لا تولد متساوية وينبغي بالتالي تقسيمها إلى مجموعات حسب قيمتها و أهميتها، لقد قام دافيد هارلي، كبير الباحثين في “إسيت” بالعمل على هذا النهج، بينما كان يشير إلى المخاطر المحتملة في مقالة رائعة.
من ناحية أخرى، هناك احتمالات أنك لن تقلل حساباتك عبر الإنترنت إلى أي رقم يمكنك إدارته بسهولة باستخدام كلمات مرور أو عبارات مرور فريدة وقوية، كما أنك لن تكون على استعداد للمشاركة في بعض فنون الإستذكار الجادة أو تطمح إلى الأهلية للمشاركة في مسابقة للذاكرة.
ومع الأخذ ذلك في الاعتبار، فإن أسهل ما يمكنك فعله هو وضع جميع كلمات السر الخاصة بك “قوية وفريدة من نوعها بالطبع” في نوع من التخزين الرقمي الاَمن، هذا البرنامج عبارة عن برنامج مخصص لإدارة كلمات المرور يقوم، من الناحية المثالية، بتشفير وتخزين جميع كلمات المرور الخاصة بك محليا وخارج الإنترنت.
في الواقع فإن برامج إدارة كلمات المرور هم معظمهم في أمان وبشكل بديهي ،ومن الصعب إنكار مزاياهم، بالإضافة إلى ذلك وجدت الأبحاث الحديثة أن برامج إدارة كلمات المرور يستفيد المستخدم من قوة كلمة المرور والتفرد، على الرغم من أن هذه الإستراتيجية تعمل على ما يبدو فقط إذا تم إنشاء كلمات المرور بواسطة البرنامج.
في كلتا الحالتين، على افتراض أنك تثق في تنفيذ برامج إدارة كلمة المرور وأنك لن تستخدمها إذا لم تكن كذلك، ثم يتم تحديد أمانها إلى حد كبير من خلال قوة كلمة المرور الرئيسية الخاصة بك، فإنك هنا تضع كل البيض في سلة واحدة وفي واقع الأمر، يمكن لهذه السلة أن تصبح نقطة فشل واحدة و كبيرة.
لا يمكن السماح لهم بالمرور
بالتأكيد، فإن كلمات المرور معيبة إلا أنه في عصر الإنترنت، لا يوجد أي طريقة أخرى في كل مكان لمصادقة المستخدم، وبعد التنبأ بعودة الزوال الوشيك مرة أخرى في عام 2004، فإن كلمات المرور قد تكون عرضة للكشف، ومع ذلك، يبدو أنه هناك ما زال بعض الوقت قبل أن نسلك نفس طريق الديناصورات.
وكما قيل للجميع هناك أشياء تتعلق بأمن الحاسب خارج سيطرة المستخدم العادي، ولكن لماذا لا نذهب ونصلح تلك الأمور؟ بطريقة ما يمنح بإستمرار إستخدام كلمة المرور الضعيفة الفرص لتلقي الضربات و هو أمر لن يعجب المستخدم إطلاقا؟
