كلمات السر … شر لابد منه

0

أظن عند قرائتك هذه التدوينة سيكون لديك حوالي 20 كلمة سر مختلفة يتعذر عليك تذكرها كلها. ولكن لابد من وجود طريقة أسهل. كيف يمكنك أن تكون متقدما بخطوة عن الهاكرز والمتلصصين على معلوماتك الشخصية دون أن تفقد عقلك؟

نظام كلمات السر الخاصة بك هو كالتالي: البريد الالكتروني، البنك، مواقع التسوق، الشبكات الاجتماعية، المواقع الخدمية…الخ وهي تشكل حالة من الفوضى لك. أنت تعرف تماما أنه عليك أن تتبع القاعدة الذهبية التالية: لكل موقع تزوره عليك أن تختار كلمة سر مختلفة تتألف من مجموعة معقدة من الأرقام والاحرف والرموز وتذكرها (والأهم من ذلك كله: لاتكتب هذه الكلمة على ورقة أبدا أبدا أبدا).

ولكنك لا تتبع هذه القاعدة لأنك لم تحظى بواحد من تلك العقول القادرة على تذكر كل شيء. بدلا من ذلك، تقوم باستخدام نفس كلمة السر لكل المواقع – اسم مدينتك، قطك المفضل، الشارع الذي تسكن فيه، مطربك الأفضل، مع بعض الإضافات (الفذة بنظرك) مثل 123 في نهاية الكلمة.

أحد الأسباب التي سيجعلك لا تشعر بذنب كبير اتجاه هذا التصرف هو أنه يعتبر أمر عالمي. فحسب احدث الدراسات لمجموعة من الارقام السرية لحسابات المصرف التي تم تسريبها تبين أن 1 من كل 10 أشخاص يستخدم الرقم 1234. و أظهرت دراسة أخرى تمت على كلمات سر مسربة من موقع ياهو Yahoo أن الألاف من كلمات سر المستخدمين كانت كلمة “password” ، “welcome”، “123456” أو “ninja”.

يختار الناس كلمات سر سيئة حتى للأمور الأكثر حساسية وخطورة من مدخراتهم. فبحسب المحللين العسكرين خلال ايام الحرب الباردة (بين أمريكا والاتحاد السوفييتي) كان رمز اطلاق الصواريخ النووية هو 00000000 (معقول؟؟). وحتى عام 1997 ، كانت بعض من القنابل النووية مقفلة بواسطة قفل خاص بدراجة هوائية يتم فتحه بواسطة مفتاح صغير بدون استعمال أي رموز سرية و يعود السبب في ذلك (حسب القادة العسكريين العباقرة) لسرعة التصدي لأي عدوان خارجي محتمل ، وكأنهم يلعبون إحدى ألعاب الكمبيوتر الاستراتيجية.

يعود التعقيد في اختيار كلمات السر ، للحرب القائمة بين الهاكرز ذوي القبعات البيضاء (الجيدين) والهاكرز ذوي القبعات السوداء (القراصنة) ولكن الأمر أكثر تعقيدا وخطورة من ذلك. فكتابة كلمة السر الخاصة بك قد يعتبر خطوة جيدة. فالشركات التي تطلب من موظفيها تغيير كلمات سرهم كل 90 يوما من المحتمل أن لا يزيدوا من حماية معلوماتهم بل على العكس يتسببون في تأزيم الوضع أكثر. كذلك بالنسبة للقوانين الأخرى التي تطلب من المستخدم أن لايستخدم أكثر من 12 حرفا، بدون مسافات الخ… باختصار قد يعتبر الاعتماد على كلمات السر لحماية بياناتنا الأكثر خصوصية على الانترنت أمر سيء جدا. عند سؤال أحد المختصين بأمن و حماية البيانات الشخصية على الانترنت عن افضل حل لهذه المشكلة  كان  جوابه بعد تفكير :”احرق كمبيوترك واذهب الى الشاطئ”.

وعلى الرغم من أن الأمر يبدو فوضى عارمة ، إلا أنه يوجد بعض من الحلول التي لم يتم اخبارك عنها يمكنك استعمالها لتفادي خطر الوقوع فريسة أحد المتلصصين.

اختراق كلمات السر تأخذ عدة طرق و أشكال، لكن أهم ما يجب تذكره هو أن الأمر لايتم عن طريق الخداع  وانما يتم عن طريق استخدام برامج تتحزر كلمات السر بطريقة تدعى  brute force. فاذا استطاع أحد المخترقين الدخول الى مخدمات احدى الشركات والحصول على قاعدة بيانات تحوي عدة ملايين من كلمات السر. عادة ماتكون هذه الكلمات مشفرة حتى لا يستطيع أحد الدخول الى الحسابات مباشرة – فمثلا اذا كانت كلمة السر الخاصة بك هي “hello”  (طبعا مع العلم انه عليك ألا تستعملها) سيتم تسجيلها في ملف البيانات بعد التشفير بطريقة معينة هكذا مثلا : “$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90”. اذا لم يستطع المخترق فك تشفير الكلمات ، يمكنه عندئذ تلقيم هذه الملايين من كلمات السر المشفرة لأحد برامج الاختراق لاستعمالها في تحزر كلمة السر لأحد الحسابات الشخصية واختراقها والتي غالبا ما ينجح في ذلك و حصوله على تطابق في الكلمات.

هنا يأتي مدى أهمية و خطورة طول كلمة السر الذي سيقلب الموازين كلها. فالمخترق الذي لديه الامكانيات لحزر 1000 احتمال بالثانية سيحتاج لاختراق كلمة سر مكونة من 5 أحرف عشوائية  صغيرة مثل “fpqzy” لحوالي 3 ساعات و 15 دقيقة لينجز العملية. اذا تم زيادة الأحرف من 5 لتصبح 20 حرف ستزيد مدة الاختراق بمقدار لايصدق وهو حوالي 6.5 ألف ترليون قرن!!!

لكن المشكلة تكمن في التخمين والابتكار. فلا أحد يفكر في تكوين كلمة سر مؤلفة من احرف و أرقام عشوائية فقط دون أن يكون هناك رابط بينها. بل على العكس يقومون باتباع قاعدة ما مثل استخدام كلمة حقيقية واستبدال احرف معينة مثل حرف O  برقم 0 أو استخدام الاسم الأول متبوعا بسنة 1990. المخترقون يعرفون هذه الطريقة، هذا يعني ان برامجهم يمكن برمجتها بهذا التكتيك عند توليد كلمات الاختراق مما سيقلل الوقت المستخدم للحصول على كلمة مطابقة. وكلما يحدث تسريب جديد لكلمات السر من أحد الشركات الكبرى  ككل من موقع Gawker  في عام 2010 و Linkedin  و Yahoo هذا العام. فهذه الاختراقات تزيد من قاعدة الاحتمالات التي يستعملها القراصنة لتطبيق اختراقاتهم وتسهيل عملهم من خلال معرفة الطرق المتبعة التي يقوم بها المستخدمون بتركيب كلمات السر الخاصة بهم. فإذا كنت تظن أنه لديك طريقة أو نظام ذكي في تركيب كلمات السر الخاصة بك فهناك احتمال كبير أن يكون المخترقون على علم بهذه الطريقة.

إذاً، كلمة السر الأصعب من ناحية الاختراق هي  عبارة عن مجموعة طويلة من الاحرف والرموز والارقام، ولكنك لن تستطيع تذكرها. ولكن بما أن طول الكلمة له أهمية كبيرة، فاختيارك لمجموعة من الكلمات العشوائية كلها مكونة من احرف صغيرة مثل الجملة التالية “noisy wheels awoken ostrich” تعتبر أفضل و أأمن من كلمة سر أقصر التي تتبع قواعد وشروط أمان الشركات والمواقع الكبرى مثل كلمة “M@nch3st3r” وأيضا أسهل في التذكر: ففي مخيلتك بدأت بتصور (عجلات مزعجة توقظ النعامة) التي اعتمدتها لكلمة السر الخاصة بك. وحسب رأي احد المهتمين بموضوع  أمن البيانات: “خلال 20 عاما من الجهد المتواصل، نجحنا في تدريب الجميع ليستخدموا كلمات سر صعبة الحفظ عليهم ولكنها سهلة على الكمبيوترات أو البرامج  ليحزروها”.

ليس هذا فحسب : لأن كلمات السر صعبة الحفظ ، أضافت المواقع ميزة استرجاع الكلمة من خلال أسئلة  شخصية سهلة جدا على المخترقين أن يجيبوا عليها. وهذا ماحدث بالفعل لـحساب البريد الخاص بـ Sarah Palin عندما تم اختراقه عام 2008. حيث قام المخترق بالاجابة بسهولة عن الأسئلة مثل الرمز البريدي الخاص بها ومدرستها الثانوية.

وهناك خطر ثاني أكبر بكثير، فالتركيز على جعل كلمات السر أكثر تعقيدا سيصبح أمر لا جدوى منه ، لأن الخطر الأكبر هو برامج تسجيل ضغطات ازرار الكيبورد  أو key loggers وهي برامج خبيثة يتم تحميلها على الكمبيوتر بطريقة سرية من خلال الانترنت وتقوم بتسجيل كل حركات المستخدم على لوحة المفاتيح. فلا يهم مدى قوة كلمة السر التي لديك اذا كان أحد ما يراقب ماتكتبه على كمبيوترك فأنت في مأزق كبير.

يمكنك التقليل من هذا الخطر من خلال استخدام كمبيوتر ماك أو التحديث لنسخة ويندوز 7 وتنصيب برنامج مكافحة فيروسات وبرامج طفيلية. ولكن الضمان الوحيد هو عدم زيارة أي موقع مشبوه تحوي برامج خبيثة قابلة للتحميل على جهازك.

بالاضافة للانتباه للمواقع أو الايميلات المتصيدة  phishing التي تقوم بخداع المستخدم على أنها مواقع معروفة وآمنة وذلك من خلال  تقليد شكل الموقع الأصلي حيث تطلب منه معلومات شخصية مثل الاسم و كلمة السر. ولتجنب الوقوع في مثل هذه المصائد يجب على المستخدم التحقق دائما من عنوان الرابط قبل الضغط عليه وذلك بوضع مؤشر الماوس على الرابط URL دون الضغط والتأكد من أنه عنوان الموقع الأصلي ، و أن لايعطي كلمة السر أبدا في رد لأي إيميل يطلب منه ذلك.

قد يأتي يوم ما لا نحتاج فيه أن نقلق من كل هذه المشاكل الحالية، فهناك الكثير من التطورات التي يشهدها عالم التكنولوجيا سيتم من خلالها الاستغناء عن كلمة السر كليا. فيمكن لشاشات اللمس أن تستشعر بعض من خواص تفاعلك مع كمبيوترك، مثل البعد بين أصابعك، سرعة كتابتك أو تصفح الموقع . قام مجموعة من التقنيين في جامعة Rutgers في  New Jersey ببناء نموذج أولي لخاتم اصبع يقوم بارسال نبضات كهربائية صغيرة جدا من خلال بشرة المستخدم للشاشة لتأكيد هويته. يوجد الآن العديد من الكمبيوترات التي تحوي قارئ لبصمة الاصبع ولكنها مليئة بالمشاكل والأخطاء التي يمكن أن يتم تحسينها وتجاوزها مستقبلا. ولكن حتى مجئ هذا اليوم الموعود الخالي من كلمات السر تماما سنظل مضطرين لاستعمالها لفترة طويلة، لأنها ببساطة الطريقة الأسهل.

ما يمكنك عمله في الوقت الحالي هو تنصيب أحد برامج حفظ كلمات السر التي تدعى (محفظة كلمات السر) password wallet مثل برنامج LastPass أو 1Password الذي استخدمه شخصيا ويعتبر واحد من أقوى برامج كلمات السر. تقوم هذه البرامج بتوليد كلمات سر عشوائية طويلة  بشكل لا يمكن للعقل البشري (الطبيعي) استيعابه لكل موقع تزوره ، ويتم حماية هذه الكلمات بطريقة مشفرة بتقنية تشفير عالية جدا ولن تحتاج إلا لكلمة سر واحدة أساسية لامكانية الدخول لبياناتك الشخصية كاملة دون الحاجة لمعرفة باقي كلمات السر للمواقع التي تزورها.

طبعا هذا لايعتبر حلا مثاليا. فهذه البرامج آمنة جدا لدرجة قد تسبب المشاكل ،فإذا نسيت كلمة السر الرئيسية لن يكون باستطاعتك استرجاعها أبدا ولن يستطيع أحد مساعدتك في ذلك ولا يوجد أي خيار لارسالها بالإيميل. لذلك، سيتوجب عليك كتابة كلمة السر على ورقة صغيرة وتقوم بحفظها في أحد الكتب ووضع الكتاب في صندوق صغير واخفائه تحت السرير وتدخل في دوامة جديدة أخرى وهي تذكر أين وضعت هذه الورقة التي لا تقدر بثمن. ففي هذا العالم لا يوجد شيء اسمه أمان كامل وراحة بال مطلقة.

ما رأيك؟ هل لديك طريقة أو فكرة ذكية لحفظ كلمات السر تود أن تشاركنا بها؟

0

شاركنا رأيك حول "كلمات السر … شر لابد منه"

  1. شبكات مصرية

    موضوع مميز جدا وشامل بس المشكلة ان الهاكرز كل يوم بيجددوا طرقهم وبرامجهم

    • زعيم القراصنة

      هم يجددون من طرقهم وانت كذلك جدد من طرق حماية لجهازك.

  2. زعيم القراصنة

    اخي ما ذكرته لا غبار عليه 🙂 ولكن هنالك برنامج برنامج اخر يسمى Keyscrampler هذا البرنامج الذي دخل الى kernel و لب الويندوز ليقوم بتشفير كل شي يدعمه البرنامج فهو يقوم بتشفير ما تكتبه حتى اذا تم اختراق جهاز فان القرصان صاحب شارة على العين سيجد الارقام السرية بهذا الشكل =5)ç_2ç_è(56ç-5-684(-è554_8çè-698è-àè-46(-
    فهو يشفر الكلمات بشكل عشوائي اظن انه يشفر حتى نقارات الماوس :p

  3. حسن الفلاحي

    الحمدلله,بادئ ذي بدء اشكرلك هذاالتقديم الرائع,وبصراحة اعاني من تكوين كلمة سرلي حتى هذه اللحظة وماادري كيفية تركيبها ,وماارجوه ان اجدلديكم الحل لمشكلتي ,شاكرالكم هذا.

أضف تعليقًا