كلمات السر لم تمت بعد … ولكن نحن من نستخدمها بطريقة خاطئة!

في العام 2004 وأثناء إحدى المؤتمرات الأمنية ذكر بيل غيتس مؤسس شركة مايكروسوفت بأنّه مع مرور الوقت سيقل اعتماد المستخدمين بشكل كبير على كلمات السر Password كإجراء موثوق به للدخول للحسابات المختلفة وتأمين البيانات.

والآن بعد اثني عشر عامًا نجد أنّ كلمات السر لا زالت تحافظ على عرشها كأقوى ميزة تأمينية في الأجهزة المختلفة مثل: أجهزة الهواتف الذكية والحواسيب المكتبية والمحمولة ومخدمات البيانات العملاقة، بالرغم من صعود تقنيات ثورية مثل بصمة الأصابع وتقنية التعرف على الوجوه.

ظهرت في الآونة الأخيرة العديد من الآراء التي تتوقع موت كلمات السر خاصةً بعد صعود تقنيات التأمين الثورية، ولكن الحقيقة هي أنّ كلمات السر ستبقى معنا لفترة طويلة لعدد من الأسباب المنطقية منها:

كلمة سر مثل “Bsdo#du()q1” تبدو للعين البشرية العادية مشابهة كثيرًا لكلمة سر مثل “Bsd0#du()1,”، ولكن بالنسبة لجهاز كمبيوتر فهو مختلف كُليًا. لا منطقة وسطى هنا، ومن هنا تستمد كلمة السر قوتها بأنّه لا مجال للتخمين، فإمّا صحيحة أو خاطئة.

وعلى النقيض من ذلك، فإنّ التقنيات الحيوية مثل بصمات الأصابع وماسحات قزحية العين يمكن أن تقبل دائمًا نسبة خطأ معين؛ لأنّ البيولوجيا غامضة ولم يتم تفسيرها بشكل كامل حتى الآن. الأصوات والوجوه يمكن التلاعب بها بكل سهولة، ولكن في كلمات السر لا وجود لمثل هذه الاحتمالات، فإمّا صحيحة أو خاطئة.

كلمات السر هي التقنية التي تجد قبولًا لدى مختلف الأنظمة والمنصّات التقنية، إنّها مجرد سلسلة قصيرة من الحروف والرموز التي يستخدمها الجميع في مختلف الأنظمة، كل أنظمة التشغيل التي ظهرت في القرن الماضي وبدايات القرن الحالي – ويندوز، ماك، يونكس، iOS، أندرويد، TRSDOS، بيوس، سيمبيان، AmigaOS … إلخ – يمكنها التعامل مع كلمة السر بكل سهولة.

بينما أجهزة الاستشعار الحيوية أصبحت أكثر انتشارًا وتجدها في كل مكان، ولكن لا أحد منهم يمكن أن يحل تمامًا محل كلمة السر من تلقاء نفسها. لا يمكن لأي من هذه البدائل “الأفضل” – مثل بصمات الأصابع، والتعرف على الوجه، والمسح الضوئي للقزحية، والتعرف على الصوت، … إلخ – أن يعمل في كل مكان، على كل جهاز، في جميع ظروف الإضاءة، سواءً في البيئات الهادئة أو الصاخبة، وما إلى ذلك.

إذا تعرضت كلمة المرور لخطر الاختراق يمكنك ببساطة استبدالها بكلمة مرور جديدة، كما أنّه من السهولة بمكان وبشكل مجاني تمامًا أن تنشئ عشرات ومئات من كلمات السر الجديدة، ولكن لديك عشرة أصابع فقط وعينين فقط. ماذا ستفعل عندما تتعرض بصمات أصابعك للخطر أو يحدث شيء ما لعينيك؟! لا يمكنك استبدال أجزاء جسمك بمثل تلك السهولة أليس كذلك!

وأنا أعلم تمامًا أنّه ليس من المفترض أن تشارك كلمات السر مع الآخرين ولا أنصحك بهذا، ولكن الكثيرين يفعلون هذا في كثير من الأحيان لأسباب منطقية جدًا، يمكنك إرسال كلمات المرور (على الرغم من أنّها ليست فكرة جيدة)، وكتابتها على ملف في جهازك (لا تزال فكرة سيئة)، وكتابتها على قطعة من الورق (لا بأس) أو مجرد تناقلها من شخصٍ إلى شخصٍ آخر عن طريق الشفاه (أفضل).

بالمقابل إذا حصل لك شيء ما وأنت في موقف مسؤولية ويتوقف عليك الكثير من الأمور في شركتك أو مؤسستك أو محيطك العائلي. لا يمكنك تمرير بصمات أصابعك أو نقل مقلة عينيك أليس كذلك!

إذا كنت تستخدم معلومات شخصية شديدة الخصوصية مثل – تاريخ الميلاد، رقم الهاتف … إلخ – ككلمات سر، فأنت مستهدف بشكل كبير، غير ذلك فلا يمكن تتبعك بأي شكل من الأشكال، بعكس البيانات الحيوية مثل: صوتك، بصمتك، قزحية العين، شبكية العين والبيانات الحيوية الأخرى. يمكن استخدامها لتتبعك وحتى تسجيل الدخول لحساباتك نيابة عنك.

وأيضًا من المفروض أن تكون كلمات السر سرية للغاية، بعكس البيانات الحيوية والبيومترية الأخرى، فوجهك يمكن التقاطه في أي مكان، وبصمة أصبعك يمكن رفعه من أي سطح لامسته، وحمضك النووي يمكن أخذه من شعرك المتساقط ويمكن سرقة مفتاح المصادقة الخاصة بك من أي مكان، ولكن فقط (من الناحية النظرية) أنت وحدك من تعرف كلمة السر الخاصة بك إذا لم تشاركها مع أحد، وهنا تكمن الصعوبة وقوة كلمات السر.

تنشأ مشاكلنا بشكل أساسي مع كلمات السر فقط؛ لأنّها تستخدم من قبل بشر عاديين. والبشر العاديون كسالى ولا يحبون التعقيد بشكل كبير، وهذا ينبع من جعل كلمات السر خاصةً للحسابات المهمة قصيرةً جدًا وسهلة جدًا في تخمينها، وبالتالي نقع في المحظور.

فالكثيرون ليس لديهم استعداد لتذكر وطباعة كلمة سر من اثني عشر حرفًا ورمزًا مثلًا ويعتبرها شيء مبالغ فيه، ويتكاسل عمدًا ويجعل لكل حساباته على الإنترنت والمواقع الاجتماعية المختلفة كلمة سر واحدة لسهولة تذكرها، وهو لا يدري بأنّ بخطوته هذه يضع كل البيض في سلة واحدة، وبالتالي لا يلوم إلّا نفسه إذا حدث الأسوأ.

كما أنّ سهولة استرداد الحسابات من خلال بريد إلكتروني بديل تابع لصديق مثلًا، أو من خلال إجابة السؤال العشوائي والذي هو أيضًا يكون سهل التذكير يجعلنا نتعامل مع كلمات السر بكل إهمال وعدم مسؤولية، وهذا ما يعتمد عليه المخترقون بشكل كبير في اختراق الحسابات.

ولكن بقليل من الاجتهاد يمكننا الاستعانة بتطبيقات إدارة كلمات المرور على الهواتف الذكية والحواسيب اللوحية والمكتبية، والتي تقوم عنك بالكثير من المهام من خلال توليد كلمات سر قوية وفريدة من نوعها لكل حساب نستخدمه، صحيح أنّ فقد كلمة السر الرئيسية لهذه التطبيقات يمكن أن يُفقِدك جميع حساباتك بضربة واحدة؛ لأنّ استرجاع كلمة السر الرئيسية معدوم تمامًا، إلّا أنّك يجب أن تجتهد قليلًا بإنشاء كلمة سر رئيسية قوية يصعب على المخترقين تخمينها، وحفظها جيدًا للتعامل مع مثل هذه التطبيقات للدخول لحساباتك المختلفة بدون الاجتهاد في تذكر كلمة سر كل حساب.

كما يمكننا استخدام المصادقة الثنائية 2FA والتي أصبحت مؤخرًا أقوى بكثير من مجرد رمز نصي، ولا ننس خاصية العامل الثنائي The second factor، أو USB authentication key بإبقائه قريبًا منك، وبالتالي لن تضطر إلى استخدامه سوى مرة واحدة فقط عند تسجيل الدخول إلى أي حساب من جهاز جديد.

بكل تأكيد تظل القياسات الحيوية مثل: البصمة وقزحية العين والتعرف على الوجوه والبطاقات الذكية وأساليب التوثيق الأخرى مفيدة، وتطور طبيعي لما تشهده التقنية حاليًا، ولكن كطبقة أمنية أخرى علينا استخدام كلمة السر جنبًا إلى جنب مع الطرق الأخرى لمزيد من الأمن والأمان، واستمرار استخدام كلمات السر في حساباتنا لن يختفي قريبًا؛ لأنّه الدرع الأول والأكثر موثوقية حاليًا ضد الاختراقات التي تواجه بياناتنا يوميًا. لذلك، تأكد من إنشاء  كلمات سر قوية لحساباتك لمزيد من الإطمِئنان.