كلمات السرّ Passwords

مقدمة

تستخدم كلمات السرّ Passwords، والتي وتسمى أيضا كلمات أو عبارات العبور Pass-phrases، لحماية حسابات البريد الالكتروني والحسابات على مواقع مثل مواقع التواصل الاجتماعي. وأيضا لحماية الحاسب الشخصي، حماية الحاسب المحمول Laptop وغيره من الأجهزة الالكترونية الشخصية، وتكون بذلك أسلوبا من أساليب المصادقة Authentication للتحقق من صحة هوية المستخدم الذي يطلب الوصول Access لحساب ما سواء على الحاسب الشخصي أو الانترنت. تستخدم كلمات السرّ أيضا في التشفير Encryption.

يجب ملاحظة أن هناك اختلاف كبير بين درجة الخطر التي يتعرض لها جهاز الحاسب الشخصي في المنزل من محاولات اختراق كلمة السر وبين الخطر الذي يتعرض له حساب شخصي على موقع ما في فضاء الإنترنت. الفرق هو أنه لا يمكن لأي شخص كان محاولة اختراق حاسبكم الشخصي عن بعد، طالما بقي غير متصل بالشبكة، أو كان مغلقا، بينما يستطيع عشرات آلاف الناس محاولة اختراق حسابكم على موقع ما على شبكة الإنترنت. يمكن أن يحصل ذلك أثناء نومكم مثلا. هذا يجعل كلمة السرّ في كثير من الأحيان ليست حاجز الدفاع الأول فحسب لكن أيضا حاجز الدفاع الأخير في مواجهة كل من يحاول الوصول لمعلوماتكم الخاصة الموجودة على الإنترنت.

توصف كلمات السر بأنها جيدة أو سيئة. لكن لماذا؟ ما الذي يجعل كلمة سر أفضل من أخرى؟

الجواب في الحقيقة يتعلق بمخترقي الحسابات والقدرات والوقت المتاح لهم تقنيا أكثر من أي شئ آخر.

فمثلا اختراق حسابكم على موقع ما (مثلا حساب بريدكم الالكتروني) على الإنترنت يتطلب إدخال اسم حسابكم (مثل عنوان بريدكم الالكتروني) ومحاولة إدخال كلمة السرّ الصحيحة. سيحاول المخترق عدد من كلمات السرّ إما عن طريق محاولة جميع التركيبات الممكنة من الاحرف حتى يجد الكلمة الصحيحة (الهجوم الأعمى Brute Force Attack)، أو يحاول كلمات أو عبارات أو تركيبات معينة من الرموز، مثلا أسمكم الأول والثاني، الأرقام 123456، الرموز qwerty أو كلمات مثل Freedom (تخمين كلمات السرّ Passwords Guessing) أو تركيبات منتقاة بعناية من الكلمات والرموز (هجوم القاموس Dictionary Attack). كلمة السر الجيدة هي كلمة السر التي تبدد جهد المخترق سواء اتّبع المخترق الطريقة الأولى أو الطريقة الثانية.

سيحاول المخترق أيضا خداعكم للحصول على كلمة السر الخاصة بكم. تسمى الطريقة التي تعتمد على الحيلة والمكر لسرقة كلمة السرّ بالهندسة الاجتماعية Social Engineering وأيضا بصيد كلمات السر Passwords Phishing. في هذه النوع من الحالات لا يمكن القول أن كلمة السرّ سيئة أو جيدة لأن المخترق إن نجح في خداعكم سيحصل عليها بغض النظر عن طولها أو تركيبها. يعتبر هذا النوع من أساليب الاختراق شائعا جدا. وللأسف يقع ضحيته في كل لحظة عدد كبير جدا من مستخدمي الإنترنت.

هناك أيضا فئة من البرمجيات الخبيثة Malicious Software أو اختصارا الMalware تسمى برامج تسجيل المفاتيح Keystroke Loggers يستخدمها المخترقون للحصول على كلمات السر بشكل غير شرعي. تصمم هذه البرامج للعمل على الجهاز المستهدف بشكل صامت. تقوم بمراقبة النقر على لوحة المفاتيح وتسجيل جميع النقرات في ملف يتم إرساله إيضا في الخفاء للمهاجم الذي يعاينه ويستطيع بواسطته معرفة كلمات السرّ.

قبل المضي في المزيد من التفاصيل حول كلمات السرّ ننصح المستخدمين بتفعيل ميزة التحقق بخطوتين Two Factor Authentication لحساباتهم على الانترنت إن كان ذلك متاحا وربط الحسابات مع التطبيقات المناسبة للتحقق بخطوتين على هاتفهم الذكي. يذكر ان هذه الميزة متاحة على أهم المنصات على الانترنت مثل غوغل Google، فيسبوك Facebook، تويتر Twitter وغيرها.

أيضا ننصح المستخدمين باستخدام برنامج لإدارة كلمات السرّ Passwords Manager مثل برنامج كي باس KeePass الذي يسهل عملية إنشاء كلمات سرّ جيّدة مهتلفة ويقوم بحفظها في ملف مشفر تستطيعون تخزينه بشكل آمن على قرص صلب أو على سواقة USB بدل تسجيل كلمات السرّ ضمن ملف غير مشفر معرض للكشف أو على ورقة معرضة للكشف والضياع. تعتبر إدارة كلمات السرّ Passwords Management من العمليات الضرورية ضمن المؤسسات إذ أنها تضمن التزام العاملين في المؤسسة بسياسة المؤسسة الخاصة بكلمات السرّ، وتضمن عدم ضياع كلمات السرّ أو ضياع البيانات بسبب نسيان كلمة سرّ هنا أو هناك، وتضمن سلاسة في تسليم الملفات والحسابات على السحابة من الموظفين الذين يتركون منصبا معينا أو مهمة معينة لموظفين آخرين.

هاشات كلمات السرّ Password Hashes

لا تقوم أنظمة التشغيل أو مواقع الإنترنت بتخزين كلمات سرّ المستخدمين بشكل صريح ضمن قواعد البيانات، وإنما تقوم عند إنشاء كلمة السرّ للمرة الأولى بتخزين ما يسمى بهاش كلمة السرّ Password Hash تلك، وعندما يرغب المستخدم تسجيل الدخول يتم مقارنة هاش كلمة السرّ التي ادخلها المستخدم مع الهاش المخزمة في قاعدة البيانات للتحقق من هوية المستخدم وصحة كلمة السرّ. أي أن التحقق من صحة كلمة السرّ عادة يتم بشكل غير مباشر عبر التحقق من تطابق الهاش المولد من كلمة السرّ المرتبطة بالحساب والهاش المولد من كلمة السرّ التي أدخلها المستخدم.

الهدف من هذه العملية هو عدم تخزين كلمات السرّ بشكلها الصريح ضمن قواعد بيانات المواقع او أنظمة التشغيل، وذلك لتخفيف أثر تسرب البيانات على المستخدمين. فلو تسربت قاعدة بيانات تتضمن بيانات المستخدمي لموقع شهير أو حتى جزء منها، ولو احتوى التسريب على كلمات السرّ الصريحة للمستخدمين لاستطاع المهاجمون استخدام كلمات السرّ لشتى الأغراض الخبيثة. لذلك تقوم المواقع بتخزين الهاشات بدل تخزين كلمات السرّ. فإن تسربت قاعدة بيانات هذه المواقع لتسربت الهاشات ولانه من الصعوبة البالغة استنتاج كلمة السرّ من الهاش ففي ذلك حماية للمستخدمين وبياناتهم وحساباتهم وفي ذلك أيضا حماية للموقع لكي يستطيع القائمون عليه إدارة أزمة تسرب البيانات بشكل جيد ومسؤول.

فهاش كلمة السرّ Password Hash إذا هو سلسلة من الرموز يتم توليدها من رموز كلمة السرّ عبر تمرير كلمة السرّ إلى تابع رياضي (دالة رياضية) mathematical function يسمى تابع هاش Cryptographic Hashing Function. هناك نماذج عديدة من توابع (دالات) الهاش مثل SHA1 و MD5. والمهم في هذه التوابع هي أن توليد الهاش من كلمة السرّ عملية سهلة ولكن استنتاج كلمة السرّ من الهاش عملية غاية في الصعوبة. وكذلك ان يكونتوليد الهاش نفسه من كلمتي سرّ مختلفتين غاية في الصعوبة.

المخطط التالي يبين مثالا لعملية الهاشينغ لكلمات مختلفة تبدأ بالكلمة نفسها وبين معظمها تباين بسيط:

اختيار كلمة سر جيدة Choosing a "Good" Password

عند اختيار كلمة السر اتبع الشروط التالية لتفادي مخاطر الهجوم الأعمى وهجوم القاموس على السواء:

اختاورا كلمة سرّ من 16 خانة على الأقل
استخدموا أرقام ورموز مثل !$%^&*()_ ضمن كملة السرّ
امزجوا استخدام الأحرف الصغيرة a b c d... والأحرف الكبيرة A B C D…
تجنبوا استخدام الأحرف المتجاورة مثلا تعتبر كلمة 123456 وأيضا qwerty من أسوأ كلمات السرّ لأنها
تجنبوا استخدام معلومات شخصية كالاسم أو العائلة أو رقم الهاتف الشخصي أو رقم هاتف الوالدين أو اسم الحبيب...
تجنبوا استخدام العبارات الشهيرة أو المستخدمة بكثرة في كلمات السّر
عدم استخدام كلمة السر على أكثر من حساب واحد

وكلمات السّر الشائعة.

كلمات السر التي تحقق الصفات السابقة هي كلمة سرّ جيدة

كلمات السر التي لا تحقق الصفات السابقة هي كلمة سرّ سيئة

كأحد الحلول المناسبة:

اختاروا عبارة طويلة ما باللغة العربية تحتوي حرف العين والقاف والهمزة والحاء مثلا
اكتبوا العبارة بالأحرف اللاتينية مع مراعاة استبدال العين بالرقم 3 والحاء بالرقم 7 وهكذا (اظهر ابداعك قليلا)
أضيفوا للعبارة بعض الرموز الأخرى التي تستطيعون تذكرها. وامزجوا الأحرف الكبيرة والصغيرة
تأكدوا في النهاية أن كلمة السرّ الناتجة تحقق الشروط السابقة
تأكدوا أيضا أنكم تستطيعون تذكّر الكلمة

يمكنكم استخدام تطبيقات إدارة كلمات السرّ Passwords Manager مثل تطبيق كي باس KeePass كي تقوم بمساعدتكم على اختيار كلمات سرّ جيدة وإدارتها وحفظها في ملف مشفر تستطيعون حمله

مثال: خيط حرير على حيط خليل Khet_7arir_3ala_7et_KHalil

هذه النصائح تبقى صحيحة طالما لم تتغير الشروط التقنية لطريقتي الاختراق وأيضا في حال عدم تطور طرق جديدة للاختراق. عند تغير الشروط التقنية علينا تغيير شروط اختيار كلمة سر جيدة. مثلا طول كلمة السرّ الذي ننصح به مرتبط مباشرة بقدرة الحواسب. التي تتضاعف كل 18 شهرا حسب قاعدة شهيرة تعرف بـ Moore's Law، بالتالي في المستقبل القريب سننصح باستخدام كلمة سرّ أطول بحرف مما ننصل به حاليا لتعويض النمو في قدرة الحواسب.

يجب أن يترافق اختيار كلمات سر جيدة مع سلوك جيد إزاء الحفاظ على سرية هذه الكلمات. نميز هنا بين السلوك الجيد للأفراد والسلوك الجيد ضمن المجموعات. في حال كان الحساب الإلكتروني مقتصرا على شخص واحد يجب مراعاة السلوك الجيد للأفراد. أما في حال العمل ضمن فريق يشترك عدد من أعضائه بحساب إلكتروني ما فلابد من مشاركة كلمة سر الحساب بين عدد من أفراد الفريق, وبالتالي ندخل نطاق مفهوم السلوك الجيد ضمن المجموعات.

إدارة كلمات السرّ Passwords Management

تطلق تسمية إدارة كلمات السرّ Passwords Management على عملية اختيار كلمات السرّ للحسابات المختلفة وحفظها بشكل آمن وتدويرها أي استبدالها بكلمات سرّ جديدة كل فترة زمنية.

فعلى الرغم من أن تعليمات اختيار كلمات السرّ الجيدة واضحة، إلّا أن الكثير من المستخدمين يجدون صعوبة في اختيار كلمات سرّ جيدة للحسابات الكثيرة التي يديرونها، ويجدون صعوبة في حفظها ما يضطرهم إلى استخدام كلمات سرّ ضعيفة أو تكرار استخدام كلمة السرّ ذاتها على مواقع مختلفة ما يزيد احتمال اختراق حساباتهم في حال حصول تسرب لبيانات الدخول على أحد المواقع. أو يضطرون لتدوينها على ملفات على سطح المكتب أو على الورق مثلا، ما يجعلها عرضة للتسرب أو للضياع. كما يدفع العمل الجماعي ضمن مؤسسة أو فريق الأعضاء إلى الاشتراك بالموارد، بما فيها الموارد الرقمية، كحساب التويتر الخاص بالمؤسسة، ما يعني مشاركة بيانات تسجيل الدخول بين الأعضاء وعادة ما تحمل مشاركة بيانات تسجيل الدخول مجموعة من المخاطر.

الحل الأنسب من وجهة نظر الأمن الرقمي هو استخدام أحد برامج إدارة كلمات السرّ، التي تسمح للمستخدمين بإنشاء كلمات سرّ جيدة وحفظها بشكل آمن ضمن ملف أو ملفات خاصة ببرنامج إدارة كلمات السرّ. بهذا الشكل لا يضطر المستخدم لحفظ أي من كلمات السرّ الكثيرة المخزنة ضمن هذه الملفات. ويكفي للمستخدم عند ذلك حفظ كلمة السرّ الخاصة بحماية كل من هذه الملفات. يتضمن عدد من هذه البرامج على ميزات مناسبة للمؤسسات تسهل عملية مشاركة كلمات السرّ بين العاملين في المؤسسة وكذلك تسهل عملية نقل ملكية الحسابات بين موظف وآخر، مثلا عند انتهاء خدمة الموظف أو عند توظيف شخص جديد، دون عناء أو مخاطر إضافية.

من بين هذه البرامج والخدمات عائلة برامج كي پاس KeePass وخدمة بيت واردن BitWarden

الهجمات على كلمات السرّ Malicious Cyber Attacks on Passwords

بسبب أهمية كلمات السرّ، طور المهاجمون أنماطا مختلفة من الهجمات الخبيثة على كلمات السرّ، نذكر هنا نبذة عن كل منها علما أن روابط إلى المقالات الموسعة عن هذه الهجمات متوفرة في كل فقرة من الفقرات.

تخمين كلمات السرّ Passwords Guessing

يقوم المهاجم هنا بمحاولة اختراق حساب الضحية المحمي بكلمة سرّ Password ما عبر تخمين كلمة السرّ. كأن يحاول تركيبات من معلومات يعرفها عن الضحية، كرقم هاتفه أو تاريخ ميلاده أو اسم الزوجة أو الحبيبة، أو أسماء أفراد العائلة أو عبارات تملك معنى عاطفيا ما للضحية، أو الكلمات الشائعة، مثل 123456 و password و qwerty. أي تماما ما تعنيه تسمية هذه الطريقة حرفيا: تخمين كلمات السرّ.

أيضا قد يحاول المهاجم تجربة كلمة سرّ لك يعرفها على حساب آخر لك على الانترنت فيما يسمى باختراق بسبب إعادة استعمال كلمة السرّ Password Reuse Hack الطريقة التي باتت تسمى أيضا حشو كلمات السرّ Password Stuffing .

فيما يلي عينة من كلمات السرّ الشائعة:

123456
password
12345678
qwerty
12345
123456789
football
1234
1234567
baseball

للمزيد اقرأوا المقالة الخاصة بتخمين كلمات السرّ Passwords Guessing.

الهجوم الأعمى Brute Force Attack

تعتمد عائلة من طرق اختراق الحسابات على تجريب كلمات سرّ مختلفة أملا بأن تكون أحداها الكلمة الصحيحة. من هذه الطرق، طريقة تخمين كلمات السرّ Passwords Guessing التي يقوم فيها المهاجم بتجريب كلمات سرّ يخمن أن الضحية قد يستخدمها. بالرغم من أن هذه الطريقة قد تنجح في بعض الأحيان إلا أنها تفشل في أغلبها، بالأخص عندما لا يعرف المهاجم أي شئ عن ضحيته. لذلك برزت طرق أكثر منهجية لتجريب كلمات السرّ مثل الهجوم الأعمى Brute Force Attack أو هجوم القاموس Dictionary Attack.

الهجوم الأعمى هو طريقة لمعرفة كلمة سرّ ما تعتمد على التجريب الممنهج لتركيبات تقوم خوارزمية بتوليدها بشكل متتالي مستخدمة مجموعة من الرموز الأساسية (كالأحرف اللاتينية والأرقام)، إلى أن تنجح إحدى التركيبات وبالتالي يتم معرفة كلمة السرّ أو تفشل جميع التركيبات ما يعني أن الهجوم قد فشل.

يفشل الهجوم إما عندما يكون أحد الرموز الموجودة في كلمة السرّ غير مستخدما في الخوارزمية أو عندما يكون طول كلمة السرّ مختلفا عن أطوال الكلمات التي أعدت الخوازمية لانتاجها.

مثلا على فرض كانت كلمة السرّ تحتوي أحرفا لاتينية صغيرة وكان طول الكلمة معروفا وهو 6 حروف، فيمكن إعداد الخوارزمية لتوليد جميع التركيبات الممكنة من الأحرف اللاتينية الصغيرة بطول 6 لتجريبها كما هو مبين في اللائحة التي توضح عددا من التركيبات الناتجة للتوضيح.

aaaaaa

aaaaab

aaaaac

aaaaad

...

aaaaaz

aaaaba

aaaabb

aaaabc

...

zzzzzx

zzzzzy

zzzzzz

للمزيد اقرأوا المقالة الخاصة بالهجوم الأعمى Brute Force Attack.

هجوم القاموس Dictionary Attack

تعتمد عائلة من طرق اختراق الحسابات على تجريب كلمات سرّ Passwords مختلفة أملا بأن تكون أحداها الكلمة الصحيحة. من هذه الطرق، طريقة تخمين كلمات السرّ Passwords Guessing التي يقوم فيها المهاجم بتجريب كلمات سرّ يخمن أن الضحية قد يستخدمها. بالرغم من أن هذه الطريقة قد تنجح في بعض الأحيان إلا أنها تفشل في أغلبها، بالأخص عندما لا يعرف المهاجم أي شئ عن ضحيته. لذلك برزت طرق أكثر منهجية لتجريب كلمات السرّ مثل الهجوم الأعمى Brute Force Attack أو هجوم القاموس Dictionary Attack.

هجوم القاموس هو طريقة لمعرفة كلمة سرّ ما تعتمد على التجريب الممنهج لكلمات موجودة في لائحة تسمى القاموس Dictionary وتركيبات من هذه الكلمات، إلى أن تنجح إحدى الكلمات أو التركيبات وبالتالي يتم معرفة كلمة السرّ أو تفشل جميع الكلمات وجميع التركيبات ما يعني أن الهجوم قد فشل.

تعتمد طريقة الهجوم هذه إذا على:

حجم القاموس المستخدم.أي عدد الكلمات الموجودة ضمنه
جودة القاموس وهي تتعلق بنوع الكلمات الموجودة في اللائحة ومدى استخدامها ككلمات سرّ من قبل المستخدمين.
خوارزمية تشكيل التركيبات من كلمات اللائحة
جودة ونوع قواعد الاستبدال أي عمليات استبدال الأحرف بأرقام أو رموز أو استبدال الأحرف الصغيرة بأحرف كبيرة على الكلمات الموجودة في القاموس
آلية تجريب كلمة السرّ
سرعة الخوارزمية
إمكانية تشغيل الخوارزمية بشكل متوازي Parallel على عدد من المعالجات
إمكانية التحكم بالخوارزمية (إيقاف، متابعة)

للمزيد اقرأوا المقالة الخاصة بهجوم القاموس Dictionary Attack

هجوم القناع Mask Attack

في هجوم القناع يكون المهاجم على معرفة مسبقة بعدد من رموز كلمة السرّ المراد معرفتها، أو بمعلومات محددة عنها كطولها، أو نوعية الرموز المستخدمة فيها. تستخدم هذه المعلومات كنقطة بداية لتضييق عملية البحث عن كلمة السرّ، إذ يتم البث فقط ضمن كلمات السرّ التي تحقق جميع الشروط.

فعلى سبيل المثال، لنفترض أن المهاجم يعرف أن كلمة السرّ تنتهي بالأحرف szAdas وأنها مؤلفة من 12 رمز. فمن الواضح أن الهجوم الأعمى سيقوم بتوليد وتجربة صحة كلمات سرّ كثيرة لا تنتهي بالأحرف szAdas، أو بطول أقصر من 12 رمز. باستخدام هجوم القناع يتم تجربة الكلمات ذات طول 12 رمز والتي تنتهي بالأحرب szAdas.

قد يعرف المهاجم أن الحرف الأول حرف كبير بينما بقية الحروف صغيرة، يعتبر هذا أيضا قاعدة يمكن استخدامها لتضييق عملية البحث عن كلمة السرّ.

فيما يلي لائحة بالقواعد لكل رمز من الرموز

الرمز ضمن لائحة الأحرف اللاتينية الصغيرة
الرمز ضمن لائحة الأحرف اللاتينية الكبيرة
الرمز ضمن لائحة محددة من الأحرف
الرمز أحد رموز التنقيط
الرمز ضمن لائحة جميع الأرقام
الرمز ضمن لائحة محددة من الأرقام

يقوم المهاجم باستخدام مجموعة من هذه القواعد لتضييق عملية البحث عن كلمة السرّ. مجموعة القواعد هذه تسمى القناع Mask

اصطياد كلمات السرّ Passwords Phishing

أو التصيّد الاحتيالي هي طريقة للحصول على كلمة سرّ Password مستخدم لخدمة ما أو موقع ما على الإنترنت عبر الخداع.

تعتمد الطريقة على إيهام الشخص المستهدف بأنه على الموقع الصحيح المعتاد حيث يدخل كلمة سره عادة للدخول إلى حسابه على الموقع (كموقع البريد الالكتروني) لكن في الحقيقة يكون الموقع موقعا "شريرا" يديره أحد لصوص كلمات السر. بالتالي إذا خدع المستخدم وأدخل كلمة سره في ذلك الموقع تصل كلمة السر بكل بساطة إلى اللص الظريف.

إذا يقوم المهاجم بتصميم صفحة خبيثة تشبه صفحة تسجيل الدخول لموقع شهير (مثلا صفحة تسجيل الدخول لموقع gmail أو لموقع Facebook) لكنها تحمل عنوانا مختلفا عن العنوان الأصلي. ثم يقوم المهاجم بتوجيه الضحية إلى الموقع الخبيث سواء عبر رسالة بريد الكتروني أو عبر رسالة سكايب أو ضمن تعليق على فيسبوك ربما يحمل رسالة مشوقة تدفع الضحية لزيارة الموقع الخبيث (الذي يشبه الموقع الأصلي) والذي يطلب من الضحية تسجيل الدخول في الموقع. عندما تقوم الضحية بإرسالة معلومات تسجيل الدخول تصل المعلومات إلى المهاجم.

قد يستخدم المهاجم عنوان نطاق Domain Name قريبا جدا من عنوان الموقع الأصلي كي يتلقف المهاجم الزوار الذين يخطئون في إدخال اسم الموقع. مثلا facebok.com (لاحظوا وجود حرف o وحيد في الاسم بدل oo في اسم النطاق الأصلي) وكذلك Facebock أو Pacebook، أو twittter.com (لاحظوا وجود الحرف t ثلاثة مرات بدل مرتين) او wikipwdia.org (لاحظوا الخطأ في حرف w بدل حرف e وهما متلاصقان على لوحة المفاتيح) يطلق على عملية حجز اسماء النطاقات التي تشبه اسماء المواقع الشهيرة والتي تختلف عنها اختلافا بسيطا تسمية سايبر سكواتينغ Cybersquatting

للمزيد اقرأوا المقالة الخاصة باصطياد كلمات السرّ Passwords Phishing

برامج تسجيل المفاتيح Keystroke Loggers

عملية تسجيل نقرات المفاتيح Keystroke Logging والتي تسمى أيضا رصد لوحة المفاتيح Keystroke Logging هي عتاد Hardware أو برامج Software تقوم بحفظ جميع النقرات على لوحة المفاتيح في عادة دون إعلام المستخدمين. ليتم نقل البيانات التي قام البرنامج بجمعها إلى مشغل الجهاز أو البرنامج.

تستخدم هذه التقنية عادة لأغراض خبيثة، كمراقبة ما يكتبه المستخدمون دون علمهم، أو الحصول على معلومات تسجيل الدخول كاسم المستخدم وكلمة السرّ Password على المواقع المختلفة اثر قيام المستخدمين بتسجيل الدخول، أو كلمات السرّ المستخدمة في تشفير الملفات على الجهاز، أو حتى محتوى رسائل البريد الالكتروني التي يقوم المستخدمون بكتابتها على الجهاز المصاب.

في أغلب حالات برامج تسجيل نقرات المفاتيح، يقوم المهاجم باستهداف الضحايا بالطرق المعتادة، كالهندسة الاجتماعية، أو عبر إخفاء هذا البرنامج الخبيث ضمن برنامج حميد، بهدف تثبيت برنامج تسجيل نقرات المفاتيح على الجهاز المصاب. بحيث يعمل برنامج تسجيل نقرات المفاتيح بدون علم الضحية. بالطبع على البرنامج الذي يقوم بتسجيل النقرات إرسال النقرات المسجلة إلى المهاجم. وتتضمن بعد برامج تسجيل نقرات لوحة المفاتيح المتطورة ميزات إضافية مثل تسجيل صور عن الشاشة، تسجيل محتوى الحافظة، تسجيل لائحة البرامج العاملة وغيرها.

أما العتاد فهي عادة صغيرة الحجم توضع بين كبل لوحة المفاتيح ومقبس لوحة المفاتيح على الجهاز، بحيث تقوم بتسجيل النقرات أثناء انتقالها من لوحة المفاتيح إلى الجهاز، يقوم المهاجم عادة بوصلها على جهاز الضحية واستعادتها بعد فترة لمعاينة محتواها. لبعض هذه الأجهزة إمكانيات إضافية كإمكانية الاتصال بشبكة الانترنت. بالإضافة لذلك يوجد نوع يعتبر جديدا من الأجهزة التي تقوم بتسجيل نقرات لوحة المفاتيح عن بعد بناء على معالجة الصوت الناتج عن النقرات وتحليله لمعرفة مكان المفاتيح التي تم نقرها على لوحة المفاتيح وبالتالي مضمونها.

على الرغم من أن هذه الأجهزة والبرامج تستخدم في الغالبية الفصوى من الحالات لأغراض خبيثة، فإنها تستخدم في بعض الحالات لأغراض حميدة، يتم فيها إعلام المستخدمين أن نقراتهم على لوحة المفاتيح يتم تسجيلها لاستخدامها. للمزيد اقرأوا المقالة الخاصة ببرامج تسجيل المفاتيح Keystroke Loggers

تسرب البيانات Data Breaches

تسرب البيانات Data Breaches هو أي حادث عرضي أو مقصود يؤدي إلى خسارة سرّية بيانات محددة، سواء عبر وقوعها بأيد معادية عبر جعلها علنية. يطلق على تسرب البيانات تسميات عديدة أخرى تصنف الأمر نفسه منها الإفشاء عن المعلومات Information Disclosure.

قد تحصل حوادث تسرب البيانات مثلا بسبب هجوم منظّم ينفذه مجموعة من المخترقين، أو بسبب هفوة وقع بها أحد الموظفين كنسيان تدمير البيانات على قرص صلب قبل التخلص منه. أو عندما يقوم أحد الموظفين الحكوميين بتسريب وثائق وبيانات إلى الصحافة ليفضح ممارسة غير قانونية.

تعتمد الغالبية العظمى من الشركات على تقنيات المعلومات لتخزين ومعالجة البيانات الضرورية لعملها. وفي الكثير من الأحيان تكون هذه البيانات خاصة وحساسة للغاية، وقد تكون أيضا في غاية السريّة. لذلك قد يشكل أي تسرب للبيانات إلى تبعات جسيمة على المؤسسة وعلى عملائها وحتى إلى تبعات قانونية قد تعني نهاية المؤسسة أو خسارتها لموقعها في السوق أو لثقة عملائها وشركائها.

تحتفظ الشركات التي تقدم خدماتها للعملاء على الإنترنت، بمعلومات تسجيل الدخول الخاصة بالمستخدمين على خوادمها، تتضمن هذه البيانات على الأقل على اسم المستخدم، أو عنوان البريد الالكتروني والهاش لكلمة السرّ المملحة Salted Password Hash وفي حالات نادرة هاش كلمة السرّ Password Hash بدون تمليح وفي حالات أندر كلمة السرّ Password بشكلها الصريح. تتخذ هذه الشركات عادة خطوات كثيرة للتقليل من احتمال حدوث أي اختراق يضع هذه البيانات وغيرها في خطر. ومع ذلك يتمكن المخترقون بتواتر عال نسبيا من التسلل إلى قواعد بيانات هذه الشركات حيث يحصل تسرب كامل أو جزئي لهذه البيانات. تستخدم أنظمة كشف التسلل Intrusion Detection Systems للكشف عن حصول أي اختراق لشبكة وأجهزة الشركة، فإن استطاعت الشركة كشف حصول التسلل، فإنه من الصعوبة بمكان تحديد المعلومات التي تم تسربها. في غالب الأحيان يقوم المخترقون ببيع البيانات المسربة إلى الجهات التي ترغب بشرائها، وبعض الأحيان تجد معلومات تسجيل الدخول المسربة طريقها إلى الإنترنت لتصبح علنية يمكن لأي شخص الحصول عليها ومعاينتها.

يقوم موقع وخدمة Have I Been Pwned بجمع المعلومات المتوفرة عن تسريبات معلومات تسجيل الدخول وتوفر إمكانية التحقق من إن كانت معلومات تسجيل الدخول لزوار الموقع قد تم تسريبها ضمن إحدى هذه التسريبات. كما يقدم الموقع خدمات إضافية جديرة بالمعاينة.

يذكر أن هناك مجموعة من المواقع الإجرامية المتخصصة في جمع وبيع هذه البيانات المتسربة منها متجر Genesis.

حشو كلمات السرّ Passwords Stuffing

حشو كلمات السرّ Password Stuffing هي العملية التي يقوم فيها المهاجمون الذين استطاعوا الحصول على اسم المستخدم وكلمة سرّ لمستخدم على منصة ما بمحاولة تسجيل الدخول على حسابات نفس المستخدم على مواقع ومنصات أخرى باستخدام كلمة السرّ السرّ ذاتها، أو كلمات سرّ شبيهة بها، أو لها نفس البنية. فالكثير من المستخدمين يقوموت باستخدام كلمة السرّ ذاتها على عدة مواقع، مثلا على موقعي فيسبوك وجيميل. أو يقومون بتعديل كلمة السرّ قليلا بين موقع وآخر، ما يعطي المهاجمين إمكانية تقليص فضاء كلمات السرّ المحتملة إلى مجموعة جزئية أصغر بكثير من المجموعة الكلية لجميع كلمات السرّ المحتملة.

عادة ما يرتبط هذا الهجوم بحادث تسرب بيانات تسجيل الدخول Credential Data Breaches على موقع ما. يقوم المهاجمون على اثره بتجريب كلمة سرّ كل مستخدم مذكور في اللائحة المسربة على جميع المواقع الشهيرة. لذلك تعتبر حوادث تسرب البيانات حوادث ذات تبعات أبعد من تسرب البيانات على موقع وحيد. فعلومات مسربة عن حسابات على مدونة قد تعطي المهاجمين القدرة على الدخول لحسابات المستخدمين على dropbox مستخدمين كلمات السرّ المسربة من المدونة، ما يعني تسرب ملفات وربما صورا خاصة وأفلام فيديو ما إلى ذلك من المعلومات الحساسة على خصوصية المستخدمين.

لذلك ننصح دائما بعدم تكرار استخدام كلمات السرّ ذاتها على مواقع مختلفة، وأيضا عدم استخدام كلمات سرّ متشابهة على الخدمات المختلفة. وننصح بدل ذلك باستخدام برنامج جيد لإدارة كلمات السرّ مثل كي پاس KeePass وتفعيل ميزة التحقق بخطوتين Two Factor Authentication على الخدمات إن كان ذلك متاحا، وعدم استخدام الخدمات التي لا تقدم هذه الميزة أو التي لها صيت سئ في التعامل مع حالات تسرب البيانات.

برامج كشف كلمات السرّ Password Cracking Software

مقدمة

<onlyinclude> منذ ظهور كلمات السرّ، وظهور فكرة وخوارزميات هجوم القاموس قام العديد من المطورين والمخترقين بتطوير برامج كشف كلمات السرّ Password Cracking Software سواء لغرض خبيث كالاختراق والسرقة وانتحال الشخصية والتطفل أو لغرض حميد مثل استعادة كلمة سرّ فقدت أو نسيها صاحبها.

تقوم هذه البرامج بشكل أساسي بتوليد التركيبات بداية من القاموس الذي يزوده مستخدم البرنامج. بينما يقوم برنامج آخر بمحاولة أو تجريب هذه التركيبات لمعرفة إن كان أحدها هو كلمة السرّ الصحيحة المراد كشفها. وقد تدمج بعض البرامج المهمتين في برنامج واحد لتسريع العملية.

تنقّل في الكتيب eBook Navigation

الهجمات على كلمات السرّ

الهجمات الالكترونية الخبيثة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

مراجع References

موقع hashcat

موقع OpenWall المالك لتطبيق John the Ripper

برامج تجريب كلمات السرّ Password Testing Software

مقدمة

<onlyinclude> برامج تجريب كلمات السرّ Password Testing Software هي برامج طُوِّرَت بهدف كشفِ كلمة سرّ Password لحساب ما على منصة ما عبر محاولة تسجيل الدخول مرارا باستخدام اسم مستخدم مَعْلوم وكلمة سرّ يحضرها البرنامج مع كل محاولة فاشلة حتى تنجح عملية تسجيل الدخول وتكون كلمة السرّ تلك التي انتجها البرنامج مع المحاولة الناجحة.

تشبه هذه البرامج برامج كشف كلمات السرّ Password Cracking Software في أنها تقوم بإنشاء تراكيب من كلمات السرّ، وفي أنها أيضا تعتمد على القواميس Dictionaries. لكنها تختلف عن برامج كشف كلمات السرّ في أنها لا تحاول مقارنة الهاش Hash بكلمة السرّ التي يتم تجريبها بالهاش الخاص بكلمة السرّ المُراد كشفها. وإنما تقوم هذه البرامج بطلب تسجيل الدخول إلى موقع أو خدمة ما. فإنْ قُوبِلَ طلب تسجيل الدخول بالرفض، يقوم البرنامج بمحاولة تسجيل الدخول بكلمة سرّ مختلفة حسب قاعدة توليد كلمات السرّ المستخدمة في الهجوم، وهكذا حتى يصادف طلب تسجيل الدخول النجاح.

لهذه البرامج استخدام حميد وهو استعادة كلمات السرّ في حال نسيانها، وفحص مستوى أمان كلمات السرّ لخدمة ما على الإنترنت بعد الاتفاق مع الجهة وراء الخدمة، وبمعرفتها. وبالطبع لأي أداة استخدامات خبيثة تعتبر عادة من الجرائم الإلكترونية وتعاقب عليها القوانين في أغلب دول العالم، كاختراق حسابات المستخدمين على مواقع الإنترنت، واختراق حسابات مدراء صفحات ومواقع الإنترنت.

بالطبع تقوم مواقع وخدمات الإنترنت بالتصدي لهذه الهجمات بأساليب مختلفة، من بينها:

عبر استخدام تقنيات التحليل الجنائي الرقمي Digital Forensics التي تمكّن المواقع من تحديد مصدر الهجمات بهدف ملاحقتهم قضائيا. ما يشكل رادعا قويا خاصة في الدولة حيث تسود سلطة القانون.
منع الطلبات الصادرة عن عنوان IP محدد لفترة زمنية محددة بعد تكرار فشل تسجيل الدخول، فذلك يدل على محاولة خبيثة لتسجيل الدخول ربما باستخدام هذه البرنامج. من بين البرامج التي تقوم بهذه المهمة برنامج fail2ban على نظام التشغيل لينوكس Linux.
استخدام الكاپتشا CAPCHA وهي طريقة لمنع الأنظمة المؤتمتة (غير الواعية) من إرسال طلبات مؤتمة لخدمة ما على الإنترنت. فإن تكررت محاولة برامج كشف كلمات السرّ لتسجيل الدخول باستخدام اسم المستخدم نفسه مثلا في كل محاولة، يقوم الموقع بإضافة خانة الكاپتشا CAPCHA إلى صفحة تسجيل الدخول، ما يعني منع البرامج المؤتمتة (غير الواعية) من إمكانية متابعة تسجيل الدخول

تنقّل في الكتيب eBook Navigation

الهجمات على كلمات السرّ

الهجمات الالكترونية الخبيثة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

السلوك الجيد للأفراد لحماية كلمات السر

فيما يلي مجموعة من النصائح التي تنتدرج ضمن مفهوم السلوك الجيد للأفراد لحماية كلمات السر.

لا تشاركوا كلمات السرّ الخاصة بكم مع أحد. كلمة السر الخاصة بكم خاصة بكم وحدكم. احذروا من أساليب التحايل المختلفة للحصول على كلمة السر الخاصة بكم مثل سؤالكم عنها، أو طلبها منكم للتحقق من جودتها مثلا. في حالات كالعمل ضمن فريق أو كالعمل في ظل ظروف أمنية صعبة قد يتحتم عليكم مشاركة كلمة السرّ مع بقية أعضاء الفريق أو مع أشخاص موثوقين. هذه الحالات موضّحة تحت بند السلوك الجيد للمجموعات لحماية كلمات السرّ في الفقرة التالية. حاولوا كل ما يمكنم لتجنب الوصول إلى تلك الحالة.
لا تضعوا كلمة سرّ الـ Wifi الخاصة بمؤسستكم بشكل علني ضمن المؤسسة سواء على اللوح الأبيض أو عبر طباعتها على ورقة. إذ أن تسرب كلمة السرّ لخارج المؤسسة، يتيح لمهاجمين متواجدين في مكان قريب بشكل كافي لالتقاط إرشارة الـ Wifi الخاصة بمؤسستكم ومتواجدين خارجها (مقهى قريب، أوة ضمن سيارة راكنة بجوار بناء المؤسسة، أو في طابق آخر أو مقابل للمؤسسة، من الدخول إلى شبكتكم والتنصت على البيانات وإجراء هجمات أكثر خطورة من ضمن شبكة مؤسستكم المحلية.
لا تكرروا استخدام كلمة السرّ نفسها لعدد من الحسابات. لأنه لو تم كشف كلمة السرّ المتعلقة بأحد حساباتكم سيجعل ذلك جميع الحسابات التي تشترك بكلمة السرّ نفسها معرّضة لخطر الاختراق.
استخدموا كلمات سرّ يمكنكم أن تذكّرها كي لا تضطروا لكتابتها بأي شكل. عند اختيار كلمات سرّ صعبة لا يمكن تذكّرها قد تضطّرون لحفظها في مكان غير آمن أو لكتابتها على قطعة من الورق والاحتفاظ بكلمة السرّ مكتوبة سواء على قطعة ورقية أو ضمن ملف غير آمن. تدوين كلمات السرّ بشكل غير آمن سلوك سئ كما هو موضح في النقطة التالية.
لا تحتفظوا بكلمة/كلمات السرّ مكتوبة على ورقة أو في ملف غير آمن ما بشكل يسهّل عمل من يصل إلى الورقة أو الملف. خطر اختراق الحسابات لا يأتي فقط من مستخدمي الإنترنت في العالم الافتراضي، وإنما أيضا من الأشخاص الموجودين حولكم في العالم الحقيقي. لا تحتفظوا مثلا بورقة عليها كلمات السرّ كلها قرب حاسبكم الشخصي، أو في محفظتكم، ولا تحتفظوا بملف اسمه passwords ضمن الملفات على حاسبكم. فهذا يعرض سرّيّة كلمة (كلمات) السرّ للخطر بالتالي هو سلوك سئ.
استخدموا تطبيقات مثل تطبيق كي باس KeePass لتخزين كلمات السرّ الخاصة بكم بشكل آمن ومشفّر عند الحاجة لإدارة كلمات السرّ.
استبدلوا كلمات السرّ بأخرى جديدة بشكل دوري. الفترة بين كلمتين يجب أن تكون أقل بمقدار كبير من الوقت الوسطي اللازم للمهاجم لاختراق حسابك في حال لجوء المهاجم لتقنية الهجوم الأعمى لاختراق كلمة السر Brute Force Attacks مقسّمة على عدد اجهزة الفريق المهاجم. يصعب تقدير مقدار هذه المدة الزمنية على المستخدمين العاديين، لذلك يعد اختيار كلمات سرّ طويلة وتبديلها بشكل دوري (سنويا مثلا) يعتبر سلوكا جيد.
تقدم العديد من المواقع خطوات لاستعادة كلمات السر في حال فقدانها أو نسيانها، فاحرصوا على أن تكون عملية استعادة كلمة السر هذه آمنة. مثلا بتجنب وضع أجوبة واضحة أو شخصية لأسئلة الأمان قد يعرفها من يستهدفكم ويحاول الدخول إلى حساباتهم.
تأكدوا عند إدخال كلمة السر من عدم وجود برامج أو حتى كاميرات تسجل ضربات المفاتيح عند كتابتك لكلمة سر ما.
لا تسمحوا لمن حولكم متابعة ضربات المفاتيح عند كتابتكم لكمة السر واطلبوا منهم غضّ النظر إن استلزم الأمر.
قوموا بتفعيل ميزة التحقق بخطوتين Two Factor Authentication لحساباتكم حيثما استطعتم.
تأكدوا أن كلمات السرّ التي تستخدموها ليست شائعة عبر معاينة لائحة كلمات السرّ الشائعة.
تحققوا من تسرّب معلومات تسجيل الدخول خاصتكم عبر معاينة الخدمة https://haveibeenpwned.com وإدخال حساب البريد الالكتروني الخاص بتسجيل الدخول في الخانة لتصلكم رسالة بريد الكتروني تحذركم من أي تسرب وصلت تفاصيله للقائمين على الموقع المذكور.

السلوك الجيد للمجموعات لحماية كلمات السرّ

تختلف مفاهيم الأمن الرقممي عند العمل ضمن فريق. لذلك على العاملين ضمن فريق استيعاب الفرق بين محددات الأمن الرقمي للأفراد ومحدداته للمجموعات. فمثلا, قد يكون من الضروري ضمن الفريق التشارك بكلمة سر حساب ما من حسابات الفريق, أو التشارك بالمعلومات وبالتالي تفقد نصائح في الأمن الرقمي معناها مثل نصيحة الأ تشاركوا كلمة السر مع أحد.

فيما يلي مجموعة من النصائح التي تنتدرج ضمن مفهوم السلوك الجيد للمجموعات لحماية كلمات السر:

استخدموا حلا ما لإدارة كلمات السرّ Passwords Management ضمن المجموعة.
لا ترسلوا كلمة سرّ ما بشكل مكشوف. في حال رغبتكم بإرسال معلومة هامة مثل كلمة السر. يجب اتباع اجراءات مناسبة مثل تشفير الرسالة التي تحتوي كلمة السر باستخدام بروتوكول PGP أو إرسال الكلمة ضمن رسالة نصية على أحد تطبيقات التواصل التي تدعم التشفير End-to-end encryption مثل تطبيق سيغنال Signal أو تيليغرام Telegram والتأكد من حذف الرسالة من البريد الالكتروني أو من تطبيق التواصل بعد وصولها مباشرة
تأكدوا من أن كل شخص ضمن الفريق يستخدم ملف كي باس KeePass يتضمن كلمات السرّ الخاصة بمهامهم. وأن كلمة سرّ الملف موجودة لدى المسؤول المباشر عنهم ومخزنة ضمن ملف كي باس الخاص
استبدلوا كلمة السرّ بأخرى جديدة بشكل دوري ضمن الفريق.
عند خروج شخص من الفريق, تأكدوا من وجود آلية لتسليم الحسابات وكلمات السرّ التي كانت بحوزة الشخص إلى الشخص الجديد المسؤول عنها ضمن المؤسسة. ثم قوموا بتغيير كلمات السرّ هذه.
تأكدوا من أنكم وشركاءكم في الفريق تتبعون سلوكا فرديا جيدا فيما يتعلق بالأمن الرقمي.

نلاحظ أن العمل ضمن فريق يزيد المخاطر على الأمن الرقمي. لذلك على المسؤولين عن الأمن الرقمي للفريق أن يقوم بتقييم المخاطر حسب طبيعة عمله وأن يقوموا بوضع الآليات والاجراءات المناسبة التي تقلل من أثر المخاطر. ويجب ملاحظة أن على كل فريق كتابة الإجراءات المناسبة له واستخدامها حسب طبيعة عمل الفريق وطبيعة المخاطر التي يتعرض لها. لكننا أيضا نؤكد على ضرورة وجود هذه الإجراءات وضرورة استخدامها ضمن الفرق لأن عدم وجودها وعدم تطبيقها بجدية يعني الفوضى في موضوع كبير الأهمية ما يضع أهداف الفريق وحياة اعضاء الفريق في الخطر.

نقدم فيما يلي عدد من الأمثلة على آليات مبسطة للتقليل من المخاطر التي يضيفها العمل في فريق على سرية كلمات السر.

آلية تسليم كلمات السرّ الخاصة بالعمل عند ترك المهمة أو المجموعة

قد يتضمن العمل ضمن مجموعة إدارة مورد ما أو أكثر خاص بالمجموعة (حساب خاص بالمجموعة مثلا على تويتر) وفي حال كان ذلك المورد محميا بكلمة سرّ يعرفه الشخص الذي يدير الحساب. فيجب أن يكون هناك آلية لتسليم الحساب إلى الشخص الجديد أو إلى المسؤول المباشر عند ترك العمل أو المهمة كل لا يؤدي ترك شخص المجموعة إلى إعاقة أو إيقاف العمل. لذلك لا بد من وجود آلية ضمن الفريق تضمن حصول ذلك. ننصح بأن يلتزم كل شخص يدير كلمة سرّ أو أكثر ضمن المجموعة أن يحتفظ بكلمات السرّ ضمن ملف كي باس KeePass خاص بهذه المهمة ضمن المجموعة بحيث يقوم الشخص بتسليم الملف وكلمة سر الملف عند مغادرة الفريق المسؤول المباشر أو الشخص البديل.

يقوم المسؤول المباشر عن الشخص الذي يرغب بالتوقف عن العمل أو ترك المجموعة بطلب ملف كي باس KeePass الخاص بالمهمة والموجود لدى الشخص الذي يرغب ترك المهمة أو المجموعة
يقوم صاحب كلمة أو كلمات السرّ بالتأكد من أن جميع الكلمات موجودة في ملف كي باس KeePass الخاص بالمهمة.
يقوم صاحب الملف بإرسال الملف إلى المسؤول المباشر
يقوم المسؤول المباشر بفتح الملف عبر استخدام كلمة السرّ المخزّنة في ملف كي باس الخاص بمهامه
يقوم المسؤول المباشر بالتأكد من وصول الملف ومن صحة كلمة سرّ حماية الملف
ينفذ المسؤول المباشر آلية تحديث كلمات السرّ الخاصة بالمهمة للتأكد من عدم وجودها لدى الشخص الذي ترك المجموعة أو المهمة.
يقوم المسؤول المباشر بالتأكد من أن كلمات السرّ الجديدة أصبحت موجودة ضمن ملف كي باس الخاص بالمهمة.
يقوم المسؤول المباشر بتغيير كلمة السرّ الخاصة بملف كي باس ويحفظ كلمة السرّ الجديدة ضمن ملف كي باس الخاص بمهامه
يقوم المسؤول المباشر بإرسال ملف كي إلى الشخص الجديد المسؤول عن المهمة.
يقوم المسؤول المباشر بإرسال كلمة السر عبر تطبيق Signal أو باستخدام إيميل مشفر PGP إلى الشخص الجديد المسؤول عن المهمة
يقوم الشخص الجديد بفتح ملف كي باس والتأكد من عمل كلمات السرّ.

آلية ارسال كلمة سرّ إلى شخص معين باستخدام تطبيق سيغنال Signal

تعتبر التطبيقات الجيدة التي تدعم التشفير من نوع End-to-end وسيلة آمنة لتبادل كلمات السرّ ومنها تطبيقات سيغنال Signal وتيليغرام Telegram وأيضا حديثا تطبيق واتس أب WhatsApp ويمكن استخدام أي من التطبيقات المذكورة لتنفيذ هذه الآلية

يقوم صاحب كلمة السرّ والشخص الآخر بتبادل أرقام الهاتف
يقوم صاحب كلمة السر بالاتصال الصوتي بالطرف الآخر باستخدام تطبيق سيغنال Signal. للتأكد من هوية الطرف الآخر وقدرته على استقبال كلمة السرّ
يقوم صاحب كلمة السر بإرسالة كلمة السرّ برسالة على تطبيق سيغنال Signal
يقوم الشخص الآخر بتأكيد وصولها
يقوم الطرفان بحذف الرسالة النصية التي تتضمن كلمة السرّ نهائيا من رسائل تطبيق Signal

آلية ارسال كلمة سرّ إلى شخص معين باستخدام بروتوكول PGP عبر الإيميل

يقوم صاحب كلمة السر بطلب حساب البريد الإكتروني والمفتاح العام من الشخص الآخر إن لم يكن يملكه
يقوم صاحب كلمة السر بإرسالة إيميل مشفر بتقنية PGP إلى حساب البريد الالكتروني الخاص بالشخص
يقوم الشخص بفك تشفير الرسالة وتأكيد استلامها
يقوم الطرفان بحذف الرسالة نهائيا من البريد الإلكتروني

آلية تحديث كلمة سر وحيدة ضمن فريق

نفترض في هذا المثال أن الفريق لديه قسم هندسة أو قسم IT مسؤول عن التقنيات المستخدمة ضمن الفريق وبالتالي عن أمن المعلومات. أن عدد من أعضاء الفريق يشتركون بحساب له كلمة سر وأن كلمة السر يجب أن تعدل (لأن عضوا من أعضاء الفريق الذين لديهم علم بكلمة السر تلك مثلا قد ترك الفريق للتو ).

في هذه الحالة نقترح الإجرائية التالية:

يقوم قسم الهندسة بتحديد موعد تغيير كلمة السر
يقوم القسم بتحديد كلمة السر الجديدة
يقوم القسم بإعلام الأقسام المعنية والأفراد المعنيين بوعد التغيير ويمرر له كلمة السرّ الجديدة بشكل آمن قبل موعد التغيير (راجع: آلية ارسال كلمة سرّ إلى شخص معين باستخدام تطبيق سيغنال Signal أو باستخدام بروتوكول PGP)
يقوم القسم بتغيير كلمة السر القديمة إلى كلمة السر الجديدة في الموعد المحدد

آلية تحديث كلمات السر ضمن فريق

نفترض في هذا المثال أن الفريق لديه قسم هندسة أو قسم IT مسؤول عن التقنيات المستخدمة ضمن الفريق وبالتالي عن أمن المعلومات. أن قسم الهندسة يريد تغيير كل كلمات السر الخاصة بموارد وحسابات الفريق (مثلا كمرور شهر على استخدام كلمات السر ضمن الفريق دون تعديل).

في هذه الحالة نقترح المثال التالي

يقوم قسم الهندسة بتحديد موعد تغيير كلمات السرّ
يقوم القسم بإعلام الأقسام المعنية بالموعد
يقوم القسم بتحديد كلمات السرّ الجديدة
يقوم القسم بتوزيع كلمات السرّ الجديدة وتوزيعها على الأقسام المعنية بالموضوع والأفراد المعنيين قبل تغييرها بيوم واحد بشكل آمن (كإرسالها بشكل مشفر باستخدام بروتوكول PGP)
يقوم القسم بتغيير كلمات السرّ القديمة إلى كلمات السرّ الجديدة في الموعد المحدد

تغيير كلمة سرّ في حالات الطوارئ

نفترض هنا أن للفريق قسم هندسة أو قسم IT من ضمن اختصاصاته ضمان أمن المعلومات في الفريق وأن طارئا ما قد حدث وأن سياسة الفريق المعدة سلفا لمواجهة الطوارئ تستوجب تغيير كلمة أو كلمات السرّ الخاصة بموارد الفريق.

في هذه الحالة نقترح الإجرائية التالية في حال لم يؤثر الطارئ على قدرة قسم الهندسة على العمل:

يقوم أي أعضاء الفريق بإعلام قسم الهندسة بالطارئ إن لم يكن لديه علم
يقوم قسم الهندسة بتغيير كلمات السرّ بالسرعة القصوى
يقوم قسم الهندسة بإعلام الأقسام المعنية والأشخاص المعنيين بالكلمة الجديدة في حال لم يمنع سبب حالة الطوارئ ذلك.

أما في حال منع الطارئ فريق الهندسة من القيام بعمله:

يقوم أي عضو بتغيير كلمات السرّ للموارد التي يملك كلمات سرّها بشكل منفرد
يقوم الأعضاء بالاجتماع بأسرع وقت بطريقة آمنة لتقييم الضرر
يتم تحديد شخص معين للقيام بمهام إدارة كلمات السرّ لحين إزالة حالة الطوارئ أو لحين عودة القدرة لقسم الهندسة على العمل.
يقوم الأعضاء بإرسال كلمات السرّ الجديدة للشخص المعين باستخدام تطبيق سيغنال Signal أو أحد تطبيقات End-to-end encryption المتفق عليها أو باستخدام بروتوكول PGP
بعد إزالة حالة الطوارئ أو عند عودة قدرة قسم الهندسة على العمل يقوم الشخص المعين بإرسال كلمات السرّ الجديدة لقسم الهندسة ويتخلى عن مسؤولية إدارة كلمات السرّ

تذكر أن هذه الآليات أمثلة بسيطة الهدف من ذكرها هو إعطاء المسؤولين عن الأمن الرقمي في الفرق حجر الأساس أو الطوبة الأولى في بناء آلياتهم الخاصة التي تعتمد على وضع الفريق، طريقة عمله, التقنيات التي يستخدمها، مهارات الأفراد، القدرات الاقتصادية وغيرها من العوامل. أيضا توضح هذه الآليات ضرورة وجود اتفاق مسبق ضمن الفريق على توزيع المهمات (كوجود فريق هندسة ضمن الفريق مثلا) وأيضا على ضرورة وجود هذه الآليات والسياسات بشكل مسبق خاصة لمواجهة حالات الطوارئ.