كلمات السرّ Passwords

من SalamaTech Wiki سلامتك ويكي
(بالتحويل من كلمة سرّ Password)
اذهب إلى: تصفح، ابحث

محتويات

مقدمة

Passwords.png

تستخدم كلمات السرّ Passwords، والتي وتسمى أيضا كلمات أو عبارات العبور Pass-phrases، لحماية حسابات البريد الالكتروني والحسابات على مواقع مثل مواقع التواصل الاجتماعي. وأيضا لحماية الحاسب الشخصي, حماية الحاسب المحمول Laptop وغيره من الأجهزة الالكترونية الشخصية، وتكون بذلك أسلوبا من أساليب المصادقة Authentication للتحقق من صحة هوية المستخدم الذي يطلب الوصول Access لحساب ما سواء على الحاسب الشخصي أو الانترنت. تستخدم كلمات السرّ أيضا في التشفير Encryption.

يجب ملاحظة أن هناك اختلاف كبير بين درجة الخطر التي يتعرض لها جهاز الحاسب الشخصي في المنزل من محاولات اختراق كلمة السر وبين الخطر الذي يتعرض له حساب شخصي على موقع ما في فضاء الإنترنت. الفرق هو أنه لا يمكن لأي شخص كان محاولة اختراق حاسبكم الشخصي عن بعد، طالما بقي غير متصل بالشبكة, أو كان مغلقا، بينما يستطيع عشرات آلاف الناس محاولة اختراق حسابكم على موقع ما على شبكة الإنترنت. يمكن أن يحصل ذلك أثناء نومكم مثلا. هذا يجعل كلمة السرّ في كثير من الأحيان ليست حاجز الدفاع الأول فحسب لكن أيضا حاجز الدفاع الأخير في مواجهة كل من يحاول الوصول لمعلوماتكم الخاصة الموجودة على الإنترنت.

توصف كلمات السر بأنها جيدة أو سيئة. لكن لماذا؟ ما الذي يجعل كلمة سر أفضل من أخرى؟

الجواب في الحقيقة يتعلق بمخترقي الحسابات والقدرات والوقت المتاح لهم تقنيا أكثر من أي شئ آخر.

فمثلا اختراق حسابكم على موقع ما (مثلا حساب بريدكم الالكتروني) على الإنترنت يتطلب إدخال اسم حسابكم (مثل عنوان بريدكم الالكتروني) ومحاولة إدخال كلمة السرّ الصحيحة. سيحاول المخترق عدد من كلمات السرّ إما عن طريق محاولة جميع التركيبات الممكنة من الاحرف حتى يجد الكلمة الصحيحة (الهجوم الأعمى Brute Force Attack), أو يحاول كلمات أو عبارات أو تركيبات معينة من الرموز, مثلا أسمكم الأول والثاني, الأرقام 123456, الرموز qwerty أو كلمات مثل Freedom (تخمين كلمات السرّ Passwords Guessing) أو تركيبات منتقاة بعناية من الكلمات والرموز (هجوم القاموس Dictionary Attack). كلمة السر الجيدة هي كلمة السر التي تبدد جهد المخترق سواء اتّبع المخترق الطريقة الأولى أو الطريقة الثانية.

سيحاول المخترق أيضا خداعكم للحصول على كلمة السر الخاصة بكم. تسمى الطريقة التي تعتمد على الحيلة والمكر لسرقة كلمة السرّ بالهندسة الاجتماعية Social Engineering وأيضا بصيد كلمات السر Passwords Phishing. في هذه النوع من الحالات لا يمكن القول أن كلمة السرّ سيئة أو جيدة لأن المخترق إن نجح في خداعكم سيحصل عليها بغض النظر عن طولها أو تركيبها. يعتبر هذا النوع من أساليب الاختراق شائعا جدا. وللأسف يقع ضحيته في كل لحظة عدد كبير جدا من مستخدمي الإنترنت.

هناك أيضا فئة من البرمجيات الخبيثة Malicious Software أو اختصارا الMalware تسمى برامج تسجيل المفاتيح Keystroke Loggers يستخدمها المخترقون للحصول على كلمات السر بشكل غير شرعي. تصمم هذه البرامج للعمل على الجهاز المستهدف بشكل صامت. تقوم بمراقبة النقر على لوحة المفاتيح وتسجيل جميع النقرات في ملف يتم إرساله إيضا في الخفاء للمهاجم الذي يعاينه ويستطيع بواسطته معرفة كلمات السرّ.

قبل المضي في المزيد من التفاصيل حول كلمات السرّ ننصح المستخدمين بتفعيل ميزة التحقق بخطوتين Two Factor Authentication لحساباتهم على الانترنت إن كان ذلك متاحا وربط الحسابات مع التطبيقات المناسبة للتحقق بخطوتين على هاتفهم الذكي. يذكر ان هذه الميزة متاحة على أهم المنصات على الانترنت مثل غوغل Google، فيسبوك Facebook، تويتر Twitter وغيرها.

أيضا ننصح المستخدمين باستخدام برنامج لإدارة كلمات السر مثل برنامج كي باس KeePass الذي يسهل عملية انشاء كلمات سرّ جيدة ويقوم بحفظها في ملف مشفر تستطيعون تخزينه بشكل آمن على قرص صلب أو على سواقة USB بدل تسجيل كلمات السرّ ضمن ملف غير مشفر معرض للكشف أو على ورقة معرضة للكشف والضياع.

اختيار كلمة سر جيدة Choosing a "Good" Password

عند اختيار كلمة السر اتبع الشروط التالية لتفادي مخاطر الهجوم الأعمى وهجوم القاموس على السواء:

  1. اختاورا كلمة سرّ من 16 خانة على الأقل
  2. استخدموا أرقام ورموز مثل !$%^&*()_ ضمن كملة السرّ
  3. امزجوا استخدام الأحرف الصغيرة a b c d... والأحرف الكبيرة A B C D…
  4. تجنبوا استخدام الأحرف المتجاورة مثلا تعتبر كلمة 123456 وأيضا qwerty من أسوأ كلمات السرّ لأنها
  5. تجنبوا استخدام معلومات شخصية كالاسم أو العائلة أو رقم الهاتف الشخصي أو رقم هاتف الوالدين أو اسم الحبيب...
  6. تجنبوا استخدام العبارات الشهيرة أو المستخدمة بكثرة في كلمات السّر وكلمات السّر الشائعة.

كلمات السر التي تحقق الصفات السابقة هي كلمة سرّ جيدة

كلمات السر التي لا تحقق الصفات السابقة هي كلمة سرّ سيئة

كأحد الحلول المناسبة:

  1. اختاروا عبارة طويلة ما باللغة العربية تحتوي حرف العين والقاف والهمزة والحاء مثلا
  2. اكتبوا العبارة بالأحرف اللاتينية مع مراعاة استبدال العين بالرقم 3 والحاء بالرقم 7 وهكذا (اظهر ابداعك قليلا)
  3. اضيفوا للعبارة بعض الرموز الأخرى التي تستطيعون تذكرها. وامزجوا الأحرف الكبيرة والصغيرة
  4. تأكدوا في النهاية أن كلمة السرّ الناتجة تحقق الشروط السابقة
  5. تأكدوا أيضا أنكم تستطيعون تذكّر الكلمة

يمكنكم استخدام تطبيقات إدارة كلمات السرّ مثل تطبيق كي باس KeePass كي تقوم بمساعدتكم على اختيار كلمات سرّ جيدة وإدارتها وحفظها في ملف مشفر تستطيعون حمله

مثال: خيط حرير على حيط خليل Khet_7arir_3ala_7et_KHalil

هذه النصائح تبقى صحيحة طالما لم تتغير الشروط التقنية لطريقتي الاختراق وأيضا في حال عدم تطور طرق جديدة للاختراق. عند تغير الشروط التقنية علينا تغيير شروط اختيار كلمة سر جيدة. مثلا طول كلمة السرّ الذي ننصح به مرتبط مباشرة بقدرة الحواسب. التي تتضاعف كل 18 شهرا حسب قاعدة شهيرة تعرف بـ Moore's Law، بالتالي في المستقبل القريب سننصح باستخدام كلمة سرّ أطول بحرف مما ننصل به حاليا لتعويض النمو في قدرة الحواسب.

يجب أن يترافق اختيار كلمات سر جيدة مع سلوك جيد إزاء الحفاظ على سرية هذه الكلمات. نميز هنا بين السلوك الجيد للأفراد والسلوك الجيد ضمن المجموعات. في حال كان الحساب الالكتروني مقتصرا على شخص واحد يجب مراعاة السلوك الجيد للأفراد. أما في حال العمل ضمن فريق يشترك عدد من أعضائه بحساب الكتروني ما فلابد من مشاركة كلمة سر الحساب بين عدد من أفراد الفريق, وبالتالي ندخل نطاق مفهوم السلوك الجيد ضمن المجموعات.

الهجمات على كلمات السرّ Malicious Cyber Attacks on Passwords

بسبب أهمية كلمات السرّ، طور المهاجمون أنماطا مختلفة من الهجمات الخبيثة على كلمات السرّ، نذكر هنا نبذة عن كل منها علما أن روابط إلى المقالات الموسعة عن هذه الهجمات متوفرة في كل فقرة من الفقرات.

تخمين كلمات السرّ Passwords Guessing

يقوم المهاجم هنا بمحاولة اختراق حساب الضحية المحمي بكلمة سرّ Password ما عبر تخمين كلمة السرّ. كأن يحاول تركيبات من معلومات يعرفها عن الضحية، كرقم هاتفه أو تاريخ ميلاده أو اسم الزوجة أو الحبيبة، أو أسماء أفراد العائلة أو عبارات تملك معنى عاطفيا ما للضحية، أو الكلمات الشائعة، مثل 123456 و password و qwerty. أي تماما ما تعنيه تسمية هذه الطريقة حرفيا: تخمين كلمات السرّ.

أيضا قد يحاول المهاجم تجربة كلمة سرّ لك يعرفها على حساب آخر لك على الانترنت فيما يسمى باختراق بسبب إعادة استعمال كلمة السرّ Password Reuse Hack الطريقة التي باتت تسمى أيضا حشو كلمات السر Password Stuffing .

فيما يلي عينة من كلمات السرّ الشائعة:

  • 123456
  • password
  • 12345678
  • qwerty
  • 12345
  • 123456789
  • football
  • 1234
  • 1234567
  • baseball

للمزيد اقرأوا المقالة الخاصة بتخمين كلمات السرّ Passwords Guessing.

الهجوم الأعمى Brute Force Attack

تعتمد عائلة من طرق اختراق الحسابات على تجريب كلمات سرّ مختلفة أملا بأن تكون أحداها الكلمة الصحيحة. من هذه الطرق، طريقة تخمين كلمات السرّ Passwords Guessing التي يقوم فيها المهاجم بتجريب كلمات سرّ يخمن أن الضحية قد يستخدمها. بالرغم من أن هذه الطريقة قد تنجح في بعض الأحيان إلا أنها تفشل في أغلبها، بالأخص عندما لا يعرف المهاجم أي شئ عن ضحيته. لذلك برزت طرق أكثر منهجية لتجريب كلمات السرّ مثل الهجوم الأعمى Brute Force Attack أو هجوم القاموس Dictionary Attack.

الهجوم الأعمى هو طريقة لمعرفة كلمة سرّ ما تعتمد على التجريب الممنهج لتركيبات تقوم خوارزمية بتوليدها بشكل متتالي مستخدمة مجموعة من الرموز الأساسية (كالأحرف اللاتينية والأرقام)، إلى أن تنجح إحدى التركيبات وبالتالي يتم معرفة كلمة السرّ أو تفشل جميع التركيبات ما يعني أن الهجوم قد فشل.

يفشل الهجوم إما عندما يكون أحد الرموز الموجودة في كلمة السرّ غير مستخدما في الخوارزمية أو عندما يكون طول كلمة السرّ مختلفا عن أطوال الكلمات التي أعدت الخوازمية لانتاجها.

مثلا على فرض كانت كلمة السرّ تحتوي أحرفا لاتينية صغيرة وكان طول الكلمة معروفا وهو 6 حروف، فيمكن إعداد الخوارزمية لتوليد جميع التركيبات الممكنة من الأحرف اللاتينية الصغيرة بطول 6 لتجريبها كما هو مبين في اللائحة التي توضح عددا من التركيبات الناتجة للتوضيح.

aaaaaa
aaaaab
aaaaac
aaaaad
...
aaaaaz
aaaaba
aaaabb
aaaabc
...
zzzzzx
zzzzzy
zzzzzz

للمزيد اقرأوا المقالة الخاصة بالهجوم الأعمى Brute Force Attack.

هجوم القاموس Dictionary Attack

تعتمد عائلة من طرق اختراق الحسابات على تجريب كلمات سرّ Passwords مختلفة أملا بأن تكون أحداها الكلمة الصحيحة. من هذه الطرق، طريقة تخمين كلمات السرّ Passwords Guessing التي يقوم فيها المهاجم بتجريب كلمات سرّ يخمن أن الضحية قد يستخدمها. بالرغم من أن هذه الطريقة قد تنجح في بعض الأحيان إلا أنها تفشل في أغلبها، بالأخص عندما لا يعرف المهاجم أي شئ عن ضحيته. لذلك برزت طرق أكثر منهجية لتجريب كلمات السرّ مثل الهجوم الأعمى Brute Force Attack أو هجوم القاموس Dictionary Attack.

هجوم القاموس هو طريقة لمعرفة كلمة سرّ ما تعتمد على التجريب الممنهج لكلمات موجودة في لائحة تسمى القاموس Dictionary وتركيبات من هذه الكلمات، إلى أن تنجح إحدى الكلمات أو التركيبات وبالتالي يتم معرفة كلمة السرّ أو تفشل جميع الكلمات وجميع التركيبات ما يعني أن الهجوم قد فشل.

تعتمد طريقة الهجوم هذه إذا على:

  • حجم القاموس المستخدم.أي عدد الكلمات الموجودة ضمنه
  • جودة القاموس وهي تتعلق بنوع الكلمات الموجودة في اللائحة ومدى استخدامها ككلمات سرّ من قبل المستخدمين.
  • خوارزمية تشكيل التركيبات من كلمات اللائحة
  • جودة ونوع قواعد الاستبدال أي عمليات استبدال الأحرف بأرقام أو رموز أو استبدال الأحرف الصغيرة بأحرف كبيرة على الكلمات الموجودة في القاموس
  • آلية تجريب كلمة السرّ
  • سرعة الخوارزمية
  • إمكانية تشغيل الخوارزمية بشكل متوازي Parallel على عدد من المعالجات
  • إمكانية التحكم بالخوارزمية (إيقاف، متابعة)

للمزيد اقرأوا المقالة الخاصة بهجوم القاموس Dictionary Attack

اصطياد كلمات السرّ Passwords Phishing

هي طريقة للحصول على كلمة سرّ Password مستخدم لخدمة ما أو موقع ما على الإنترنت بالخداع.

تعتمد الطريقة على إيهام الشخص المستهدف بأنه على الموقع الصحيح المعتاد حيث يدخل كلمة سره عادة للدخول إلى حسابه على الموقع (كموقع البريد الالكتروني) لكن في الحقيقة يكون الموقع موقعا "شريرا" يديره أحد لصوص كلمات السر. بالتالي إذا خدع المستخدم وأدخل كلمة سره في ذلك الموقع تصل كلمة السر بكل بساطة إلى اللص الظريف.

إذا يقوم المهاجم بتصميم صفحة خبيثة تشبه صفحة تسجيل الدخول لموقع شهير (مثلا صفحة تسجيل الدخول لموقع gmail أو لموقع Facebook) لكنها تحمل عنوانا مختلفا عن العنوان الأصلي. ثم يقوم المهاجم بتوجيه الضحية إلى الموقع الخبيث سواء عبر رسالة بريد الكتروني أو عبر رسالة سكايب أو ضمن تعليق على فيسبوك ربما يحمل رسالة مشوقة تدفع الضحية لزيارة الموقع الخبيث (الذي يشبه الموقع الأصلي) والذي يطلب من الضحية تسجيل الدخول في الموقع. عندما تقوم الضحية بإرسالة معلومات تسجيل الدخول تصل المعلومات إلى المهاجم.

قد يستخدم المهاجم عنوان نطاق Domain Name قريبا جدا من عنوان الموقع الأصلي كي يتلقف المهاجم الزوار الذين يخطئون في إدخال اسم الموقع. مثلا facebok.com (لاحظوا وجود حرف o وحيد في الاسم بدل oo في اسم النطاق الأصلي) أو twittter.com (لاحظوا وجود الحرف t ثلاثة مرات بدل مرتين) او wikipwdia.org (لاحظوا الخطأ في حرف w بدل حرف e وهما متلاصقان على لوحة المفاتيح) يطلق على عملية حجز اسماء النطاقات التي تشبه اسماء المواقع الشهيرة والتي تختلف عنها اختلافا بسيطا تسمية سايبر سكواتينغ Cybersquatting

للمزيد اقرأوا المقالة الخاصة باصطياد كلمات السرّ Passwords Phishing

برامج تسجيل المفاتيح Keystroke Loggers

عملية تسجيل نقرات المفاتيح Keystroke Logging والتي تسمى أيضا رصد لوحة المفاتيح Keystroke Logging هي عتاد Hardware أو برامج Software تقوم بحفظ جميع النقرات على لوحة المفاتيح في عادة دون إعلام المستخدمين. ليتم نقل البيانات التي قام البرنامج بجمعها إلى مشغل الجهاز أو البرنامج.

تستخدم هذه التقنية عادة لأغراض خبيثة، كمراقبة ما يكتبه المستخدمون دون علمهم، أو الحصول على معلومات تسجيل الدخول كاسم المستخدم وكلمة السرّ Password على المواقع المختلفة اثر قيام المستخدمين بتسجيل الدخول، أو كلمات السرّ المستخدمة في تشفير الملفات على الجهاز، أو حتى محتوى رسائل البريد الالكتروني التي يقوم المستخدمون بكتابتها على الجهاز المصاب.

في أغلب حالات برامج تسجيل نقرات المفاتيح، يقوم المهاجم باستهداف الضحايا بالطرق المعتادة، كالهندسة الاجتماعية، أو عبر إخفاء هذا البرنامج الخبيث ضمن برنامج حميد، بهدف تثبيت برنامج تسجيل نقرات المفاتيح على الجهاز المصاب. بحيث يعمل برنامج تسجيل نقرات المفاتيح بدون علم الضحية. بالطبع على البرنامج الذي يقوم بتسجيل النقرات إرسال النقرات المسجلة إلى المهاجم. وتتضمن بعد برامج تسجيل نقرات لوحة المفاتيح المتطورة ميزات إضافية مثل تسجيل صور عن الشاشة، تسجيل محتوى الحافظة، تسجيل لائحة البرامج العاملة وغيرها.

أما العتاد فهي عادة صغيرة الحجم توضع بين كبل لوحة المفاتيح ومقبس لوحة المفاتيح على الجهاز، بحيث تقوم بتسجيل النقرات أثناء انتقالها من لوحة المفاتيح إلى الجهاز، يقوم المهاجم عادة بوصلها على جهاز الضحية واستعادتها بعد فترة لمعاينة محتواها. لبعض هذه الأجهزة إمكانيات إضافية كإمكانية الاتصال بشبكة الانترنت. بالإضافة لذلك يوجد نوع يعتبر جديدا من الأجهزة التي تقوم بتسجيل نقرات لوحة المفاتيح عن بعد بناء على معالجة الصوت الناتج عن النقرات وتحليله لمعرفة مكان المفاتيح التي تم نقرها على لوحة المفاتيح وبالتالي مضمونها.

على الرغم من أن هذه الأجهزة والبرامج تستخدم في الغالبية الفصوى من الحالات لأغراض خبيثة، فإنها تستخدم في بعض الحالات لأغراض حميدة، يتم فيها إعلام المستخدمين أن نقراتهم على لوحة المفاتيح يتم تسجيلها لاستخدامها. للمزيد اقرأوا المقالة الخاصة ببرامج تسجيل المفاتيح Keystroke Loggers

تسرب البيانات Data Breaches

تسرب البيانات Data Breaches هو أي حادث عرضي أو مقصود يؤدي إلى خسارة سرّية بيانات محددة، سواء عبر وقوعها بأيد معادية عبر جعلها علنية. يطلق على تسرب البيانات تسميات عديدة أخرى تصنف الأمر نفسه منها الإفشاء عن المعلومات Information Disclosure.

قد تحصل حوادث تسرب البيانات مثلا بسبب هجوم منظّم ينفذه مجموعة من المخترقين، أو بسبب هفوة وقع بها أحد الموظفين كنسيان تدمير البيانات على قرص صلب قبل التخلص منه. أو عندما يقوم أحد الموظفين الحكوميين بتسريب وثائق وبيانات إلى الصحافة ليفضح ممارسة غير قانونية.

تعتمد الغالبية العظمى من الشركات على تقنيات المعلومات لتخزين ومعالجة البيانات الضرورية لعملها. وفي الكثير من الأحيان تكون هذه البيانات خاصة وحساسة للغاية، وقد تكون أيضا في غاية السريّة. لذلك قد يشكل أي تسرب للبيانات إلى تبعات جسيمة على المؤسسة وعلى عملائها وحتى إلى تبعات قانونية قد تعني نهاية المؤسسة أو خسارتها لموقعها في السوق أو لثقة عملائها وشركائها.

تحتفظ الشركات التي تقدم خدماتها للعملاء على الإنترنت، بمعلومات تسجيل الدخول الخاصة بالمستخدمين على خوادمها، تتضمن هذه البيانات على الأقل على اسم المستخدم، أو عنوان البريد الالكتروني وكلمة السرّ أو الهاش Hash الخاص بكلمة السرّ. تتخذ هذه الشركات عادة خطوات كثيرة للتقليل من احتمال حدوث أي اختراق يضع هذه البيانات وغيرها في خطر. ومع ذلك يتمكن المخترقون بتواتر عال نسبيا من التسلل إلى قواعد بيانات هذه الشركات حيث يحصل تسرب كامل أو جزئي لهذه البيانات. تستخدم أنظمة كشف التسلل Intrusion Detection Systems للكشف عن حصول أي اختراق لشبكة وأجهزة الشركة، فإن استطاعت الشركة كشف حصول التسلل، فإنه من الصعوبة بمكان تحديد المعلومات التي تم تسربها. في غالب الأحيان يقوم المخترقون ببيع البيانات المسربة إلى الجهات التي ترغب بشرائها، وبعض الأحيان تجد معلومات تسجيل الدخول المسربة طريقها إلى الإنترنت لتصبح علنية يمكن لأي شخص الحصول عليها ومعاينتها.

يقوم موقع https://haveibeenpwned.com/ بجمع المعلومات المتوفرة عن تسريبات معلومات تسجيل الدخول وتوفر إمكانية التحقق من إن كانت معلومات تسجيل الدخول لزوار الموقع قد تم تسريبها ضمن إحدى هذه التسريبات.

Haveibeenpwned home.png

حشو كلمات السرّ Passwords Stuffing

حشو كلمات السرّ Password Stuffing هي العملية التي يقوم فيها المهاجمون الذين استطاعوا الحصول على اسم المستخدم وكلمة سرّ لمستخدم على منصة ما بمحاولة تسجيل الدخول على حسابات نفس المستخدم على مواقع ومنصات أخرى باستخدام كلمة السرّ السرّ ذاتها، أو كلمات سرّ شبيهة بها، أو لها نفس البنية. فالكثير من المستخدمين يقوموت باستخدام كلمة السرّ ذاتها على عدة مواقع، مثلا على موقعي فيسبوك وجيميل. أو يقومون بتعديل كلمة السرّ قليلا بين موقع وآخر، ما يعطي المهاجمين إمكانية تقليص فضاء كلمات السرّ المحتملة إلى مجموعة جزئية أصغر بكثير من المجموعة الكلية لجميع كلمات السرّ المحتملة.

عادة ما يرتبط هذا الهجوم بحادث تسرب بيانات تسجيل الدخول Credential Data Breaches على موقع ما. يقوم المهاجمون على اثره بتجريب كلمة سرّ كل مستخدم مذكور في اللائحة المسربة على جميع المواقع الشهيرة. لذلك تعتبر حوادث تسرب البيانات حوادث ذات تبعات أبعد من تسرب البيانات على موقع وحيد. فعلومات مسربة عن حسابات على مدونة قد تعطي المهاجمين القدرة على الدخول لحسابات المستخدمين على dropbox مستخدمين كلمات السرّ المسربة من المدونة، ما يعني تسرب ملفات وربما صورا خاصة وأفلام فيديو ما إلى ذلك من المعلومات الحساسة على خصوصية المستخدمين.

لذلك ننصح دائما بعدم تكرار استخدام كلمات السرّ ذاتها على مواقع مختلفة، وأيضا عدم استخدام كلمات سرّ متشابهة على الخدمات المختلفة. وننصح بدل ذلك باستخدام برنامج جيد لإدارة كلمات السرّ مثل كي پاس KeePass وتفعيل ميزة التحقق بخطوتين Two Factor Authentication على الخدمات إن كان ذلك متاحا، وعدم استخدام الخدمات التي لا تقدم هذه الميزة أو التي لها صيت سئ في التعامل مع حالات تسرب البيانات.


برامج كشف كلمات السرّ Password Cracking Software

منذ ظهور كلمات السرّ، وظهور فكرة وخوارزميات هجوم القاموس قام العديد من المطورين والمخترقين بتطوير برامج كشف كلمات السرّ Password Cracking Software سواء لغرض خبيث كالاختراق والسرقة وانتحال الشخصية والتطفل أو لغرض حميد مثل استعادة كلمة سرّ فقدت أو نسيها صاحبها.

تقوم هذه البرامج بشكل أساسي بتوليد التركيبات بداية من القاموس الذي يزوده مستخدم البرنامج. بينما يقوم برنامج آخر بمحاولة أو تجريب هذه التركيبات لمعرفة إن كان أحدها هو كلمة السرّ الصحيحة المراد كشفها. وقد تدمج بعض البرامج المهمتين في برنامج واحد لتسريع العملية.

وفيما يلي أمثلة عن أشهر هذه البرامج:

Hashcat

هاش كات Hashcat برنامج لاستعادة أو كشف كلمات السرّ يعمل على منصات ويندوز Windows، لينوكس Linux، وماك أو إس إكس Mac OS X. ويعمل على وحدات المعالجة المركزية CPUs الخاصة بالجهاز أو على وحدات المعالجة الرسومات GPUs وهو لذلك من أسرع البرامج المستخدمة لكشف واستعادة كلمات السرّ.

يدعم هذا البرنامج عددا من طرق استعادة كلمات السرّ منها الهجوم الأعمى Brute Force Attack وهجوم القاموس Dictionary Attack وهجوم البصمة Fingerprint Attack

يستطيع أيضا البرنامج تجريب كلمات السر عبر مقارنة الهاش Hash الخاصة بكلمة السرّ المجربة مع الهاش Hash الخاصة بكلمة السرّ المستهدفة. ويدعم البرنامج مجموعة من خوارزميات الهاشينغ Hashing منها MD4 Hash، MD5 Hash، SHA-1 Hash، MySQL Hash، Microsoft LM Hashes، Cisco PIX Hashes وغيرها.

للمزيد قوموا بزيارة موقع https://hashcat.net/hashcat/.

John the Ripper

جون السفاح John the Ripper برنامج لكشف واستعادة كلمات السرّ يستطيع استخدام الهجوم الأعمى Brute Force Attack وهجوم القاموس Dictionary Attack لتوليد التركيبات. صمم أساسا لاستعادة كلمات السرّ المخزنة في سجل مسخدمي نظام التشغيل Unix وقريبه Linux.

يستطيع البرنامج تجريب التركيبات عبر مقارنة الهاش الخاصة بالتركيبات الناتجة ممع الهاش الخاصة بكلمة السرّ المستهدفة ويدعم البرنامج مجموعة من خوارزميات الهاشينغ Hashing أهمها الخوارزميات الخاصة بحفظ كلمات السرّ على نسخ نظام التشغيل يونيك Unix ونكهات نظام التشغيل لينوكس Linux المختلفة ,والمبنية على DES MD5 و Blowfish، وأيضا خوارزميات Kerberos AFS و Windows LM Hash وعبر عدد من الإضافات MD4 و LDAP وMySQL وغيرها.


برامج تجريب كلمات السرّ Password Testing Software

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء


السلوك الجيد للأفراد لحماية كلمات السر

فيما يلي مجموعة من النصائح التي تنتدرج ضمن مفهوم السلوك الجيد للأفراد لحماية كلمات السر.

  1. لا تشاركوا كلمات السر الخاصة بكم مع أحد. كلمة السر الخاصة بك خاصة بك وحدك. واحذروا من اساليب التحايل المختلفة للحصول على كلمة السر الخاصة بكم مثل سؤالكم عنها، أو طلبها منكم للتحقق من جودتها مثلا. في حالات كالعمل ضمن فريق أو كالعمل في ظل ظروف أمنية صعبة قد يتحتم عليكم مشاركة كلمة السرّ مع بقية أعضاء الفريق أو مع أشخاص موثوقين. هذه الحالات موضحة تحت بند السلوك الجيد للمجموعات لحماية كلمات السر الموضحة في الفقرة التالية. حاولوا ما أمكن ذلك تجنب الوصول إلى تلك الحالة.
  2. استخدموا كلمات سرّ يمكنكم أن تتذكروها كي لا تضطر لكتابتها بأي شكل. عند اختيار كلمات سرّ صعبة لا يمكن تذكرها قد تضطرون لحفظها في مكان غير آمن أو لكتابتها على قطعة من الورق والاحتفاظ بكلمة السرّ مكتوبة سواء على قطعة ورقية أو ضمن ملف غير آمن سلوك سئ كما هو موضح في النقطة التالية
  3. لا تحتفظوا بكلمة/كلمات السرّ مكتوبة على ورقة أو في ملف غير آمن ما بشكل يجعل عمل من يصل إلى الورقة أو الملف سهلا. خطر اختراق الحسابات لا يأتي فقط من مستخدمي الإنترنت في العالم الافتراضي, وإنما أيضا من الأشخاص الموجودين حولكم في العالم الحقيقي. لا تحتفظوا مثلا بورقة عليها كلمات السر كلها قرب حاسبكم الشخصي. أو في محفظتكم. ولا تحتفظوا بملف اسمه passwords ضمن الملفات على حاسبكم. فهذا يعرض سرية كلمة (كلمات) السر للخطر بالتالي هو سلوك سئ.
  4. لا تكرروا استخدام كلمة السرّ نفسها لعدد من الحسابات. لأنه لو تم كشف كلمة السرّ المتعلقة بأحد حساباتكم سيجعل ذلك جميع الحسابات التي تشترك بكلمة السرّ نفسها معرضة لخطر الاختراق.
  5. إذا كان لا بد لك من تسجيل كلمات السرّ في مكان ما فاستخدموا تطبيقات مثل تطبيق كي باس KeePass لتخزين كلمات السرّ الخاصة بك بشكل آمن ومشفّر.
  6. استبدلوا كلمات السرّ بأخرى جديدة بشكل دوري. الفترة بين كلمتين يجب أن تكون أقل بمقدار كبير من الوقت الوسطي اللازم للمهاجم لاختراق حسابك في حال لجوء المهاجم لتقنية الهجوم الأعمى لاختراق كلمة السر Brute Force Attacks مقسمة على عدد اجهزة الفريق المهاجم. يصعب تقدير مقدار هذه المدة الزمنية على المستخدمين العاديين، لذلك يعد اختيار كلمات سرّ طويلة وتبديلها بشكل دوري (سنويا مثلا) يعتبر سلوكا جيد.
  7. تقدم العديد من المواقع خطوات لاستعادة كلمات السر في حال فقدانها أو نسيانها، فاحرصوا على أن تكون عملية استعادة كلمة السر هذه آمنة. مثلا بتجنب وضع أجوبة واضحة أو شخصية لأسئلة الأمان قد يعرفها من يستهدفكم ويحاول الدخول إلى حساباتهم.
  8. تأكدوا عند إدخال كلمة السر من عدم وجود برامج أو حتى كاميرات تسجل ضربات المفاتيح عند كتابتك لكلمة سر ما.
  9. لا تسمحوا لمن حولكم متابعة ضربات المفاتيح عند كتابتكم لكمة السر واطلبوا منهم غض النظر.
  10. قوموا بتفعيل ميزة التحقق بخطوتين Two Factor Authentication لحساباتكم حيث استطعتم.
  11. تأكدوا أن كلمات السرّ التي تستخدموها ليست شائعة عبر معاينة لائحة كلمات السرّ الشائعة.
  12. تحققوا من تسرّب معلومات تسجيل الدخول خاصتكم عبر معاينة الخدمة https://haveibeenpwned.com وإدخال حساب البريد الالكتروني الخاص بتسجيل الدخول في الخانة.

السلوك الجيد للمجموعات لحماية كلمات السرّ

تختلف مفاهيم الأمن الرقممي عند العمل ضمن فريق. لذلك على العاملين ضمن فريق استيعاب الفرق بين محددات الأمن الرقمي للأفراد ومحدداته للمجموعات. فمثلا, قد يكون من الضروري ضمن الفريق التشارك بكلمة سر حساب ما من حسابات الفريق, أو التشارك بالمعلومات وبالتالي تفقد نصائح في الأمن الرقمي معناها مثل نصيحة الأ تشاركوا كلمة السر مع أحد.

فيما يلي مجموعة من النصائح التي تنتدرج ضمن مفهوم السلوك الجيد للمجموعات لحماية كلمات السر:

  1. لا ترسلوا كلمة سرّ ما بشكل مكشوف. في حال رغبتكم بإرسال معلومة هامة مثل كلمة السر. يجب اتباع اجراءات مناسبة مثل تشفير الرسالة التي تحتوي كلمة السر باستخدام بروتوكول PGP أو إرسال الكلمة ضمن رسالة نصية على أحد تطبيقات التواصل التي تدعم التشفير End-to-end encryption مثل تطبيق سيغنال Signal أو تيليغرام Telegram والتأكد من حذف الرسالة من البريد الالكتروني أو من تطبيق التواصل بعد وصولها مباشرة
  2. تأكدوا من أن كل شخص ضمن الفريق يستخدم ملف كي باس KeePass يتضمن كلمات السرّ الخاصة بمهامهم. وأن كلمة سرّ الملف موجودة لدى المسؤول المباشر عنهم ومخزنة ضمن ملف كي باس الخاص
  3. استبدلوا كلمة السرّ بأخرى جديدة بشكل دوري ضمن الفريق.
  4. عند خروج شخص من الفريق, تأكدوا من وجود آلية لتسليم الحسابات وكلمات السرّ التي كانت بحوزة الشخص إلى الشخص الجديد المسؤول عنها ضمن المؤسسة. ثم قوموا بتغيير كلمات السرّ هذه.
  5. تأكدوا من أنكم وشركاءكم في الفريق تتبعون سلوكا فرديا جيدا فيما يتعلق بالأمن الرقمي.

نلاحظ أن العمل ضمن فريق يزيد المخاطر على الأمن الرقمي. لذلك على المسؤولين عن الأمن الرقمي للفريق أن يقوم بتقييم المخاطر حسب طبيعة عمله وأن يقوموا بوضع الآليات والاجراءات المناسبة التي تقلل من أثر المخاطر. ويجب ملاحظة أن على كل فريق كتابة الاجراءات المناسبة له واستخدامها حسب طبيعة عمل الفريق وطبيعة المخاطر التي يتعرض لها. لكننا أيضا نؤكد على ضرورة وجود هذه الاجراءات وضرورة استخدامها ضمن الفرق لأن عدم وجودها وعدم تطبيقها بجدية يعني الفوضى في موضوع كبير الأهمية ما يضع أهداف الفريق وحياة اعضاء الفريق في الخطر.

نقدم فيما يلي عدد من الأمثلة على آليات مبسطة للتقليل من المخاطر التي يضيفها العمل في فريق على سرية كلمات السر.

آلية تسليم كلمات السرّ الخاصة بالعمل عند ترك المهمة أو المجموعة

قد يتضمن العمل ضمن مجموعة إدارة مورد ما أو أكثر خاص بالمجموعة (حساب خاص بالمجموعة مثلا على تويتر) وفي حال كان ذلك المورد محميا بكلمة سرّ يعرفه الشخص الذي يدير الحساب. فيجب أن يكون هناك آلية لتسليم الحساب إلى الشخص الجديد أو إلى المسؤول المباشر عند ترك العمل أو المهمة كل لا يؤدي ترك شخص المجموعة إلى إعاقة أو إيقاف العمل. لذلك لا بد من وجود آلية ضمن الفريق تضمن حصول ذلك. ننصح بأن يلتزم كل شخص يدير كلمة سرّ أو أكثر ضمن المجموعة أن يحتفظ بكلمات السرّ ضمن ملف كي باس KeePass خاص بهذه المهمة ضمن المجموعة بحيث يقوم الشخص بتسليم الملف وكلمة سر الملف عند مغادرة الفريق المسؤول المباشر أو الشخص البديل.

  1. يقوم المسؤول المباشر عن الشخص الذي يرغب بالتوقف عن العمل أو ترك المجموعة بطلب ملف كي باس KeePass الخاص بالمهمة والموجود لدى الشخص الذي يرغب ترك المهمة أو المجموعة
  2. يقوم صاحب كلمة أو كلمات السرّ بالتأكد من أن جميع الكلمات موجودة في ملف كي باس KeePass الخاص بالمهمة.
  3. يقوم صاحب الملف بإرسال الملف إلى المسؤول المباشر
  4. يقوم المسؤول المباشر بتفح الملف عبر استخدام كلمة السرّ المخزنة في ملف كي باس الخاص بمهامه
  5. يقوم المسؤول المباشر بالتأكد من وصول الملف ومن صحة كلمة سرّ حماية الملف
  6. ينفذ المسؤول المباشر آلية تحديث كلمات السرّ الخاصة بالمهمة للتأكد من عدم وجودها لدى الشخص الذي ترك المجموعة أو المهمة.
  7. يقوم المسؤول المباشر بالتأكد من أن كلمات السرّ الجديدة أصبحت موجودة ضمن ملف كي باس الخاص بالمهمة.
  8. يقوم المسؤول المباشر بتغيير كلمة السرّ الخاصة بملف كي باس ويحفظ كلمة السرّ الجديدة ضمن ملف كي باس الخاص بمهامه
  9. يقوم المسؤول المباشر بإرسال ملف كي إلى الشخص الجديد المسؤول عن المهمة.
  10. يقوم المسؤول المباشر بإرسال كلمة السر عبر تطبيق Signal أو باستخدام إيميل مشفر PGP إلى الشخص الجديد المسؤول عن المهمة
  11. يقوم الشخص الجديد بفتح ملف كي باس والتأكد من عمل كلمات السرّ.

آلية ارسال كلمة سرّ إلى شخص معين باستخدام تطبيق سيغنال Signal

تعتبر التطبيقات الجيدة التي تدعم التشفير من نوع End-to-end وسيلة آمنة لتبادل كلمات السرّ ومنها تطبيقات سيغنال Signal وتيليغرام Telegram وأيضا حديثا تطبيق واتس أب WhatsApp ويمكن استخدام أي من التطبيقات المذكورة لتنفيذ هذه الآلية

  1. يقوم صاحب كلمة السرّ والشخص الآخر بتبادل أرقام الهاتف
  2. يقوم صاحب كلمة السر بالاتصال الصوتي بالطرف الآخر باستخدام تطبيق سيغنال Signal. للتأكد من هوية الطرف الآخر وقدرته على استقبال كلمة السرّ
  3. يقوم صاحب كلمة السر بإرسالة كلمة السرّ برسالة على تطبيق سيغنال Signal
  4. يقوم الشخص الآخر بتأكيد وصولها
  5. يقوم الطرفان بحذف الرسالة النصية التي تتضمن كلمة السرّ نهائيا من رسائل تطبيق Signal

آلية ارسال كلمة سرّ إلى شخص معين باستخدام بروتوكول PGP عبر الإيميل

  1. يقوم صاحب كلمة السر بطلب حساب البريد الاكتروني والمفتاح العام من الشخص الآخر إن لم يكن يملكه
  2. يقوم صاحب كلمة السر بإرسالة إيميل مشفر بتقنية PGP إلى حساب البريد الالكتروني الخاص بالشخص
  3. يقوم الشخص بفك تشفير الرسالة وتأكيد استلامها
  4. يقوم الطرفان بحذف الرسالة نهائيا من البريد الالكتروني

آلية تحديث كلمة سر وحيدة ضمن فريق

نفترض في هذا المثال أن الفريق لديه قسم هندسة أو قسم IT مسؤول عن التقنيات المستخدمة ضمن الفريق وبالتالي عن أمن المعلومات. أن عدد من أعضاء الفريق يشتركون بحساب له كلمة سر وأن كلمة السر يجب أن تعدل (لأن عضوا من أعضاء الفريق الذين لديهم علم بكلمة السر تلك مثلا قد ترك الفريق للتو ).

في هذه الحالة نقترح الاجرائية التالية:

  1. يقوم قسم الهندسة بتحديد موعد تغيير كلمة السر
  2. يقوم القسم بتحديد كلمة السر الجديدة
  3. يقوم القسم بإعلام الأقسام المعنية والأفراد المعنيين بوعد التغيير ويمرر له كلمة السر الجديدة بشكل آمن قبل موعد التغيير (راجع: آلية ارسال كلمة سرّ إلى شخص معين باستخدام تطبيق سيغنال Signal أو باستخدام بروتوكول PGP)
  4. يقوم القسم بتغيير كلمة السر القديمة إلى كلمة السر الجديدة في الموعد المحدد

Procedure Changing One Password.png

آلية تحديث كلمات السر ضمن فريق

نفترض في هذا المثال أن الفريق لديه قسم هندسة أو قسم IT مسؤول عن التقنيات المستخدمة ضمن الفريق وبالتالي عن أمن المعلومات. أن قسم الهندسة يريد تغيير كل كلمات السر الخاصة بموارد وحسابات الفريق (مثلا كمرور شهر على استخدام كلمات السر ضمن الفريق دون تعديل).

في هذه الحالة نقترح المثال التالي

  1. يقوم قسم الهندسة بتحديد موعد تغيير كلمات السر
  2. يقوم القسم بإعلام الأقسام المعنية بالموعد
  3. يقوم القسم بتحديد كلمات السر الجديدة
  4. يقوم القسم بتوزيع كلمات السر الجديدة وتوزيعها على الأقسام المعنية بالموضوع والأفراد المعنيين قبل تغييرها بيوم واحد بشكل آمن (كإرسالها بشكل مشفر باستخدام بروتوكول PGP)
  5. يقوم القسم بتغيير كلمات السر القديمة إلى كلمات السر الجديدة في الموعد المحدد

Procedure Chaning All Passwords.png

تغيير كلمة سر في حالات الطوارئ

نفترض هنا أن للفريق قسم هندسة أو قسم IT من ضمن اختصاصاته ضمان أمن المعلومات في الفريق وأن طارئا ما قد حدث وأن سياسة الفريق المعدة سلفا لمواجهة الطوارئ تستوجب تغيير كلمة أو كلمات السر الخاصة بموارد الفريق.

في هذه الحالة نقترح الاجرائية التالية في حال لم يؤثر الطارئ على قدرة قسم الهندسة على العمل:

  1. يقوم أي أعضاء الفريق بإعلام قسم الهندسة بالطارئ إن لم يكن لديه علم
  2. يقوم قسم الهندسة بتغيير كلمات السر بالسرعة القصوى
  3. يقوم قسم الهندسة بإعلام الأقسام المعنية والأشخاص المعنيين بالكلمة الجديدة في حال لم يمنع سبب حالة الطوارئ ذلك.

أما في حال منع الطارئ فريق الهندسة من القيام بعمله:

  1. يقوم أي عضو بتغيير كلمات السر للموارد التي يملك كلمات سرها بشكل منفرد
  2. يقوم الأعضاء بالاجتماع بأسرع وقت بطريقة آمنة لتقييم الضرر
  3. يتم تحديد شخص معين للقيام بمهام إدارة كلمات السر لحين إزالة حالة الطوارئ أو لحين عودة القدرة لقسم الهندسة على العمل
  4. يقوم الأعضاء بإرسال كلمات السر الجديدة للشخص المعين باستخدام تطبيق سيغنال Signal أو أحد تطبيقات End-to-end encryption المتفق عليها أو باستخدام بروتوكول PGP
  5. بعد إزالة حالة الطوارئ أو عند عودة قدرة قسم الهندسة على العمل يقوم الشخص المعين بارسال كلمات السر الجديدة لقسم الهندسة ويتخلى عن مسؤولية إدارة كلمات السر

تذكر أن هذه الآليات أمثلة بسيطة الهدف من ذكرها هو إعطاء المسؤولين عن الأمن الرقمي في الفرق حجر الأساس أو الطوبة الأولى في بناء آلياتهم الخاصة التي تعتمد على وضع الفريق, طريقة عمله, التقنيات التي يستخدمها, مهارات الأفراد, القدرات الاقتصادية وغيرها من العوامل. أيضا توضح هذه الآليات ضرورة وجود اتفاق مسبق ضمن الفريق على توزيع المهمات (كوجود فريق هندسة ضمن الفريق مثلا) وأيضا على ضرورة وجود هذه الآليات والسياسات بشكل مسبق خاصة لمواجهة حالات الطوارئ.

تنقل ضمن الكتيب eBook Navigation

التالي: التحقق بخطوتين Two Factor Authentication

المصادقة Authentication

التحكم بالوصول Access Control

أساسيات في الأمن الرقمي Information Security Essentials

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

كي باس KeePass

كي باس درويد KeePass Droid

الهجوم الأعمى Brute Force Attack

هجوم القاموس Dictionary Attack

تخمين كلمات السرّ Passwords Guessing

اصطياد كلمات السر Passwords Phishing

تسجيل نقرات لوحة المفاتيح Keystroke Logging

تسرب البيانات Data Breaches

برامج كشف كلمات السرّ Password Cracking Software

برامج تجريب كلمات السرّ Password Testing Software

الهندسة الاجتماعية Social Engineering

الهجمات الالكترونية الخبيثة Malicious Cyber Attacks

الهجمات الإلكترونية الخبيثة على كلمات السرّ Malicious Cyber Attacks on Passwords

التحقق بخطوتين Two Factor Authentication

بروتوكول PGP لتشفير رسائل البريد الالكتروني

References

What is your password? On Jimmy Kimmel Live Show

http://en.wikipedia.org/wiki/Keystroke_logging