الأمان الرقمي كلمات المرور: كيفية حفظها واستعمالها في العالم الرقمي

كلمات المرور من أهمّ وسائل حماية بياناتك الحسّاسة على مختلف مواقع الويب. سيشرح هذا الفصل كل ما يتعلّق بكلمات المرور وطرق تقويتها وإدارتها.

معايير كلمات المرور القوية

عندما تقوم باستعمال كلمة مرور معيّنة مثل "test123" على موقع إنترنت معيّن، فما تقوم به هذه المواقع هو أنّها تأخذها وتحفظها مع بقية بياناتك (اسم المستخدم وعنوان البريد الإلكتروني… إلخ) داخل قاعدة البيانات الخاصّة بها. مواقع الإنترنت الجيّدة - ومعظمها إن لم يكن كلّها - لا تقوم بتخزين كلمات المرور بصورة صرفة (Plain Text)، بل تقوم بتشفيرها أوّلًا وفق خوارزمية معيّنة ثمّ تحفظ النصّ المشفّر (شيء مثل ecd71870d1963316a97e3ac3408c9835ad8cf0f3c1bc703527c30265534f75ae) داخل قاعدة البيانات، أمّا كلمة المرور نفسها فلا تُحفظ أبدًا داخل قاعدة البيانات.

يُستعمل هذا الأسلوب لأنّه في حال حصل اختراقٌ من طرف المخترقين لمواقع الإنترنت هذه فحينها لا نريد أن يتمكّن المخترقون من فتح حسابات المستخدمين والوصول إليها ومعرفة كلمات مرورهم. فمن الشائع كذلك أنّ المستخدمين يستخدمون نفس كلمة المرور على أكثر من موقع ويب (وهذا أمرٌ شائع للأسف، لكنّه خاطئٌ بشدّة). وبالتالي تُقلل الأضرار عند حصول هذا النوع من الاختراقات، فهم لن يروا سوى النص المشفّر ولا يمكنهم عمل شيء به.

هناك ما يعرف باسم هجمات القوّة الغاشمة (Bruteforce Attack)، وهي هجمات مؤتمتة لتخمين كلمات المرور الخاصّة بك، حيث يبرمج المخترقون برامج وظيفتها تخمين كلمة مرور حساباتك وتجريبها مئات وآلاف وملايين المرّات إلى أن يصلوا إلى النتيجة الصحيحة. وتعمل هذه البرامج عبر تجريب كلّ احتمالات كلمات المرور المكوّنة من 4 أحرف وأرقام مثلًا، ثمّ 5، ثمّ 6… وهكذا إلى أن يصلوا إلى كلمة المرور الصحيحة. ولهذا فإنّ استخدام كلمة مرورٍ طويلة ومعقّدة يزيد من حمايتها بصورة كبيرة.

تتضمن مواقع الويب المبنية بصورة جيّدة أنظمة مؤتمتة كذلك للحماية ضدّ هذا النوع من الهجمات، لكن ليس كلّها بالطبع.

كلّما زاد طول وتعقيد كلمة المرور، كلّما كان تخمينها عن طريق هذا النوع من الهجمات أصعب ويستغرق وقتًا أطول، وبصورة عامّة فإنّ أي كلمة مرور أطول من 8 أحرف تصبح صعبة جدًا خاصةً إن كانت مليئة بالرموز والأرقام (مثل !@#$%^&* وغيرها).

المشكلة الآن هي أنّ الكثير من المستخدمين يستخدمون كلمات مرورٍ بسيطة من السهل معرفتها أو تخمينها، أو يستخدمها مستخدمون آخرون كذلك بكثرة. وهذه مشكلة لأنّ:

• كلمات المرور القصيرة وغير المعقّدة من السهل كسرها عبر هجمات القوّة الغاشمة، حيث تستغرق وقتًا قصيرًا لتخمينها من طرف البرمجيات.
• غالبًا ما يقوم المستخدمون الآخرون كذلك باستخدام نفس كلمات المرور القصيرة لحساباتهم، فكلمة مرور مثل "123456" مثلًا ليست محصورة بشخص معيّن هو الوحيد الذي يستخدمها بل غالبًا يتشارك الملايين من الناس - للأسف - باستخدامها. الآن ماذا فعل المخترقون؟ بدلًا من الجلوس وعمل هجمة قوّة وحشية من الصفر في كلّ مرّة، أنشؤوا قواعد بياناتٍ خاصّة بهم لكلمات المرور وما يقابلها من النصوص المشفّرة التي جرّبوها بالفعل. فصاروا الآن غير محتاجين لإعادة العملية بعد أن نجحوا في كسر كلمة "123456"، بل يكفيهم النظر فيما بين أيديهم بالفعل. تُعرف هذه الهجمات باسم هجمات القاموس (Dictionary Attacks).

من أجل هذا عليك استخدام كلمات مرورة قوية ومعقّدة لحساباتك المختلفة، وهذه بعض النصائح لذلك:

• اجعل كلمة المرور أطول من 8 حروف على الأقل.
• استخدم الأرقام والرموز داخلها.
• لا تكرر النصوص الفرعية داخلها؛ أي لا تستعمل شيئًا مثل "GGGG1111" فهذه كلمة مرور من الأسهل كسرها.
• لا تستعمل نفس كلمة المرور على امتداد أكثر من موقع ويب.
• لا تستعمل نمطًا معيّنًا في كل كلمات مرورك؛ بعض الناس يستعمل نمطًا كأن يكتب اسم موقع الويب الحالي ويتبعه بالرموز والحروف مثل "Twitter_!123" و"Facebook_!123". هذا سيّء لأنّه بمجرّد كسر كلمة مرورك في موقعٍ واحد فسيتمكن المخترقون من التخمين أنّك تستعمل نفس النمط على مواقع الويب الأخرى، فيقومون فقط بتجريب تغيير اسم موقع الإنترنت لعلّه يعمل معهم.

الحلّ الأنسب لكلمات المرور في الواقع هو ألّا تكتبها وألّا تحتاج لتذكّرها ولا معرفتها بنفسك؛ هناك إضافات لمتصفّحات الويب وبرامج خاصّة تقوم بإنشاء كلمات مرورٍ عشوائية قوية مثل Passwordgenerator.net، حيث تطلب منها إنشاء كلمة مرور لك وتقوم هي بذلك، فتنسخ النص وتلصقه على موقع الويب عند إنشاء حسابك الجديد أو تغيير كلمة المرور.

الآن كيف ستتذكر كلمة المرور المعقّدة هذه وتدخلها كلّ مرّة؟ لن تفعل ذلك، بل ستستخدم برنامجًا لإدارة كلمات المرور، وهو ما سنشرحه في القسم التالي.

استخدام برامج إدارة كلمات المرور

برامج إدارة المرور هي برامج خاصّة بتنظيم كلمات المرور سواءٌ كانت كبرامج مستقلة أو إضافات لمتصفّحات الويب الشهيرة، بل بعض المتصفّحات تتضمن برامج إدارة كلمات المرور داخلها.

تقوم هذه البرامج بـ:

1. إنشاء كلمات المرور العشوائية القوية لك عندما تحتاجها.
2. حفظ كلّ كلمات المرور الخاصّة بك بصورة آمنة.
3. إنشاء ما يُعرف بـ"كلمة المرور الرئيسية" (Master Password) وهي كلمة مرور عليك حفظها وتذكّرها، وبمجرّد إدخالها في البرنامج تفتح لك خزنة كلمات المرور ويصبح بإمكانك رؤيتها وتعديلها، أمّا دون كلمة المرور الرئيسية فلا يمكن لأحدٍ الوصول لكلمات مرورك السابقة. هكذا تحتاج إلى تذكّر كلمة مرور واحدة فقط بدلًا عن جميعها.
4. إدخال كلمات المرور المحفوظة في قاعدة البيانات تلقائيًا في صفحات الويب التي تطلبها عند زيارتك إيّاها داخل المتصفّح.
5. مزامنة كلمات المرور بين مختلف أجهزتك من حواسيب وهواتف محمولة على امتداد مختلف أنظمة التشغيل التي تستعملها.

يتضمّن متصفّح فيرفكس بعض المزايا الأساسية لإدارة كلمات المرور. فهو مثلًا سيعرض عليك إنشاء كلمة مرور عشوائية قوية عند تسجيلك في مختلف مواقع الويب لأوّل مرّة تلقائيًا:

كما يدعم فيرفكس استخدام كلمة مرور رئيسية من إعداداته:

تصبح كلمات مرورك وإعداداتك متوفّرة على مختلف الأجهزة التي تستعملها عبر خدمة Firefox Sync الموجودة داخل المتصفّح.

هناك الكثير من برامج إدارة كلمات المرور المستقلة، ولكننا ننصح بالمفتوح المصدر منها فقط:

• Bitwarden: برنامج إدارة كلمات مرور يعمل على مختلف أنظمة التشغيل والهواتف المحمولة ويدعم المزامنة، كما يمتلك إضافاتٍ لمتصفّحيّ فيرفكس وكروم. يوفّر كامل شِفرتَه البرمجية على شكلٍ مفتوح المصدر.
• LessPass: إضافة لمتصفّحيّ فيرفكس وكروم، بالإضافة إلى تطبيق أندرويد وتطبيق من سطر الأوامر (CLI). تدعم المزايا الأساسية لإدارة كلمات المرور ويستخدمها الكثيرون.
• هناك الكثير غيرها لكنّ هذه أشهرها وأفضلها.

إننا ننصح بعدم تخزين كلمات المرور داخل المتصفّح وعدم الاعتماد على المتصفّح لإدارة كلمات المرور، بل استخدام أحد برامج إدارة كلمات المرور الشهيرة ثمّ تثبيت الإضافة الخاصّة به على متصفّح الويب ثمّ استعمالهما معًا. وهذا لأنّ متصفّحات الويب تفتقد الكثير من المميزات الأساسية المتعلّقة بإدارة وتأمين كلمات المرور، فيكون استخدام برامج مخصصة لذلك خيارًا أنسب.

إذًا دعنا نلخّص الآن طريقة تعاملنا مع بيانات تسجيل الدخول للمواقع المختلفة (اسم المستخدم وكلمة المرور):

• ستذهب إلى إعدادات متصفّحك وتلغي السماح بحفظ وتذكّر كلمات المرور داخل المتصفّح.
• ستثبّت برنامج إدارة كلمات مرور مثل Bitwarden وغيره على جهازك، وتستورد بياناتك من متصفّحك الحالي إليه ثم تحذف كامل بياناتك من متصفّحك. لن تتبقى أيّ بيانات تسجيل دخول محفوظة على متصفّحك بل ستُنقل كلّها إلى برنامج إدارة كلمات المرور.
• ستثبّت إضافة المتصفّح الخاصّة ببرنامج إدارة كلمات المرور ذاك على متصفّحك (Integration).
• ستقوم بإدخال كلمة مرور رئيسية (Master Password) في كلّ مرّة تفتح فيها المتصفّح، وهذا لإلغاء قفل حسابك وبياناتك.
• في كلّ مرّة تريد تسجيل الدخول إلى أحد مواقع الإنترنت (فيس بوك مثلًا) ستقوم بالضغط على أيقونة الإضافة واختيار اسم المستخدم وكلمة المرور الخاصّين بك، ثم تسجّل الدخول.
• عندما تريد التسجيل في مواقع جديدة فستستعمل ميّزة إنشاء كلمات المرور العشوائية الموجودة ضمن تلك الإضافة التابعة لبرنامج إدارة كلمات المرور بدلًا من أن تفكّر بها بنفسك.
• عليك كذلك تغيير كلمات مرورك القديمة إلى كلمات مرور عشوائية جديدة حتّى أنت لا تعرفها، ثمّ حفظها داخل برنامج إدارة كلمات المرور. (يستثنى من ذلك بريدك الإلكتروني الرئيسي، عليك دومًا أن تعرف ما هي كلمة مرور بريدك الإلكتروني وهذا لتتمكن من استرجاع بقية حساباتك المربوطة به في حال حصلت مشكلة).

أنا الآن مثلًا لا أعرف ما هي كلمة المرور الخاصّة بي على فيس بوك أو تويتر، لكن هذه ليست مشكلة لأنّها مخزّنة داخل برنامج إدارة كلمات المرور وأنا أحفظ كلمة المرور الرئيسية لذاك البرنامج، وبالتالي يمكنني جلب كلمة المرور التي أريدها في أيّ وقت. حتّى لو حذفت متصفّحي أو انتقلت إلى نظام تشغيلٍ آخر فكلّ ما عليّ فعله هو تثبيت إضافة متصفّح برنامج إدارة كلمات المرور، وبعدها ستصبح كامل بيانات تسجيل الدخول الخاصّة بي لكلّ المواقع جاهزة للاستخدام.

انظر مثلًا إلى برنامج Bitwarden (مفتوح المصدر)، بمجرّد تثبيتي لإضافته على متصفّح الويب الخاصّ بي وبمجرّد زيارة أحد مواقع الويب التي أمتلك حسابًا عليها فسيعرض عليّ إمكانية تسجيل الدخول بحسابي ذاك بنقرة زرّ واحدة (يمكن كذلك نسخ اسم المستخدم وكلمة المرور وعرضهما بصورة منفصلة):

يمكنك كذلك تثبيت برامج إدارة كلمات المرور تلك على الهواتف المحمولة (أندرويد وiOS) لاستعمالها، حيث ستنسخ كلمة المرور من البرنامج وتلصقها في مربّع الإدخال داخل المتصفّح في كلّ مرّة تريد فتح أحد حساباتك عليها.

متابعات عمليات اختراق البيانات وتغيير كلمات مرورك

تحصل الكثير من عمليات اختراق المنصّات الإلكترونية ومواقع الويب كلّ شهر، ومن الضروري أن تبقى على اطّلاعٍ لتعلم هل أنت مشمول بهذه الاختراقات أم لا، وهل سرّبت بياناتك ومعلوماتك معها أم لا.

إليك الخدمات التالية التي يمكنها أن تنبّهك عن ذلك:

• Firefox Monitor: فقط أدخل بريدك الإلكتروني وستخبرك الخدمة ما إذا كنتَ مشمولًا بأحد الاختراقات التي حصلت مسبقًا.
• Have I Been Pwned: خدمة أخرى مشابهة مفتوحة المصدر لفعل نفس الشيء.

الاستيثاق الثنائي

الاستيثاق الثنائي (2-Factor Authentication) هو عملية طلب المواقع الإلكترونية لوسيلة تحقق من هويّة المستخدم أكثر من مجرّد كلمة المرور؛ إمّا عبر شِفرة قصيرة تصله عبر رسالة نصّية (SMS) إلى رقم هاتفه المسجّل بالحساب، أو إلى بريده الإلكتروني أو وسيلة أخرى شبيهة. فيطلب منه موقع الويب تلك الوسيلة بعد أن يقوم بإدخال كلمة المرور الصحيحة، ولا يكتفي بكلمة المرور لفتح الحساب.

الاستيثاق الثنائي مفيد خصوصًا في التعاملات البنكية والمالية، وهذا لأنّك لا تريد لأحدهم تدمير حياتك فقط لأنّه امتلك كلمة المرور الخاصّة بك.

أشهر طريقة حالية للاستيثاق الثنائي هي عبر استخدام تطبيقات خاصّة بذلك على الهواتف المحمولة، حيث تقوم أوّلًا بإضافة الخدمات التي تستعملها إلى هذه التطبيقات، ثمّ عندما تريد تسجيل الدخول إليها، تقوم بإدخال رمز الأمان (Security Code) الظاهر على هذه التطبيقات والذي يتغير كلّ 30 ثانية إلى موقع الويب. هناك عدّة تطبيقات للاستيثاق الثنائي على الهواتف، أشهرها Google Authenticator ولكننا لا ننصح به بل ننصح بـFreeOTP وهذا لأنّ هذا الأخير مفتوح المصدر ومُطَوّر من طرف شرك ريدهات (Red Hat) المعروفة بتطوير البرمجيات المفتوحة المصدر للشركات.

لا تدعم كلّ مواقع الويب خاصّية الاستيثاق الثنائي، لكن تدعمها تلك الشهيرة منها مثل فيس بوك وتويتر وجوجل وكلّ التطبيقات المالية.

يمكنك الوصول إلى الميّزة من الإعدادات --> الأمان --> الاستيثاق الثنائي على تويتر مثلًا. سيطلب منك الموقع أن تمسح صورة الرمز عبر تطبيق الاستيثاق الخاصّ بك:

بعد أن تفعل ذلك، سيعطيك الموقع ما يُعرف برمز الاستعادة (Backup Code) ومن المهم جدًا أن تحتفظ به وألّا تنساه، لأنّه في حال سُرق منك هاتفك المحمول أو حُذف التطبيق بالخطأ فقد لا تتمكن من فتح حسابك مرةً أخرى من دونه:

ثم سيُضاف رمز الاستيثاق إلى التطبيق الخاصّ بك:

بخصوص رموز الاستعادة (Backup Codes) فإننا ننصح بطباعتها على ورقة ثمّ حذفها من الحاسوب بالكامل وعدم تخزينها في أي مكانٍ رقمي، وهذا لأنّه ستسمح باختراق حساباتك بمجرّد الوصول إليها ومن غير الآمن تخزينها رقميًا. هذا فضلًا عن أنك قد تحتاجها في حال السفر أو انقطاع الكهرباء.

ختاما

كلمات المرور هي الحاجز الأمني الأساسي الذي يمنع المتطفّلين من الولوج إلى حساباتك على مختلف المواقع والخدمات التي تستعملها، لذا لا تتردد بتاتًا بصرف القليل من وقتك وجهدك على تأمينها بصورة قوّية قبل أن تتابع روتينك اليومي من الاستعمال. فيكفي أن يُخترق حسابٌ واحدٌ من الحسابات الأساسية التي تستعملها لتجد نفسك في الكثير من وجع الرأس بل وعرضةً لفقد المال والملفّات والبيانات المهمّة.

اقرأ أيضًا

• المقال التالي: تأمين متصفحات الويب في العالم الرقمي
• المقال السابق: التشفير واستعمالاته في العالم الرقمي
• النسخة الكاملة من كتاب دليل الأمان الرقمي