إنشاء و إدارة كلمات سرٍّ قويّة

مُحدَّث في11 November 2021

الفهرس

…يجري تحميل الفهرس…

    كلمات السرِّ هامّة للغاية لحفظ بياناتكم و هوياتكم آمنة. و المهاجمين يعلمون هذا بالطبع، لذا فهم يتحايلون بأساليب مختلفة لمعرفة كلمات سرّكم.

    But you can defend against those tricks by applying a few important tools and tactics. The most effective strategy is to make passwords that are LONG, RANDOM, and UNIQUE. To do this reliably, you will need to use a secure password manager. It is also important to set up multi-factor authentication whenever possible.

    معرفة ما إنْ كانت كلمات سرّكم انكشفت

    • ابحثوا في موقع "Have I Been Pwned" بعناوين بريدكم التي تستخدمونها في فتح الحسابات في المواقع و الخدمات لتعرفوا ما إذا كان أحد تلك الحسابات قد تسرّبت معلومات منه.
      • بدّلوا فورًا كلمات سرّ الحسابات التي تظهر لكم في نتيجة البحث، متّبعين الإرشادات التالية لتنصيب و استعمال مدير لكلمات السرّ.
    • و حتّى إذا لم يظهر أيّ من حساباتكم في نتائج البحث، فيُستحسن أنْ تتّبعوا الإرشادات التالية، لأنّ اختراقات الحسابات لا تعُرف كلّها فورًا، إنْ عُرِفَت.
    المزيد عن توصيتنا هذه

    يبحث المهاجمون عن كلمات سرّ الحسابات التي تسرّبت معلوماتها مِنْ قَبْل، ثم يُجرّبون الولوج بها إلى حساباتكم في خدمات أخرى حتّى يفلحون. لذا فاستخدام كلمة السرّ نفسها مع أكثر من حساب خطير للغاية. انظروا في Have I Been Pwned لتروا ما إذا كانت كلمات سرّكم موجودة في أيٍّ من القوائم التي يستعملها المهاجمون.

    تفادي توليفات كلمات السرّ الضعيفة و الشائعة

    هذه هي الطرق الأكثر شيوعًا بين المهاجمين لمعرفة كلمات سرّكم:

    1. بالتخمين:
      • باستخدام بياناتكم الشخصية مثل التواريخ الهامة و الأسماء و الاقتباسات و عناوين الأغاني أو أسماء المؤلفين المعروف ولعكم بها
      • باستخدام مُعجم
      • بإحداث تغييرات طفيفة في كلمات سرّ سبق لكم استخدامها
      • باستخدام برمجيات تجري كُلَّ التوافيق و التباديل الممكنة لكلمة السرّ
    2. و لفعل ذلك فهم يسعون إلى معرفة:
      • المواضع التي تضعون فيها كلمات سرّكم (مثل قصاصات الملاحظات على المكتب)
      • ضربات المفاتيح عندما تدخلون كلمات السرّ
      • كلمات السرّ التي سبق و انكشفت و متاحة على الإنترنت
    3. كما يسعون إلى التحايل عليكم لدفعكم إلى:
      • تنصيب برمجية خبيثة تسجّل كلمات سرّكم و ترسلها إليهم
      • إدخال كلمات سرّكم في صفحات ولوجٍ مزيّفة بطريق التصيُّد
      • الإفصاح عن كلمات سرّكم بانتحالهم صفة عاملي الدعم الفني في خدمة ما أو انتحال هوية بعض معارفكم (المعروف باسم الهندسة الاجتماعية)
    4. و يستغلون الثغرات:
      • لاختراق مواقع الوِب التي تستعملون لها كلمات السرّ
      • لسرقة كلمات سرّكم إنْ كانت محفوظة في المتصفّح
      • لسرقة كلمات سرّكم من التطبيقات في هواتفكم

    اتّبعوا الإرشادات التالية لحماية أنفسكم من تلك الهجمات:

    • استعملوا دومًا للولوج إلى حساباتكم نبيطة نظيفة مُحدَّثة محمية تثقون بها، و كذلك عند النفاذ إلى بياناتكم الحسّاسة.

    • انتبهوا إلى أن الممارسات التالية وحدها لا تزيد أمان كلمات السرّ:

      • استخدام كلمات أو أرقام ذات علاقة بكم أو بالأشخاص و المنظّمات ذات الصلة بكم، مثل:
        • أسماء الناس و الحيوانات الأليفة و المنظّمات
        • تواريخ الميلاد و المناسبات الشخصية الهامة و العطلات
        • أرقام الهواتف و العناوين
        • كُلُّ ما تمكن معرفته عن الشخص بالبحث و مِنْ المحيطين به
      • استخدام العبارات الشائعة، مثل الاقتباسات و أبيات الشعر و الأغاني.
      • استبدال بعض المحارف بأخرى مشابهة، مثل استبدال حرف a بالرمز @، إلخ.
      • زيادة علامات التعجّب و الأرقام وعلامات الترقيم إلى آخر الكلمة
      • ابتداء كل كلمة بحرف لاتيني كبير
      • استخدام كلمات مفردة من الواردة في معجم
      • تغيير كلمات السّر دوريًّا

    اتّبعوا الإرشادات التالية لحماية أنفسكم من تلك الهجمات:

    استخدام مدير لكلمات السرّ

    • نزّلوا KeePassXC (لنظام لينُكس أو وِندوز أو ماك) أو KeePassDX (لأندرويد) أو StrongBox (أو iOS).
    • لا تعيدوا أبدًا استخدام كلمات السرّ.
    • اجعلوا مدير كلمات السرّ يولّد لكم كلمة سرّ طويلة عشوائية فريدة و يحفظها، لكلٍّ من حساباتكم.
    • قد ترغبون في إعداد مدير كلمة السرّ مع زملائكم، بوسعكم مساعدة بعضكم بعضًا.
      • كما قد ترغبون كذلك في الإلمام بصيرورة التشارك في كلمات السرّ بأمان. علمًا بأن الأفضل دومًا إنشاء حسابات مختلفة للمستخدمين المختلفين طالما كان ذلك ممكنًا.
    • طالعوا [دليلينا] عن KeePassXC و  KeePassDX.
    • إذا رغبتم في مدير لكلمات السرّ على الوِب، فطالعوا القسم التالي.
    المزيد عن توصيتنا هذه

    ليس لأي منّا القدرة على تأليف ما يكفي من كلمات السرِّ الطويلة العشوائية الفريدة لزوم حفظ أمان نبائطتنا و حساباتنا. مدير كلمات السرّ برمجية تُولِّد كلمات السرِّ وتحفظها محميّةً بالتعمية.

    و نحن نزّكي لكم KeePassXCو KeePassDX و StrongBox. و كلّها تطبيقات يمكن استخدامها مجّانا، و شهد خبراء متخصّصون بكونها آمنة،كما أنّ تطويرها متواصل. و هي تحفظ كلمات السرّ لكم في ملف على نبيطتكم لا يوضع على الإنترنت، ما يعني قدرتكم على التحّكم في موضع حفظ بياناتكم و كيفية إدارتها.

    حفظ نسخة احتياطية من محفظة كلمات السرّ

    المزيد عن توصيتنا هذه

    فقدُ كلمة سرٍّ قد تكون له تَبِعات مزعجة أو حتّى كارثيّة، منها انقطاع تواصلكم مع معارفكم أو ضياع بياناتكم أو أموالكم، لذا من المهم المواظبة على حفظ نسخة احتياطية من محفظة كلمات السرّ دوريًّا.

    تذكُّر كلمات سرّ قوية قليلة

    • يمكنكم باستخدام أسلوب النّرد توليد كلمات سرٍّ قوية لمدير كلمات السرٍّ و كلمات السِّر الأخرى التي يتوجّب عليكم حفظها (مثل كلمة السرِّ التي تفتح محفظة كلمات السِّر، أو تلِجون بها إلى نبيطتكم):
      • جهّزوا قائمة مُرقَّمة من الكلمات و قِطَع نَرد.
      • دحرجوا النَّرد خمس مرات للحصول على رقم عشوائي من خمس منازل (مثلا: 6 و 2 و 5 و 1 و 1).
      • استخرجوا الكلمات المقابلة للأرقام مما في القائمة.
      • كرّروا هذا خمس مرّات، ثم استخدموا الكلمات التي حصلتم عليها "عبارةَ سرٍّ" لحساب واحد.
        • لا تستخدموا كلمة السرِّ هذه لأي غرض آخر.
      • ثم اصنعوا صورة عقلية باستخدام هذه الكلمات لكي تساعدكم على تذّكرها
    • و تدرّبوا على إدخال كلمات السرّ تلك دوريًّا، يوميًّا ابتداءً، ثم أسبوعيًّا بعد ذلك. التكرار يساعد على ترسيخ كلمات السرّ في الذهن.
    المزيد عن توصيتنا هذه

    ستوجد دومًا بضعة كلمات سرٍّ يتوجّب عليكم تذكُّرها، بما فيها كلمة سرِّ محفظة مدير كلمات السرّ. توجد استراتيجيات تعين على إنشاء كلمات سرٍّ سهلة التذكُّر صعبة التخمين، حتى على مهاجم ذكي لديه برمجيات لفلِّ كلمات السرّ.

    كلمات السرِّ و أكواد الولوج الاحتياطية الواجب حفظها خارج محفظة كلمات السرِّ

    • إذا تعيّنت عليكم كتابة كلمات السرِّ على ورقة فيجب حفظها في مكان آمن موصد، مثل خزانة أو أدراج.
      • من المهم ألا تكون كلمة السرّ ظاهرة للعيان، و ألا يسُهلَ العثور عليها.
      • لا تحفظوا كلمات السرّ في محفظتكم أبدًا.
    • أتلفوا الأوراق التي تحوي كلمات سرٍّ أو أكواد الولوج الاحتياطية فور انتفاء حاجتكم إليها.
    • كما يمكن حفظ كلمات السرِّ تلك على نبيطة أخرى، و إخفاؤها بين ملاحظات أخرى بلا عنوان و لا وصف.
    المزيد عن توصيتنا هذه

    كلمات السرِّ الطويلة يمكن أن يكون من الصعب تذكُّرها. الكلمات التي لا يمكن حفظها في محفظة مدير كلمات السر (مثل كلمة سرّ الولوج إلى النبيطة) قد تضطرون إلى كتابتها و حفظها بقفل ماديٍّ.

    استعمال مدير لكلمات السّر على الوِب

    • تجنّبوا حفظ كلمات السرّ شديدة الحساسية فيه (كالتي تخصّ الحسابات المالية أو مسوّغات الولوج إلى الحسابات التي تُستخدم لاسترجاع حسابات أخرى).
    • تنبغي حماية محفظة كلمات السرّ على الإنترنت بأسلوب الاستيثاق بمعاملين.
    • نزّكي لكم Bitwarden مديرًا لكلمات السِّر على الإنترنت.
    المزيد عن توصيتنا هذه

    تطبيقات إدارة كلمات السرِّ التي تزامن تلقائيًّا النبائطَ المختلفة المتّصلة بها قد تكون أيسر في الاستخدام، فهي تحفظ كلمات السرّ في محفظّة مركزية معمّاة على الخادوم، إلّا أن استخدامها يشكّل خطرًا إضافيًا يمكن للمهاجم استغلاله بتظهير المحفظة و استخراج كلمات السرّ منها دون علمك.

    نحن نزكّي KeePassXC و KeePassDX و StrongBox لأنها لا تحفظ كلمات السرّ في أي موضع على الإنترنت. إذا فضّلت استعمال مدير كلمات سرٍّ على الإنترنت فإنًنا نوصي باتّباع الخطوات التالية لحماية كلمات سرّكم.

    مشاركة كلمات السِّر

    • تجنّبوا مشاركة كلمات السِّر ما أمكنكم ذلك:
      • إذا اضطررتم إلى مشاركة كلمة سرٍّ مع آخرين فاعمدوا قبل مشاركتها إلى استبدالها بأخرى مؤقتّة، ثمّ استبدلوا تلك المؤقتة مجدّدًا بكلمة آمنة عقَب انتفاء الحاجة إلى مشاركتها.
      • تفّكروا كذلك في إنشاء حسابات منفصلة لكل شخص يلزمه النفاذ إلى المعلومات و الوظائف، كثير من الخدمات تتيح ذلك، كما يمكن أحيانا تحديد الأفعال التي يمكن لتلك الحسابات فعلها، و المعلومات التي يمكنهم النفاذ إليها. طالعوا إعدادات الأمان الأساسية لأندرويد و iOSو لينُكس و ماك و وِندوز لتفاصيل كيفية فعل ذلك.
      • يمكنكم ضبط مدير كلمات السر الذي تستخدمونه بحيث يمكن استخدامه بالتشارك بين زملاء. يتيح KeePassXC ذلك.
    المزيد عن توصيتنا هذه

    يمكن تشبيه مشاركة كلمة السرِّ مع شخص آخر بإعطائه نسخة من مفتاح بيتك، بل أخطر، لأن النفاذ إلى نبائطك و بياناتك يمكن أن يجري عن بُعد دون أن تلحظه و دون أن يترك أثرا. لذا ينبغي تقليل مساحة سطح التعرّض بتجنُّب مشاركة كلمات السِّر بقدر الإمكان.

    الإفصاح للآخرين عن كلمة السرِّ

    • افتح صفحة الخدمة أو التطبيق الذي تظنّ أنها أرسلت إليك الرسالة للتحقٌّق من ذلك الطلب.
    • إذا بدا أن الرسالة وردت من شخص ما ّّمن معارفكم أو من جهة ما تربطكم بها علاقة، فتواصلوا معهم عبر قناة اتّصال أخرى للتحقُّق من أنهم أرسلوها.
      • على سبيل المثال، إذا وصلتك الرسالة بالبريد الإلكتروني، فاطلبهم بمكالمة صوتية.
      • تجنّبوا اتّباع الروابط الواردة في رسالة البريد الإلكتروني، و كذلك إرسال ردٍّ.
    • انتبهوا لمحاولات بعض الرسائل إخافتكم، أو إثارة فضولكم أو إيهامكم بوجود فرصة ستضيع ما لم تستجيبوا بسرعة. تريّثوا و فكِّروا في كيفية التحقُّق من صحة الرسالة.
    المزيد عن توصيتنا هذه

    ينتحل المهاجمون هويّات أخرى، مثل موظّفي الدعم التقني في البنك، لإقناع ضحاياهم بالإفصاح عن بيانات حسّاسة. كما إنّهم يتلاعبون عاطفيًّا بضحاياهم لأجل ذلك.

    إذا تلقيّتم مكالمة أو رسالة بريد إلكتروني أو رسالة قصيرة تطلب كلمة سرٍّ أو بيانات حسّاسة أخرى، أو إذا أوصلكم رابط إلى صفحة تطلب معلومات كهذه، فهي على الأرجح محاولة تصيُّد.

    تغيير كلمة السِّر

    Change your password immediately when:

    • it appears your account, devices, or colleagues and people around you have been victims of a breach.
    • you get a credible warning from the services you use that there was an attempt to log in from an unauthorised device or location.
      • Look for news reports about breaches.
      • If you receive an email or alert, double-check on the service provider's own website that they sent the alert.
    • you entered your password on an untrusted, shared, or public device (it might have malicious code installed).
    • you are concerned that someone watched you type your password.

    اعملوا على تقليل الضرر بتنبيه الآخرين الذين قد يكونون معرّضين للخطر.

    طالعوا أدلّتنا في شأن الشبكات الاجتماعية و أساسيّات أنْدرُيد و iOS, لينُكس و ماك, و وِندوز لإرشادات بشأن كيفية تغيير كلمات سرّ النبائط.

    المزيد عن توصيتنا هذه

    بيّنت الأبحاث أن تغيير كلمات السرِّ دوريًا لا تزيد الأمان بالضرورة. فعندما يُفرض على الناس تغيير كلمات السرِّ كثيرًا فإنهم عادة ما يُجرون تغييرات طفيفة على تلك المستعملة حاليا، عوضًا عن تأليف كلمات سرٍّ مختلفة كُليًّا. طالعوا المزيد عن نتائج تلك الأبحاث.

    من المهم تغيير كلمة السرِّ عند وقوع اختراق لدى مُقدِّم خدمة نستخدمها، و لأنّ أخبار الاحتراقات لا تصلنا دومًا فور وقوعها فإنّنا ننصح بتغيير كلمات السرّ سنويًّا أو كلَّ بضعة أشهر، أو فور وصول أخبار بوقوع اختراق.

    ملاحظة المحيط

    • إذا كنت في مكان عام و أردت إدخال كلمة سرّك فانتبه لما إذا كنت مُراقبًا أو يوجد من يصوِّرك.
    • انتبه لوجود مَنْ يراقب لوحة مفاتيحك أو هاتفك أثناء إدخالك كلمة السرّ.
    • استخدم شاشة حافظة للخصوصية لتصعيب مراقبة مايظهر على شاشة نبيطتك.
    المزيد عن توصيتنا هذه

    يمكن للمهاجمين مراقبتك و تسجيل أفعالك أثناء إدخالك كلمة السرِّ، فلقد حدث أنْ صودر تلفون إحدى الناشطات بذريعة غير قانونية، و بالرغم من أنها رفضت الإفصاح للمحققين عن كلمة سرّ التلفون، إلا أنهم تمكّنوا من فتحه و الاطلاع على بياناتها الشخصية، فلقد كانوا قد لاحظوا وجود كاميرا للمراقبة في مصعد المبنى الذي تسكنه و وجدوا فيدوات تُظهرها و هي تُدخل كلمة سرّها أثناء وجودها في المصعد.

    استخدام وظيفة الاستيثاق بمعاملين

    • طالعوا الخدمات التي تتيح وظيفة الاستيثاق بمعاملين.
    • من المهم تفعيل وظيفة الاستيثاق بمعاملين ﻷجل:
      • الحسابات البنكية و تطبيقات الأموال
      • حسابات البريد الإلكتروني و الشبكات الاجتماعية و غيرها مما يُستخدم في استرجاع التحكم في حسابات أخرى
    • خيارات الاستيثاق بمعاملين قد تشمل:
      • باستخدام تطبيق استيثاق مثل Google Authenticator أو Okta أو Duo.نحنّ نزكّي تطبيق Aegis على أندرويد و Raivo OTP على iOS.
        • عند استخدام هذا الخيار فمن المهم حماية هاتفك أو النبيطة المنصّب عليها تطبيق الاستيثاق من البرمجيات الخبيثة.
      • استخدام نبيطة عتادية للاستيثاق، مثل مفاتيح USB التي توصل بالنبيطة الحاسوبية لحظة الاستيثاق أو تستخدم بطريق الاتصال المجالي القريب NFC.
        • من أمثلة تلك النبائط Yobikey و Nitrokey و Google Titan Key و Thetis Key
        • قد يتعذّر استعمال نبائط الاستيثاق العتادية مع هاتف محمول إلا إن كان كليهما يدعمان NFC.
    • يمكن استعمال تطبيق استيثاق واحد أو نبيطة استيثاق واحدة لعدة خدمات، أو ضبط كل خدمة بوسيلة مختلفة للاستيثاق بخطوتين.
    • وظيفة الاستيثاق بمعاملين بطريق تطبيقات TOTP أو النبائط العتادية لا تتطلب اتّصالا بالإنترنت، أما بطريق البريد الإلكتروني فتتطلب اتصالا.
    • بترتيب وسائل الاستيثاق بمعاملين حسب الأمان، فإن تطبيقات الاستيثاق و النبائط العتادية هي الآمن، يليها البريد الإلكتروني ثم الرسائل التلفونية القصيرة SMS. مع ملاحظة أن الرسائل القصيرة قد لا تصل في حال كونكم خارج بلد إقامتكم.
      • رسائل SMS ليست مُعمّاة و يمكن للمهاجمين التقاطها لسرقة أكواد TOP.
    • بتفعيل وظيفة الاستيثاق بمعاملين في حساب، فسيُطلب منك عند الولوج إلى الحساب برهان لإثبات هويتك، إضافة إلى مسوّغات الولوج المعتادة من اسم مستخدم و كلمة سرٍّ، و ذلك بطريق وصل نبيطة الاسيتثاق أو بإدخال رمز من تطبيق الاستيثاق، أو رمز تلقيته في رسالة.
    • لا تُعطِّلوا وظيفة الاستيثاق بمعاملين بعد تفعيلها. بعض الخدمات تتيح إيقافها مؤقتًا عند الحاجة، لكن تعطيلها نهائيا قد تكون له تبعات على أمانكم.
    المزيد عن توصيتنا هذه

    من الأفضل وجود عدَّة طبقات من الحماية للولوج إلى الحسابات، فإذا اختُرقِت الأولى صّدت الثانية هجوم المخترقين. الاستيثاق بعدة معاملات mFA أو الاستيثاق بمعاملين 2FA باستخدام نبيطة أخرى أو رسالة بريد يوجد طبقة الحماية الإضافية هذه. رسائل التلفون القصيرة SMS هي أقل تلك الوسائل أمانًا برغم استسهال الكثير من الناس لها.

    قد يبدو الاستيثاق بمعاملين عبئا زائدًا، لكن تذكّروا أن ما هو عبء قليل لكم هو عبء كبير على المهاجمين، و أنّ سرقة حساباتكم أو انتحال شخصياتكم أو مراقبة مراسلاتكم تشكِّل تباعته عبءًا أكبر على المدى الطويل.

    احفظوا رموز الأمان الاحتياطية لوظيفة الاستيثاق بمعاملين معزولة و آمنة

    • إذا اعطيتم رموزًا احتياطية أثناء تفعيل وظيفة الاستيثاق بمعاملين فاحفظوها في مدير كلمات السرِّ.
    • و يُستحسن إنشاء محفظة كلمات سرٍّ جديدة منفصلة لحفظ رموز الولوج.
    المزيد عن توصيتنا هذه

    معظم خدمات على الإنترنت ستعطيكم رموز ولوج احتياطية عند تفعيل وظيفة الاستيثاق بمعاملين لحساباتكم. تلك الرموز وسيلتكم للولوج إلى الحساب إذا حدث و فقدتم النبيطة التي تستعملونها للاستيثاق. تلك الأكواد لا تنتهي صلاحيتها، من المهم حفظها بحرص لأنّ كل من تقع في يديه و في حوزته كلمة السرّ سيكون بوسعه الولوج إلى الحساب.

    تجنّب البصمات و وظيفة التعرف على ملامح الوجه (البيومتريات)

    • إذا كانت نبيطتكم مضبوطة بحث تفتح ببصمات الأصابع أو بالتعرف على ملامح الوجه فغيّروها بحيث يتطلب الفتح كلمة سرٍّ بدلا من ذلك.
    • طالعوا إعدادات الأمان الأساسية لأندرويد و iOSو لينُكس و ماك و وِندوز لتفاصيل كيفية فعل ذلك.
    المزيد عن توصيتنا هذه

    الوسائل البيومترية للولوج قد تُسهِّل الولوج إلى نبائطكم و حساباتكم، إلا أنّها أقل أمانًا من الوسائل الأخرى، لأنّها على غير حال كلمات السرٍّ لا يُمكن تغييرها. الكثيرون منّا يُجبرون على إعطاء بياناتهم البيومترية في المطارات و الهيئات الحكومية و غيرها، مما يُشكِّل خطرًا بسبب احتمال استعمالها في الولوج إلى حساباتنا دون إذن منّا. كذلك، إذا تمكّن المهاجمون من تقييدكم أو إكراهكم فقد يسهل عليهم فتح نبائطكم أكثر مما إذا استعملتم كلمات السرِّ.

    وضع أسئلة استرجاع آمنة

    تطلب كثير من الخدمات على الوِب عند فتح الحسابات اختيار أو وضع "أسئلة أمان" ثم الإجابة عليها، و لتقليل احتمال أم يتمكّن أحد غير صاحب الحساب من تخمين تلك الأسئلة:

    • ضعوا إجابات مُختلقة غير حقيقية لتلك الأسئلة
    • يمكنكم كذلك وضع أكواد عشوائية فريدة من التي يولِّدها مدير كلمات السرِّ
    • احفظوا الأسئلة و إجاباتها المُختَلقة في مدير كلمات السِّر لكي لا تنسوها فتوصد حساباتكم.
    المزيد عن توصيتنا هذه

    Recovery questions are important to helping services verify your identity if they suspect someone else is trying to access your account. You use these answers to change your password in case you lose access to your account. Unfortunately, your answers to questions like "What town were you born in?" or "What is your pet's name?" can be easy to find online. By giving fake answers, you can make it harder for an attacker to hijack your account.

    مصادر أخرى