3. وضع كلمات سر قوية و حفظها

جدول المحتويات

...تحميل الفهرس...

    تتطلب كثير من الأساليب التقنية التي نعتمد عليها لزيادة أمان تقنيات المعلوماتية التي نستخدمها، من الولوج إلى حساباتنا على الحواسيب أو في مواضع الخدمات المختلفة، إلى تعمية البيانات السرية، تتطلب استخدام كلمة سرّ. كلمات السر أو عبارات السر تلك هي كل ما تتوقف عليه حماية المعلومات و هي ما يحول دون أن يحوزها من لا نرغب. لذا فكثير من أساليب الاختراق يكون محورها هو معرفة كمات السرّ؛ و تتراوح ما بين تخمينها، إلى خداعك لإدخالها في المكان غير المناسب، إلى التجسس عليك أثناء إدخالها، وصولا إلى تهديدك لإجبارك على الإفصاح عنها.

    سيناريو تطبيقي

    منصور و ماجدة شقيقان من بلد عربي لديهما مدونة ينشران فيها -دون إفصاح عن هويتهما- عن انتهاكات حقوق الإنسان و يحرضان على التغيير السياسي. حاولت ماجدة مؤخرا أن تَلِج إلى حسابها البريدي على الوب فاكتشفت أن كلمة سرها قد تغيَّرت. بعد أن صَفَّرت كلمة السِّرِ باتباع الإجراء الذي حدده مقدم الخدمة كان بوسعها الولوج مجددا إلى الحساب إلا أنها لاحظت أن عددا من الرسائل التي لم تكن قد رأتها من قبل مؤشر عليها أنها قُرِِئَت. لذا فهي تَشُكُّ الآن في أن أحدا قد كشف كلمة سرها و استخدمها لاختراق حسابها بدوافع أمنية سياسية، و لأنها تستخدم كلمة السِّر ذاتها لحساباتها في مواقع و خدمات عديدة، فقد رأت أن تتحدث في الموضوع مع منصور الذي يقل عنها خبرة في مسائل الحواسيب لتوضح له الأمر و تتناقش معه في مخاوفها.

    ما يتناوله هذا الفصل

    • مقومات كلمة السر القوية
    • حيل تساعد على تذكر كلمات سر معقدة
    • كيفية استخدام خزانة كلمات السر الآمنة كي‌باس لحفظ كلمات السر بدلا من حفظها

    تأليف كلمات السر القوية و الحفاظ عليها

    عندما نرغب في حماية شيئ منقول فإننا نقفله بمفتاح. المنازل و الخزانات و الدراجات و السيارات كلها لها مفاتيح و أقفال. للملفات مفاتيح تعمية بطاقات الصراف الآلي لها أرقام تعريف شخصية و لحسابات البريد كلمات سرّ. كل تلك المفاتيح، سواء كانت مادية أو رقمية، تشترك في أنها تفتح أقفالها سواء بيدك أو بيد غيرك. في مجال الحمية الرقمية يمكنك أن تعمي ملفاتك و تضع كلمات سر على الولوج إلى الحسابات، لكن إن انكشفت كلمة السر لغيرك، سواء لأنها ضعيفة أو سهلة التخمين فلن تكون لها فائدة.

    مقومات كلمة السر القوية المفيدة

    باختصار، ينبغي أن تكون كلمة السر عسيرة على التخمين حتى على من يعرفونك شخصيا، و أن يتطلب استنتاجها حاسوبيا فترة طويلة. لاحظ أنه لو كان لدى مهاجم وقت كاف و قدرات حاسوبية كافية فالمسألة تتلخص في كونها مسألة وقت قبل أن يتمكن من كسر المفتاح أو استنتاج كلمة السر بتجربة كل التباديل المتاحة. المطلوب هو تصعيب ذلك بقدر الإمكان بما يتلاءم مع قدر سرية البيانات و مدى عزم المهاجم على نيلها.

    • كلما طالت كان أفضل. بزيادة طول كلمة السر يزيد أسيًّا عدد التوافيق المطلوب من برمجية المهاجم تجربتها. طول كلمة السر يحدده عدد خانات المحارف المستخدمة فيها. عموما ينبغي أن لا يقل طول كلمة السر عن ثمانية محارف، و ضعف ذلك لكلمات مفاتيح التعمية (المزيد عن تعمية الملفات في فصل حماية البيانات الحساسة في الحاسوب). كثيرون يضعون كلمات سرٍّ تتألف من أكثر من كلمة بينها مسافات أو لا، و هذه تسمى عبارات السرِّ، و هي محبذة ما دامت الخدمة أو البرمجية تتقبلها.
    • كلما تعقدت كان أفضل. إضافة إلى الطول فإن التعقيد يزيد من صعوبة هجومات القوة الغاشمة التي تُستخدم فيها الحواسيب - التي لا تكلُّ و لا تملُّ - في محاولة اكتشاف التوفيقة الصحيحة من المحارف التي تتألف منها كلمة السر. ينبغي بقدر الإمكان أن تتألف كلمة السر من أحرف، و أرقام و علامات ترقيم و رموز. باختصار استخدم كل الرموز المتاح إدخالها من لوحة المفاتيح، و تذكر أن الأبجدية اللاتينية بها شكلان من كل حرف، كبير و صغير، كما يمكن استخدام المحارف العربية إلى جانب اللاتينية ما دام النظام يسمح، و ما دُمت متيقنا من أنه سيكون بوسعك إدخالها كلما احتجتها (ضع في الحسبان اختلاف لوحات المفاتيح في البلدان المختلفة). كثير من التطبيقات التي تعتمد كلمة السر و كذلك الخدمات على الإنترنت التي تتطلب وضع كلمات سر تكون بها مؤشرات لقياس مدى قوة كلمة السر التي تدخلها عندما تفتح الحساب أو تستبدل كلمة السر العتيقة بأخرى جديدة. استرشد بتلك المؤشرات إضافة إلى ما سبق.
    • أن تكون عملية. “العملانية” معيار نسبي يختلف من شخص لآخر. لكنك إن احتجت إلى كتابة كلمة السر في ورقة لأنك لا تستطيع تذكُّرها فإن ذلك قد يقلل كثيرا من درجة الأمان و يفتح الباب لتهديدات جديدة يمكن أن يستغلها كل من يستطيع أن ينفذ إلى مكتبك أو محفظتك أو حتى سلة المهملات. قسم تذكر و حفظ كلمات السر يحوي نصائح قد تساعدك. إن ظلت تلك الأساليب صعبة عليك فلربما أمكنك استخدام خِزانة كلمات سرٍّ مثل كي‌باس. لاحظ أن أنواع الملفات الأخرى لا يمكن الاعتماد عليها في غرض حفظ كلمات السر، حتى لو كانت الملفات محمية بكلمات سر، مثل وثائق ميكروسوفت ورد و إكسل، لأن التعمية المستخدمة فيها ضعيفة و توجد على الإنترنت أدوات يمكنها كسر كلمات سر كثيرٍ منها في ثوان.
    • أن تكون غير شخصية. يجب ألا تكون كلمة السر من المعلومات الشخصية المرتبطة بك، سواء بهويتك الحقيقية أو بالهويات الرقمية التي تستخدمها. فلا تضع كلمات سر تتألف كلها أو جزءا منها من بيانات كاسمك أو اسم زوجتك أو صديقك المقرب، و لا رقم بطاقة هويتك المدنية، و لا رقم هاتفك، و لا اسم ابنتك و لا تاريخ ميلاد ابنك، و لا حتى اسم حيوان كقطتك أو كلبك؛ فكل هذه المعلومات يمكن معرفتها و جمعها بقليل من البحث.
    • أن تكون سرية. ربما كان بديهيا وجوب كون كلمة السر سرية، إلا أن الواقع أن كثيرين يُشركون آخرين في كلمات سرِّهم، لأغراض عديدة مثل مساعدتهم على أداء الأعمال، أو حل المشكلات التقنية، أو مساعدتهم في الحصول على بيانات تهمهم. الأفضل أن تبحث عن وسائل أخرى لمشاركة الآخرين في المعلومات التي تهمهم، و إن اضطررت للإفصاح عن كلمة السر لأحدٍ ليساعدك على حل مشكلة تقنية فينبغي عليك أن تغيِّرها قبل أن تعطيها له و أن تضع مكانها كلمة سر مؤقتة لا تستخدم فيها ذات التكنيكات العقلية التي تستخدمها في تأليف كلمات السرِّ الحقيقية ثم أن تغيِّرها مرة أخرى بعد أن تنتهي المسألة. ينبغي أن تفعل الشيء ذاته إن اخترت أن تدخل كلمة سر إحدى الخدمات على الإنترنت في خدمة أخرى تقترح عليك فعل ذلك لأجل استيراد بياناتك من الخدمة الأولى، و هو ما أصبح شائعا الآن في عديد من خدمات الشبكات الاجتماعية و غيرها التي تطلب الولوج إلى بريدك لجلب قائمة معارفك. و تذكّر أن مدير النظام أو مقدم الدَّعم التقني في أي شبكة أو خدمة، سواء على الإنترنت أو في المكتب أو الجامعة، لا يحتاج إلى معرفة كلمة سرّك ليساعدك في حل مشكلة أو أداء عمل. الحفاظ على سرية كلمة السر يتضمن كذلك الحذر ممن قد ينظر من وراء ظهرك أثناء إدخالها.
    • أن تكون فريدة. تجنب استخدام كلمة السر ذاتها لعديد من الحسابات، و إلا فإن من يكشفها سيسهل عليه النفاذ إلى قدر كبير من المعلومات السرية، أو تخريبها، أو حتى انتحال شخصيتك الرقمية. هذا مهم للغاية فيما يتعلق بحسابات البريد الإلكتروني، لأن خدمات عديدة تتيح إجراءات لاستعادة أو تصفير كلمة السر التي تخصها بطريق البريد. كما أن الأمر عموما هام لأن بعض الخدمات و التطبيقات لا تحمي كلمة السر بدرجة كافية، مما يسهِّل اكتشافها، و بالتالي استخدامها في النفاذ إلى حسابات أخرى. و للسبب ذاته فإن التبديل ما بين كلمتي سر أو ثلاثة و توزيعها على كل الحسابات غير محبَّذ.
    • أن تتغيّر باستمرار. من المهم تغيير كلمات السر دوريا، على الأقل مرة كل ثلاثة أشهر. بعض الأشخاص يرتبطون بكلمة السر و لا يغيرونها لسنوات طويلة؛ هذه عادة سيئة جدا؛ خصوصا في الحسابات التي تستخدم في العمل، لأنه كلما طال عمر كلمة السر زادت فرصة أن يكون آخرون قد اكتشفوها، و لو أن هذا حدث دون علمك فإنهم سيظلون قادرين على النفاذ إلى بياناتك دون علمك حتى تُغيِّر كلمة السر.

    منصور: ماذا إن كنت أثق في شخص؟ ألا يمكنني أن أخبره بكلمة سرّي؟

    ماجدة: كونك تثق في شخص ما لا يعني أن تثق بالضرورة في قدرته على الحفاظ على كلمة السر، أليس كذلك؟ و مع أني لن أتعمد أن أسيئ استغلال كلمة سرّك إن أعطيتنيها، إلا أني قد أكتبها في ورقة بهدف مساعدتك على أداء الغرض الذي من أجله أعطيتنيها! و الحقيقة أن هذا قد يكون هو سبب وقوعي في هذه المشكلة في المقام الأول. كما أن الموضوع لا يتعلق بالثقة، فإن كنت أنت الشخص الوحيد الذي يعرف كلمة السر فهذا يقطع سبيل الخلافات و تبادل اللوم إن حدث و انكشفت، و هو ما قد يَضُرُّ بالثقة في نهاية المطاف. فأنا الآن واثقة أن شخصا ما خمَّن أو كسر كلمة سرِّ حسابي البريدي، لأني متيقنة من أني لم أكتبها و لم أعطها لأحد.

    تَذكُّرُ و حفظ كلمات السِّر

    بمطالعة قائمة مقومات كلمات السر في القسم السابق قد تتعجب كيف يمكن لشخص ذو ذاكرة عادية، أو أقل من العادية، أن يحفظ في ذاكرته كلمات سرّ عديدة بهذا الطول و التعقيد تتغير باستمرار. النصائح التالية قد تساعد على تأليف كلمات سرٍّ قوية يصعب على الآخرين تخمينها و يتطلب جهدا أكبر لكسرها ببرمجيات القوة الغاشمة.

    تذَكُّر كلمات السر القوية

    توجد عدة طرق لتنويع الأحرف المدخلة في كلمة السر:

    • التنويع في أشكال الأحرف اللاتينية الكبيرة و الصغيرة بغير التزام بالقواعد الأصلية: “My naME is Not MR. MarSter”
    • استبدال أحرف بأرقام: “a11 w()RK 4nD N0 p14y”
    • استبدال أحرف برموز “c@t(heR1nthery3”
    • تضمين كلمات من لغات عدة: “Let Them yaklo 1e gateau au ch()colaT”
    • كتابة كلمات عربية بأحرف لاتينية: “al3arabi keda baye5 geddan”
    • كتابة كلمات عربية لكن بلوحة المفاتيح مضبوطة على اللاتينية: “Hf, [glf, uhdl ugn [kfi”
    • ، لكن لاحظ أن هذه الطريقة قد لا تعمل كما ينبغي عندما يختلف ترتيب لوحة المفاتيح ما بين وقت تأليف كلمة السر و وقت إدخالها للولوج، مثل الاختلاف بين لوحتي المفاتيح الفرنسية و الإنجليزية البريطانية و إنجليزية الولايات المتحدة

    يمكن بالطبع توظيف كل أو بعض تلك الأساليب في الوقت ذاته، و جميعها تساعد على زيادة درجة تعقيد كلمة السر و بالتالي تصعب كسرها. بالرغم من أن بعض استبدالات الأحرف الشهيرة، مثل استبدال o و 0 أو a و @ قد ضُمنت بالفعل في برمجيات كسر كلمات السر لشيوعها، إلا أنها لا تزال تفيد في زيادة مجال البحث و بالتالي تصعيب الاكتشاف و التخمين.

    يمكن كذلك توظيف أساليب التذكر لتحويل عبارات طويلة سهلة الحفظ إلى كلمات سر معقدة شبه عشوائية، مثلا:

    • “To be or not to be. That is the question” يمكن أن تصبح بعد التحويل “2Bon2BTitQ”
    • “We hold these truths to be self-evident: that all men are created equal” يمكن أن تتحول إلى “WhtT2bs-e:taMac=”
    • “Are you happy today?” يمكن أن تصبح “rU:-)2d@y?”

    الأسلوب الناجح هو الذي يُستخدم فيه كل ماسبق: أن تبدأ بعبارة أو مجموعة كلمات ذات دلالة خاصة لديك و بالتالي فإنك تحفظها جيدا، ثم أن تجري على أحرفها مجموعة من التحويلات وفق قواعد خاصة تبتكرها بنفسك لنفسك و لا يعلمها سواك. بهذه الطريقة سيكون بوسعك دوما إعادة إجراء العمليات التحويلية الخاصة خطوة خطوة انطلاقا من العبارة الأصلية وصولا إلى عبارة السِّر.

    تذكر أنه إذا قمت بإعطاء مجهود ولو بسيط لتقوية كلمة سرّك فإن النتيجة ستكون جيدة. إن إضافة حروف وأرقام ورموز يقوي كلمة سرّك ويجعلها غير قابلة للإختراق بسهولة. للإيضاح عن هذا الموضوع قمنا بإنشاء الجدول التالي لعرض الوقت الذي يحتاجه المخترق (الهاكر) لإختراق كلمات السر الموجودة في القائمة أدناه.

    كلمة سر بسيطةالوقت المطلوب للإختراق باستخدام حاسوب بسيطالوقت المطلوب للإختراق باستخدام حاسوب متطور
    bananasأقل من يومأقل من يوم
    bananalemonadeيومينأقل من يوم
    BananaLemonade3 شهور و14 يومأقل من يوم
    B4n4n4L3m0n4d3ثلاث قرون وأربع عصورشهر و 26 يوما
    We Have No Bananas19151466 قرن3990 قرن
    W3 H4v3 N0 B4n4n4520210213722742 قرن4210461192 قرن

    إن الوقت المتوقع لإختراق كلمات السر الموجودة في الجدول يعتمد على نوع الهجمات المتّبعة والأجهزة التي يستخدمها المخترق حيث يقوم المخترقون بتطوير أنواع الهجمات وتحسينها بشكل مستمر. كما أشرنا سابقا، إن الوقت المتوقع لإختراق كلمات السر يكون أطول كلما كانت كلمة السر أطول أو عند استخدام أرقام ورموز مختلفة، الجدول أعلاه يوضح هذه المسألة، حيث أنّه تم إنشاءه اعتمادا على حسابات من موقع باسفولت. إن باسفولت هو واحد من المواقع التي تسمح باختبار مدى قوة كلمة السر الخاصة بك. **ملاحظة**: إن الموقع موثوق ومفتوح المصدر، ولكن من الأفضل عدم استخدام كلمة سرك الشخصية عند تجربته.

    الحفظ الآمِن لكلمات السر

    مع أن تلك الطرق قد تساعد على تذكر عدد لا بأس به من كلمات السر، إلا التوصية المثالية بتغيير كلمات السر دوريا قد تستنفد حيلتك. لذا فبدلا عن هذا يمكنك استخدام أقوى شكل من أشكال كلمات السر، و هي الكلمات العشوائية المولدة آليا و بدلا من محاولة تذكرها أن تستعين بأداة تحفظها لك في خزانة خاصة لكلمات السر محمية بالتعمية القوية، مثل كي‌پاس المشروح استخدامه في دليل الأدوات.

    دليل عملي لاستخدام كي‌پاس

    إن استخدمت هذه الوسيلة فسيكون عليك أن تؤلف و تتذكر كلمة سرٍّ واحدة قوية لتحمي بها قاعدة البيانات التي تحوي كلمات السر العديدة الأخرى، سواء استخدمت كيباس (KeePass) أو أداة أخرى مثل Password Safe. و عندها فكلما احتجت لإدخال كلمة سر لحساب ما يمكنك استخراجها سريعا من الخزانة. كي‌پاس أداة محمولة، أي يمكن نسخها من و إلى شذرة ذاكرة مثل يو‌إس‌بي و استخدامها منها مباشرة دون حاجة إلى تنصيب على كل حاسوب، و هو مفيد عند السفر أو عند التنقل ما بين الحواسيب.

    هذا الأسلوب مفيد لمن لديه حسابات عديدة، إلا أن المأخذ عليه يتمثل في أنك إن فقدت قاعدة البيانات فقدت كل شيء، وسيكون عليك استرجاع كلمات السر من الخدمات ذاتها واحدة واحدة، إن كانت تتيح إجراء لعمل ذلك. لذا فحفظ نسخة احتياطية من قاعدة بيانات كلمات السر في موضع آمن أمر حيوي. لمزيد من المعلومات عن الحفظ الاحتياطي طالع فصل تدارك فقد البيانات، لكن لحسن الحظ فكون قاعدة بيانات كلمات السر معماة يعني أن سرقة شذرة الذاكرة أو ضياع وسيط يحوي نسخة منها ليس مما يثير الفزع أو يشكل تهديدا بالغا.

    المأخذ الثاني، و هو الأهم، أنك إن نسيت كلمة السر التي تحمي خزانة كلمات السر فلا توجد طريقة لاسترجاعها، و إلا ما نصحنا باستخدامها. لذا فاعمل على تأليف كلمة سر قوية يمكنك فعلا تذكرها وقت اللزوم.

    قد تكون هذه الطريقة ضعيفة في بعض المواقف وخصوصا عندما يطلب منك أحدهم بالقوة إعطاءه ملف خزانة كلمات السر الخاصة بك، عندها سيحصل هذا الشخص على جميع كلمات سرّك. في حال كان هذا أحد المواقف الممكن أن تتعرض لها فعليك حماية ملف خزانة كلمات السر بشكل جيد، قمنا بشرح موضوع حماية الملفات في الفصل 4: حفظ سرية البيانات الحساسة

    منصور: انتظري لحظة! بما أن كيباس يستخدم كلمة سرٍّ واحدة لحماية كلمات السر الأخرى العديدة، فكيف يكون هذا آمَن من استخدام كلمة سرٍّ واحدة لكل الحسابات و توفير الجهد؟

    ماجدة: تفكير جيِّد، و هذا يؤكد أهمية حماية كلمة السر الرئيسية، إلا أنه توجد عدة فروقات؛ فأولا، المهاجم لن يلزمه فقط معرفة كلمة السر، بل كذلك الحصول على ملف قاعدة بيانات كيباس ذاته، بينما إن كنت تستخدم كلمة سرٍ واحدة لكل حساباتك فعندها يكفيه معرفة كلمة السر. علاوة على أننا نضمَن قوة كيباس في حماية كلمة السر أكثر مما نضمن الخدمات و البرمجيات الأخرى التي تتطلب كلمات سر، فتصميمات بعضها ضعيفة حقا و قد وقعت مسبقا لبعضها اختراقات مُوثَّقة، و لا أظنك ترغب في أن يخترق أحدهم موقعا ما ثم يستخدم المعلومات التي حصل عليها منه في اختراق حسابات أخرى. كما أن تغيير كلمة سر كيباس يسِر للغاية.