• الرئيسية
• كلمات السرّ

إنشاء و إدارة كلمات سرٍّ قويّة

مُحدَّث في 28 March 2024

كلمات السرِّ هامّة للغاية لحفظ سرية البيانات و خصوصية الهويات آمنة. المهاجمون يعلمون هذا بالطبع، لذا فهم يتحايلون بأساليب مختلفة لكشف كلمات السرّ.

لكن بوسعك مقاومة حيلهم تلك بطريق استخدام أدوات و تكتيكات.

حماية كلمات السرّ

• ينبغي الحرص دوما على الولوج إلى حساباتك حصريا من نظم و نبائط مُحدَّثة محميّة موثوق بها، و كذلك عند إدارة معلوماتك الحسّاسة، بما فيها كلمات السرِّ. طالعوا دليلنا عن الهواتف و الحواسيب للمزيد عن تأمين النبائط و نظم التشغيل.
• يُستحسن استخدام مدير لكلمات السرّ. العقل البشري غير مؤهّل لتأليف كلمات سرٍّ طويلة عشوائية فريدة و لا لحفظها لأجل استخدامها مع الحسابات و النبائط. مُدير كلمات السرِّ تطبيق يولِّد كلمات السرِّ و يحفظها محمية بالتعمية. يضم دليلنا عن مديري كلمات السرّ المزيد عنها و استخدامها.
• استخدام الاستيثاق بعدّة عوامل، المعروف بالاختصار 2FA أو MFA يزيد طبقة من الحماية عند الاستيثاق، بحيث لا يمكن لغيرك الولوج إلى حساباتك حتّى بمعرفة كلمة السرّ بوسيلة ما،لأن الولوج يتطلّب عاملا إضافيّا غير كلمة السرّ. المزيد عن هذا في دليلنا عن الاستيثاق بعدّة معاملات.

طالعوا الأقسام التالية لمعرفة المزيد عن كيفية حماية كلمات السرّ و الحسابات من الهجمات الشائعة.

تأليف كلمات سرٍّ قويّة

ننصح بإنشاء كلمات السرِّ بالاستعانة بمدير كلمات سرٍّ غير متّصل بالإنترنت ثم تأليف كلمات سرٍّ قليلة طويلة تقدرون على تذكّرها لكن يصعب على غيركم تخمينها لحماية مخزن كلمات السرّ و النبيطة المخزّن فيها.

إذا كنت تفضّلين تأليف كلمات السرّ بنفسك فهاك الحد الأدنى من الخصائص اللازمة لتكون كلمة السرّ قوية:

• ضعوا كلمات سرٍّ طويلة — تتألّف من 12 محرفًا على الأقل، و يُستحسن 14.
• ضمّنوها أحرفًا و أرقامًا و علامات غيرها.
• الاستراتيجيات التالية لا تكفي وحدها لضمان قوّة كلمة السرّ، إلّا أنّها تزيد من قوة كلمة السرّ.
  • استبدال الأحرف برموز مشابهة لها في الكلمات المعتادة، على سبيل المثال، في كلمات اللغات المكتوبة بالأحرف اللاتينية يمكن استبدال الحرف "a" بالعلامة "@" و الحرف "E" بالعلامة "3". هذه الاستراتيجية عتيقة و معروفة لمن يحاولون تخمين كلمات السرّ.
  • إضافة علامات التعجّب و الأرقام و علامات الترقيم إلى آخر عبارة السرّ،و هي أيضًا استراتيجية معروفة يمكن لخوارزميات تخمين كلمات السرّ أخذها في الحسبان.
  • في اللغات المكتوبة بأحرف لكل منها عدّة أشكال (كبيرة و صغيرة مثلا) يمكن ابتداء كلّ كلمة في عبارة السرّ بحرف كبير، مع ملاحظة أنّها استراتيجية تأخذها خوارزميات تخمين كلمات السرّ في الحسبان.

تذكروا كذلك التوصيات التالية:

• لا تستخدموا كلمات مفردة موجودة في المعجم.
• لا تستخدموا العبارات الشائعة، مثل الاقتباسات أو كلمات الأغاني و أبيات الشعر.
• تجنّبي تضمين عبارات السرّ كلماتٍ أو أرقام ذات علاقة ببياناتك الشخصية أو بيانات المقربين منك أو زملائك، مثل:
  • أسماء الأشخاص و الحيوانات الأليفة و المنظّمات
  • تواريخ الميلاد و المناسبات الهامة الشخصية أو العامة
  • أرقام الهواتف و العناوين
  • كلُّ ما تُمكن معرفته بطريق البحث عنك أو عن المحيطين بك في السجلات العلنية، على الإنترنت أو غيرها.
• تغيير كلمات السرِّ دوريًّا غير ضروري، لكن توجد حالات يلزم عندها تغيير كلمة سرّ.

تذكُّر كلمات سرّ قوية قليلة

حتّى باستخدام مدير لكلمات السرّ فسيتوجّب عليك تذكّر كلمة السرّ التي تفتح مخزن كلمات السرّ الذي يحوي كلمات السرّ العديدة القوية للأغراض المختلفة.

• أسلوب النّرد يفيد في توليد كلمات سرّ قويّة يمكن تذكّرها:
  1. تلزمكم لهذا قائمة من الكلمات المُرمّزة و خمس نردات.
  2. ألق النّردات الخمس للحصول على رمز من خمسة أرقام، مثلا: 6 و 2 و 5 و 1 و 1.
  3. ثم استخرجي الكلمات المقابلة للأرقام مما في القائمة.
  4. كرّري هذا ستّ مرّات، ثم استخدم الكلمات المقابلة للرموز لتأليف عبارةَ سرٍّ.
     • لا تستخدمي كلمة السرِّ هذه لأيِّ غرض آخر.
  5. الخطوة التالية ابتداع صورة ذهنية من الكلمات التي حصلت عليها لتوليف عبارة سرّ الصورة تساعد على التذكُّرا.
  6. تدرّبوا على إدخال عبارة السرّ هذه دوريًّا، يوميًّا ابتداءً، ثم أسبوعيًّا بعد ذلك. التكرار يساعد على ترسيخ عبارة السرّ في الذهن.
• إنْ لم يكن لديك نرد فيمكن توليد كلمة سرٍّ باستخدام KeePassXC.
• أو يمكن عوض ذلك استخدام "أسلوب الكتاب":
  1. و ذلك بسحب كتاب عشوائيًا من الرفّ ليست له علاقة بنشاطك.
  2. ثم فتح صفحة في الكتاب عشوائيًا.
  3. ثم أغمضي عينيك و ضعي أصبعك على موضع ما عشوائي في الصفحة.
  4. كرّر ذلك ستّ مرّات للحصول على عبارة سرّ تتألّف من ستّ كلمات شبه عشوائية.
     • مع ملاحظة أنّ هذه الطريقة أقل أمانًا، بالذات إن كان الكتاب موجودًا في مقرّ عملك لأنّها تنتج عبارات سرٍّ أقل عشوائية. لكن إنْ لَمْ يكن بوسعك تنصيب تطبيق لتوليد كلمات السرّ فإنّ أسلوب الكتاب أو المجلّة يكون بديلا معقولا لتأليف عبارات سرّ طويلة يمكن تذكّرها.

مشاركة كلمات السِّر

• ينبغي تجنّب مشاركة كلمات السِّر ما أمكن ذلك:
  • لكن إن اضطررتم إلى مشاركة كلمة سرٍّ مع آخرين فاعمدوا قبل مشاركتها إلى استبدالها بأخرى مؤقتّة، ثمّ استبدلوا تلك المؤقتة مجدّدًا بكلمة آمنة عقَب انتفاء الحاجة إلى مشاركتها.
  • يُستحسن إنشاء حسابات مختلفة لكل شخص يحتاج إلى الولوج إلى الخدمة. كثير من الخدمات تتيح ذلك. يمكن تقييد الصلاحيّات الممنوحة لكل حساب و البيانات التي يسعه الاطلاع عليها بما يتناسب مع دور و احتياجات من يستخدمه.
  • إن لم يوجد مفرٌّ من التشارك في النبائط ففكّروا في إنشاء حساب مختلف في النبيطة لكل شخص. طالعوا توصيات الأمان لأندرويد و لينُكس و macOS و وِندوز لمعرفة كيفية فعل ذلك.
    • النظام iOS لا يدعم هذه الوظيفة إلا إن كنتم تستعملون iPad. طالعوا قسم التشارك في نبائط iPad لمعرفة كيفية فعل ذلك.
• إذا اضطررتم للتشارك في كلمات السرّ مع آخرين فيمكنكم ضبط KeePassXC لاستعماله تشاركيًّا.

معرفة ما إنْ كانت كلمات سرّك قد انكشفت

• ابحثوا في قاعدة البيانات the ';--have i been pwned? website لمعرفة إنْ كانت حساباتكم لدى أحد مقدّمي الخدمة على الإنترنت قد ظهرت في انتهاك ما للخصوصية أو هجمة سبرانية.
  • غيّروا فورًا كلّ كلمات سرّ حساباتكم التي تجدونها في قائمة الاختراقات المعروفة، متّبعين إرشادات استخدام مدير كلمات السرِّ.
• حتّى إذا لم يظهر أيّ من حساباتك في قائمة الاختراقات المعروفة فينبغي عليك اتّباع الإرشادات الواردة في هذا الدليل لأنّ كثيرًا من الاختراقات لا يشيع خبرها أبدًا أو قبل مرور زمن قد يمتد لسنوات.

أساليب كشف كلمات السرّ

فيما يلي الأساليب التي يشيع استخدامها بين المهاجمين لكشف كلمات السرّ:

1. بالتخمين:
   • بتجربة بياناتك الشخصية، مثل الأسماء و التواريخ، و كذلك الاقتباسات الشهيرة و كلمات الأغاني أو الكُتّاب المفضلين لدبك.
   • بتجربة كلّ الكلمات في المعجم
   • بإحداث تحويرات في كلمات السرّ المعروفة لهم التي سبق لك استعمالها
   • بتجربة كل التباديل الممكن للمحارف
2. و لفعل ذلك فهم يسعون إلى معرفة:
   • بالبحث في المواضع المادية التي قد تكونون قد كتبتم فيها كلمات السرّ مثل الكراسات أو الصبورة في مقرّ العمل أو ملصقات الملاحظات عند المكتب
   • بمراقبتك أثناء إدخالك كلمة السرّ
   • كلمات السرّ التي سبق انكشافها المتاحة على الإنترنت
3. كما يسعون إلى التحايل عليك لدفعك إلى:
   • بتنصيب برمجية خبيثة في نظامكم
   • بدفعك بطريق الخداع إلى إدخال كلمة السرّ في صفحة ولوج زائفة و هو ما يُعرَف بالتصيّد
   • بدفعك إلى الإفصاح عن كلمة سرّ أو غيرها من معلومات قد تفيد في استنتاج كلمة السرّ أو استرجاعها أو تغييرها، و ذلك بطريق انتحالهم صفة مقدّمي الدعم الفني أو مديري المواقع و الخدمات التي لك فيها حسابات، أو حتّى انتحال صفة زميل أو شخص معروف لك، و هو ما يُسمى بالهندسة الاجتماعية.
   • في دليلنا عن البرمجيات الخبيثة المزيد عن الحيل التي يتّبعها المهاجمون للتأثير النفسي أو العاطفيّ على من يستهدفون.
4. استغلال الثغرات:
   • اختراق موقع الوِب الذي يريدون النفاذ إلى معلوماتك فيه
   • استلاب كلمات السرّ المحفوظة في المتصفّح
   • استلاب كلمات السرّ من التطبيقات في النبيطة المحمولة

الإفصاح للآخرين عن كلمة السرِّ

• افتح صفحة الخدمة أو التطبيق الذي تظنّ أنها أرسلت إليك الرسالة للتحقٌّق من ذلك الطلب.
  • طالعوا دليلنا عن استخدام منصات التواصل الاجتماعي بأمان لمعرفة المزيد عن التنويهات التي يمكن أن ترسلها إليك الخدمات المختلفة.
• إذا بدا أنَّ الرسالة وردت من شخص من معارفك أو من جهة ما تربطك بها علاقة، فتواصلي معهم عبر قناة اتّصال أخرى للتحقُّق من أنهم أرسلوها.
  • على سبيل المثال، إذا وصلتك الرسالة بالبريد الإلكتروني، فاطلبهم بمكالمة صوتية.
  • تجنّبوا اتّباع الروابط الواردة في رسالة البريد الإلكتروني، و كذلك إرسال ردٍّ.
• لاحظوا أنّ الرسائل التي تسعى إلى إفزاعك و دفعك للتصرّف سريعًا أو توحي إليك بقرب ضياع فرصة للكسب هي على الأرجح محاولة تصيُّد. في هذه الحالات يجب التمهّل و التروّي و التفكير في كيفية التحقّق من صحّة الرسالة.

تغيير كلمة السِّر

أسرعوا إلى تغيير كلمات السرّ في الحالات التالية:

• عند اختراق حسابك أو نبيطتك أو تسرب معلوماتك الشخصية، و كذلك إذا وقع ذلك لأشخاص محيطين بكم.
• إذا أدخلت بالفعل كلمة السرّ أثناء استخدام نبيطة عمومية أو غير موثوق بها أو يستخدمها آخرون معك.
• إذا شككت في أنّ شخصًا كان يراقبك أثناء إدخالك كلمة السرّ

تنبيه الآخرين ممن يعملون معك أو المحيطين بك يساهم بشدّة في تقليل الخطر عليهم و عليكم جمعيًّا.

إذا تلقّيت إخطارات موثوق في مصدرها من خدمة تستخدمها فعليُّا تفيد حصول ولوج إلى حساباك لديها من مواضع غير موضعك الفعلي أو باستخدام نبائط لا تخصّكم. في هذه الحالة اتّبعوا الإرشادات التالية للوقوف على ما إذا كانت كلمة السرّ قد انكشفت:

• تابعوا أخبار الاختراقات الأمنية و تسريبات البيانات من المواقع و الخدمات التي تستخدمون.
• إذا تلقّيتم رسالة بريد أو تنويها بوسيلة أخرى، كالمحادثة الفورية أو رسالة SMS، فتبيّنوا من موقع مقدّم الخدمة للتأكد من أن الرسالة وردت منهم. تمهّلوا قبل اتّباع الروابط الواردة في الرسائل من هذا النوع.

لكيفية تغيير كلمات سرّ النبائط و نظم التشغيل طالعوا دليلنا عن شبكات التواصل الاجتماعي و إعدادات الأمان الأساسية لنظام التشغيل: أندرويد و iOS و لينُكش و macOS و وندوز.

ملاحظة المحيط و المراقبين

• إنْ كنت في فضاء عام و شرعت في إدخال كلمة السرّ فتنبغي عليك ملاحظة وجود من قد يراقبك خلف ظهرك.
• انتبه لوجود مَنْ يراقب لوحة مفاتيحك أو هاتفك أثناء إدخالك كلمة السرّ.
• استخدم شاشة حافظة للخصوصية لتصعيب مراقبة مايظهر على شاشة نبيطتك.

تجنّب البصمات و وظيفة التعرف على ملامح الوجه (البيومتريات)

• إذا كانت نبيطتك مضبوطة بحث تفتح ببصمات الأصابع أو بالتعرف على ملامح الوجه فغيّروها بحيث يتطلب الفتح كلمة سرٍّ بدلا من ذلك.
• كيفية فعل ذلك مبيّنة في إرشادات الأمان الأساسية لكل من أندرويد و iOS و لينُكس و macOS و Windows.

استخدام مفاتيح المرور (passkey)

تُزكّي بعض الخدمات على الإنترنت استخدام وسيلة استيثاق مبنية على بروتوكول WebAuthn/FIDO المعروف كذلك باسم "مفتاح المرور" (passkey) للنفاذ إلى الحسابات عوضًا عن كلمات السرّ.

تحمي مفاتيح المرور من تصيُّد كلمات السرّ، إلا أنّها في أحيان كثيرة تعتمد على البيانات البيومتريّة و التخزين السحابي و هما غير المحبّذ استخدامهما للأغراض الحسّاسة، ناهيكم عن مسوّغات الولوج إلى الحسابات. إذا اعتقدت أنّك قد تعرّضت إلى محاولة متقدّمة للتصيّد فقد يكون من المعقول استخدام مفتاح مرور لحماية نفسك منها، على أن تتجنّبوا استخدام الوسائل البيومتريّة و التخزين السحابي.

يتطلّب تفعيل الاستيثاق بمفاتيح المرور إمّا مدير كلمات يدعم هذا البروتوكول أو وجود مكوّن عتادي خاص مضمّنًا في النبيطة أو الحاسوب، و دعما في نظام التشغيل و في متصفّح الوِب. في أغلب الأحوال يفتح الناسُ القفل الذي يحمي مفتاح المرور مستخدمين خدمات إدارة كلمة سرٍّ على الإنترنت أو وسيلة الاستيثاق المبنية في النبيطة، و التي قد تكون معتمدة على البيانات البيومترية مثل البصمة و صورة الوجهه.

إلّا أنّ هذا غير مُلزِم: ففي أغلب الأحيان يمكن تخزين عبارة السرّ بأمان أكثر، إمّا في مفتاح عتادي أو في شرائح الأمان المبنية في الحاسوب أو الهاتف، و التي نوصي بحمايتها بأسلوب غير البيانات البيومتريّة.

يمكنك كذلك تخزين مفاتيح المرور باستخدام KeePassXC بتفعيل تكامل KeePassXC مع المتصفّح، لكن بما أنّ هذا يعتمد على المتصفح فقد يفتح الباب للهجمات التي تستهدف المتصفّح، لذا يجب عدّه أقل أمانًا من الحلول المعتمدة على المفاتيح العتادية أو شرائح الأمان.

وضع أسئلة استرجاع آمنة

كثير من المواقع تطبّق أسلوب "أسئلة الأمان" أو "أسئلة الاسترجاع" عند إنشاء حسابات بها. فلتقليل قدرة المهاجمين على تخمين إجابات تلك الأسئلة نوصي بالاستراتيجيات التالية:

• تعيين إجابات خيالية لا تتعلّق بفحوى الأسئلة
• تعيين رموز عشوائية مولّدة بمدير كلمات السرّ كإجابات
• في هذه الحالة ينبغي حفظ الإجابات في مدير كلمات السرّ لتفادي نسيانها و من ثمّ عدم القدرة على استرجاع الحساب عند الحاجة.

مصادر للاستزادة

• Surveillance Self-Defense، وضع كلمات سرٍّ قوية

• Tech Radar, "The dangers of password sharing at work" (بالإنگليزية)

• جمع الباحث دانيال مِيسْلَر قائمة تضمّ 10,000 كلمة سرّ الأكثر شيوعًا، فتجنّبوا استخدام أيًّا منها.

• في ويكيبيديا مقالات عن كلمات السر و قوّتها و تكسير كلمات السرّ.