إنشاء و إدارة كلمات سرٍّ قويّة
الفهرس
…يجري تحميل الفهرس…كلمات السرِّ هامّة للغاية لحفظ بياناتكم و هوياتكم آمنة. و المهاجمين يعلمون هذا بالطبع، لذا فهم يتحايلون بأساليب مختلفة لمعرفة كلمات سرّكم.
لكن بوسعكم مقاومة حيلهم تلك بطريق استخدام أدوات و تكتيكات.
حماية كلمات السرّ
- احرصوا دوما على الولوج إلى حساباتكم حصريا من نظم و نبائط مُحدَّثة محميّة موثوق بها، و كذلك عند إدارة معلوماتكم الحسّاسة، بما فيها كلمات السرِّ. طالعوا دليلنا عن الهواتف و الحواسيب للمزيد عن تأمين النبائط و نظم التشغيل.
- يُستحسن استخدام مدير لكلمات السرّ. العقل البشري غير مؤهّل لتأليف كلمات سرٍّ طويلة عشوائية فريدة و لا لحفظها لأجل استخدامها مع الحسابات و النبائط. مُدير كلمات السرِّ يولِّد كلمات السرِّ لأجلكم و يحفظها محمية بالتعمية. يضم دليلنا عن مديري كلمات السرّ المزيد عنها و استخدامها.
- استخدام الاستيثاق بعدّة عوامل، المعروف بالاختصار 2FA أو MFA يزيد طبقة من الحماية عند الاستيثاق، بحيث لا يمكن لغيركم الولوج إلى حساباتكم حتّى إن حصلوا على كلمة السرّ بوسيلة ما،لأن الولوج يتطلّب عاملا إضافيّا غير كلمة السرّ. طالعوا دليلنا عن الاستيثاق بعدّة معاملات للمزيد عن ذلك.
طالعوا الأقسام التالية لمعرفة المزيد عن كيفية حماية كلمات السرّ و الحسابات من الهجمات الشائعة.
تأليف كلمات سرٍّ قويّة
ننصحكم بإنشاء كلمات السرِّ بالاستعانة بمدير كلمات سرٍّ غير متّصل بالإنترنت ثم تأليف كلمات سرٍّ قليلة طويلة تقدرون على تذكّرها لحماية مخزن كلمات السرّ و النبيطة المخزّن فيها.
إذا كنتم تفضّلون تأليف كلمات السرّ بأنفسكم فهاكم الحد الأدنى من الخصائص اللازمة لتكون كلمة السرّ قوية:
- ضعوا كلمات سرٍّ طويلة — تتألّف من 12 محرفًا على الأقل، و يُستحسن 14.
- ضمّنوها أحرفًا و أرقامًا و علامات غيرها.
- الاستراتيجيات التالية لا تكفي وحدها لضمان قوّة كلمة السرّ، إلّا أنّها تزيد
من قوة كلمة السرّ.
- استبدال الأحرف برموز مشابهة لها في الكلمات المعتادة، على سبيل المثال، في كلمات اللغات المكتوبة بالأحرف اللاتينية يمكن استبدال الحرف "a" بالعلامة "@" و الحرف "E" بالعلامة "3". هذه الاستراتيجية عتيقة و معروفة لمن يحاولون تخمين كلمات السرّ.
- إضافة علامات التعجّب و الأرقام و علامات الترقيم إلى آخر عبارة السرّ،و هي أيضًا استراتيجية معروفة يمكن لخوارزميات تخمين كلمات السرّ أخذها في الحسبان.
- في اللغات المكتوبة بأحرف لكل منها عدّة أشكال (كبيرة و صغيرة مثلا) يمكن ابتداء كلّ كلمة في عبارة السرّ بحرف كبير، مع ملاحظة أنّها استراتيجية تأخذها خوارزميات تخمين كلمات السرّ في الحسبان.
تذكروا كذلك التوصيات التالية:
- لا تستخدموا كلمات مفردة موجودة في المعجم.
- لا تستخدموا العبارات الشائعة، مثل الاقتباسات أو كلمات الأغاني و أبيات الشعر.
- لا تستخدموا كلمات أو أرقام ذات علاقة ببياناتكم الشخصية أو بيانات المقربين
منكم أو زملائكم، مثل:
- أسماء الأشخاص و الحيوانات الأليفة و المنظّمات
- تواريخ الميلاد و المناسبات الهامة الشخصية أو العامة
- أرقام الهواتف و العناوين
- كلُّ ما يُمكن معرفته بطريق البحث عنكم أو عن المحيطين بكم.
- تذّكروا أنّه لا يتوجّب عليكم تغيير كلمات السرّ دوريًّا، لكن توجد حالات يلزم عندها تغيير كلمة سرّ.
تذكُّر كلمات سرّ قوية قليلة
حتّى باستخدام مدير لكلمات السرّ فسيتوجّب عليكم تذكّر كلمة السرّ التي تفتح مخزن كلمات السرّ الذي يحوي كلمات السرّ العديدة القوية للأغراض المختلفة.
- استخدموا أسلوب النّرد لتوليد كلمات سرّ يمكن
تذكّرها:
- احصلوا على قائمة من الكلمات المُرمّزة و خمس نردات.
- ألقوا النّردات الخمس لتحصلوا على رمز من خمسة أرقام، مثلا: 6 و 2 و 5 و 1 و 1.
- استخرجوا الكلمات المقابلة للأرقام مما في القائمة.
- كرّروا هذا ستّ مرّات، واستخدموا الكلمات المقابلة للرموز لتأليف عبارةَ
سرٍّ.
- لا تستخدموا كلمة السرِّ هذه لأي غرض آخر.
- اصنعوا صورة ذهنية مستخدمين الكلمات التي حصلتم عليها لتوليف عبارة سرّ لتساعدكم على تذكّرها.
- و تدرّبوا على إدخال كلمات السرّ تلك دوريًّا، يوميًّا ابتداءً، ثم أسبوعيًّا بعد ذلك. التكرار يساعد على ترسيخ كلمات السرّ في الذهن.
- إنْ لم يكن لديكم نرد فيمكنكم توليد كلمة سرٍّ باستخدام KeePassXC.
- أو يمكنكم عوض ذلك استخدام "أسلوب الكتاب":
- اسحبوا كتابّا عشوائيًا من الرفّ ليست له علاقة بنشاطكم.
- افتحوا صفحة في الكتاب عشوائيًا.
- أغمضوا أعينكم و ضعوا أصبعكم على موضع ما عشوائي.
- كرّروا ذلك ستّ مرّات للحصول على عبارة سرّ تتألّف من ستّ كلمات شبه
عشوائية.
- لاحظوا أنّ هذه الطريقة أقل أمانًا، بالذات إن كان الكتاب موجودًا في مقرّ عملكم لأنّها تنتج عبارات سرٍّ أقل عشوائية. لكن إنْ لَمْ يكن بوسعكم تنصيب برمجيات لتوليد كلمات السرّ و استخدمتم أسلوب الكتاب أو المجلّة فقد يكون ذلك بديلا معقولا لتأليف عبارات سرّ طويلة يمكن تذكّرها.
المزيد عن توصيتنا هذه
There will be a few passwords you must memorize, including the password to log in to the device where you have installed your password manager and the master password to your password manager. The diceware method can help you create passphrases that are easy to remember but extremely difficult to guess, even for an attacker who has a lot of time and skills and knows how to use "password cracking" software.
مشاركة كلمات السِّر
- تجنّبوا مشاركة كلمات السِّر ما أمكنكم ذلك:
- إذا اضطررتم إلى مشاركة كلمة سرٍّ مع آخرين فاعمدوا قبل مشاركتها إلى استبدالها بأخرى مؤقتّة، ثمّ استبدلوا تلك المؤقتة مجدّدًا بكلمة آمنة عقَب انتفاء الحاجة إلى مشاركتها.
- فكرّوا في إنشاء حسابات مختلفة لكل شخص يحتاج إلى الولوج إلى الخدمة. كثير من الخدمات تتيح ذلك. يمكنكم تقييد الصلاحيّات الممنوحة لكل حساب و البيانات التي يسعه الاطلاع عليها بما يتناسب مع دور و احتياجات من يستخدمه.
- إذا اضطررتم إلى التشارك في النبائط ففكّروا في إنشاء حساب مختلف في
النبيطة لكل شخص. طالعوا توصيات الأمان
لأندرويد
و
لينُكس
و
macOS
و
وِندوز
لمعرفة كيفية فعل ذلك.
- النظام iOS لا يدعم هذه الوظيفة إلا إن كنتم تستعملون iPad. طالعوا قسم التشارك في نبائط iPad لمعرفة كيفية فعل ذلك.
- إذا اضطررتم للتشارك في كلمات السرّ مع آخرين فيمكنكم ضبط KeePassXC لاستعماله تشاركيًّا.
المزيد عن توصيتنا هذه
التشارك في كلمة السرّ بمثابة إعطاء نسخة من مفتاح منزلكم لذلك الشخص: الاحتمال قائم دومًا أن يفقد ذلك الشخص المفتاح، بل أخطر لأن استعمال كلمة السرّ يتيح للمهاجم النفاذ إلى الحساب عن بعد دون ملاحظتكم. لتقليل مدخل الهجوم هذا ينبغي تجنّب التشارك في كلمات السرّ بقدر الإمكان.
معرفة ما إنْ كانت كلمات سرّكم انكشفت
- ابحثوا في قاعدة البيانات the ';--have i been pwned?
website لمعرفة إنْ كانت حساباتكم لدى أحد
مقدّمي الخدمة على الإنترنت قد ظهرت في انتهاك ما للخصوصية أو هجمة سبرانية.
- غيّروا فورًا كلّ كلمات سرّ حساباتكم التي تجدونها في قائمة الاختراقات المعروفة، متّبعين إرشادات استخدام مدير كلمات السرِّ.
- حتّى إذا لم يظهر أيّ من حساباتكم في قائمة الاختراقات المعروفة فينبغي عليكم اتّباع الإرشادات الواردة في هذا الدليل لأنّ كثيرًا من الاختراقات لا يشيع خبرها أبدًا أو قبل مرور زمن قد يمتد لسنوات.
المزيد عن توصيتنا هذه
يبحث المهاجمون عن كلمات السرّ التي سبق انكشافها في اختراقات سابقة ليجرّبوها مع حساباتكم على أمل أن تكونوا قد استخدمتموها في عدّة حسابات. لذلك استخدام كلمة سرٍّ لعدَّة حسابات أمر بالغ الخطورة. انظروا في ';--have i been pwned? لمعرفة ما إذا كانت بعض كلمات سرّكم قد تسرّبت.
أساليب كشف كلمات السرّ
فيما يلي الأساليب التي يشيع استخدامها بين المهاجمين لكشف كلمات السرّ:
- بالتخمين:
- بتجربة بياناتكم الشخصية، مثل الأسماء و التواريخ، و كذلك الاقتباسات الشهيرة و كلمات الأغاني أو الكتاب الذين تفضّلون
- بتجربة كلّ الكلمات في المعجم
- بإحداث تحويرات في كلمات السرّ التي سبق لكم استعمالها
- بتجربة كل التباديل الممكن للمحارف
- و لفعل ذلك فهم يسعون إلى معرفة:
- بالبحث في المواضع المادية التي قد تكونون قد كتبتم فيها كلمات السرّ مثل الكراسات أو الصبورة في مقرّ العمل أو ملصقات الملاحظات عند المكتب
- بمراقبتكم أثناء إدخالكم كلمة السرّ
- كلمات السرّ التي سبق انكشافها المتاحة على الإنترنت
- كما يسعون إلى التحايل عليكم لدفعكم إلى:
- بتنصيب برمجية خبيثة في نظامكم
- بدفعكم بطريق الخداع إلى إدخال كلمة السرّ في صفحة ولوج زائفة و هو ما يُعرَف بالتصيّد
- بدفعكم إلى الإفصاح عن كلمة السرّ أو غيرها من معلومات قد تفيد في استنتاجها أو استرجاعها أو تغييرها بطريق انتحال صفة مقدّمي الدعم الفني أو مديري المواقع و الخدمات التي لكم في حسابات، أو حتّى انتحال صفة زميل لكم أو شخص تعرفونه، و هو ما يُسمى بالهندسة الاجتماعية.
- في دليلنا عن البرمجيات الخبيثة المزيد عن الحيل التي يتّبعها المهاجمون للتأثير عليكم نفسيا أو عاطفيًّا.
- استغلال الثغرات:
- اختراق موقع الوِب الذي يريدون النفاذ إلى معلوماتك فيه
- استلاب كلمات السرّ المحفوظة في المتصفّح
- استلاب كلمات السرّ من التطبيقات في النبيطة المحمولة
الإفصاح للآخرين عن كلمة السرِّ
- افتح صفحة الخدمة أو التطبيق الذي تظنّ أنها أرسلت إليك الرسالة للتحقٌّق من
ذلك الطلب.
- طالعوا دليلنا عن استخدام منصات التواصل الاجتماعي بأمان لمعرفة المزيد عن التنويهات التي يمكن أن ترسلها إليكم الخدمات المختلفة.
- إذا بدا أن الرسالة وردت من شخص ما ّّمن معارفكم أو من جهة ما تربطكم بها
علاقة، فتواصلوا معهم عبر قناة اتّصال أخرى للتحقُّق من أنهم أرسلوها.
- على سبيل المثال، إذا وصلتك الرسالة بالبريد الإلكتروني، فاطلبهم بمكالمة صوتية.
- تجنّبوا اتّباع الروابط الواردة في رسالة البريد الإلكتروني، و كذلك إرسال ردٍّ.
- لاحظوا أنّ الرسائل التي تسعى إلى إخافتكم و دفعكم للتصرّف سريعًا أو توحي إليكم بقرب ضياع فرصة للكسب هي على الأرجح محاولة تصيُّد. تمهّلوا و تمالكوا أنفسكم و فكّروا في كيفية التحقّق من صحّة الرسالة.
المزيد عن توصيتنا هذه
ينتحل المهاجمون هويّات أخرى، مثل موظّفي الدعم التقني في البنك، لإقناع ضحاياهم بالإفصاح عن بيانات حسّاسة. كما إنّهم يتلاعبون عاطفيًّا بضحاياهم لأجل ذلك.
إذا تلقّيتم مكالمة أو رسالة تطلب منكم الإفصاح عن كلمة السرّ أو غيرها من بيانات حسّاسة، فهي على الأرجح محاولة لخداعكم، و كذلك إن تلقّيتم في رسالة بريد إلكتروني رابطا إلى صفحة تطلب منكم الإفصاح عن شيء من ذلك القبيل.
في دليلنا عن البرمجيات الخبيثة المزيد عن الحيل التي يتّبعها المهاجمون للتأثير عليكم نفسيا أو عاطفيًّا.
طالعوا دليل الدفاع عن النفس ضد المراقبة للمزيد عن كيفية تجنّب الوقوع في الخداع.
تغيير كلمة السِّر
أسرعوا إلى تغيير كلمات السرّ في الحالات التالية:
- عند اختراق حسابك أو نبيطتك أو تسرب معلوماتك الشخصية، و كذلك إذا وقع ذلك لأشخاص محيطين بكم.
- إذا أدخلت بالفعل كلمة السرّ أثناء استخدام نبيطة عمومية أو غير موثوق بها أو يستخدمها آخرون معك.
- إذا شككتم في أنّ شخصًا كان يراقبكم أثناء إدخالكم كلمة السرّ
حاولوا تقليل الأضرار بتنبيه الآخرين ممن يعملون معكم أو المحيطين بكم
إذا تلقّيتم إخطارات موثوق في مصدرها من خدمة تستخدمونها تفيد حصول ولوج إلى حساباكم لديها من مواضع غير موضعكم الفعلي أو باستخدام نبائط لا تخصّكم. في هذه الحالة اتّبعوا الإرشادات التالية لفهم ما إنْ كانت كلمة السرّ قد انكشفت:
- تابعوا أخبار الاختراقات الأمنية و تسريبات البيانات من المواقع و الخدمات التي تستخدمون.
- إذا تلقّيتم رسالة بريد أو تنويها بوسيلة أخرى، كالمحادثة الفورية أو رسالة SMS، فتبيّنوا من موقع مقدّم الخدمة للتأكد من أن الرسالة وردت منهم. تمهّلوا قبل اتّباع الروابط الواردة في الرسائل من هذا النوع.
لكيفية تغيير كلمات سرّ النبائط و نظم التشغيل طالعوا دليلنا عن شبكات التواصل الاجتماعي و إعدادات الأمان الأساسية لنظام التشغيل: أندرويد و iOS و لينُكش و macOS و وندوز.
المزيد عن توصيتنا هذه
تظهر الأبحاث أن المداومة على تغيير كلمة السرّ لا تزيد الأمان، لأنّ الناس عندما يُرغمون على تغيير كلمة السرّ فإنّهم يعمدون إلى استبدالها بأخرى مشابهة مع إحداث تغيير طفيف، عوض تأليف كلمة سرّ مختلفة جذريًّا عنها.
من المهم تغيير كلمة السرّ عند حدوث اختراق، و لأننا لا نعرف دوما عن الاختراقات الحاصلة للخدمات و المواقع التي نستعملها فمن المحبّذ تغيير كلمة السرّ مرة كلّ بعضة أشهر أو سنة، أو فور حدوث ما يدعو إلى ذلك.
ملاحظة المحيط و المراقبين
- إن كنتم في فضاء عام و شرعتم في إدخال كلمة السرّ فتنبغي عليكم ملاحظة وجود من قد يراقبكم خلف ظهركم.
- انتبه لوجود مَنْ يراقب لوحة مفاتيحك أو هاتفك أثناء إدخالك كلمة السرّ.
- استخدم شاشة حافظة للخصوصية لتصعيب مراقبة مايظهر على شاشة نبيطتك.
المزيد عن توصيتنا هذه
يمكن للمهاجمين مراقبتك أثناء إدخالك كلمة سرٍّ. إذا يمكننا تصوّر سيناريو غير بعيد التحقّق يُصادر فيه هاتف ناشطة، و بالرغم من كون الهاتف مقفلا بكلمة سرّ رفضت الإفصاح عنها، إلّا أنّه لا يزال بوسع السلطات فتحه و النفاذ إلى البيانات المحفوظة فيه بطريق تحليل سلوكها اليومي و ملاحظة وجودها في نطاق إحدى كاميرا المراقبة، و من ثمّ الحصول على تسجيلات المراقبة التي تبيّن إدخالها كلمة السرّ في نبيطتها.
تجنّب البصمات و وظيفة التعرف على ملامح الوجه (البيومتريات)
- إذا كانت نبيطتكم مضبوطة بحث تفتح ببصمات الأصابع أو بالتعرف على ملامح الوجه فغيّروها بحيث يتطلب الفتح كلمة سرٍّ بدلا من ذلك.
- كيفية فعل ذلك مبيّنة في إرشادات الأمان الأساسية لكل من أندرويد و iOS و لينُكس و macOS و Windows.
المزيد عن توصيتنا هذه
قد تسهّل وسائل الاستيثاق البيومترية النفاذ إلى النبائط، مثل بصمات الأصابع و صورة الوجه، إلّا أنها تُعدُّ غير آمنة لأنّها على العكس من كلمات السرّ لا يمكن تغييرها و لا حجبها عن الآخرين. أغلبية الناس يُكلب منهم تقديم بيانات بيومترية في المطارات و الهيئات الحكوميّة و غيرها، و هذا كلذه يزيد من الخطر الناجم عن قدرة فاعل ما على النّفاذ إليها دون موافقة صاحبها و استعمالها على وجه ما يضر بمصلحته. كما أنّ المهاجمين إن تمكّنوا من تقييدكم أو إكراهكم جسديًّا فسيكون من السهل عليهم فتح نبائطكم باستخدام الوسائل البيومترية عمّا إذا استخدمتم كلمة سرّ.
استخدام مفاتيح المرور (passkey)
تُزكّي بعض الخدمات على الإنترنت استخدام وسيلة استيثاق مبنية على بروتوكول WebAuthn/FIDO المعروف كذلك باسم "مفتاح المرور" (passkey) للنفاذ إلى الحسابات عوضًا عن كلمات السرّ.
Passkeys offer stronger protection against phishing, but rely a lot on biometrics and cloud sharing, which we don't recommend using for anything sensitive, let alone for credentials to log in to your accounts. If you think you may be exposed to advanced phishing attacks, however, you may choose to protect yourself against this threat with passkeys, and use them without biometrics or cloud sharing.
يتطلّب تفعيل الاستيثاق بمفاتيح المرور إمّا مدير كلمات يدعم هذا البروتوكول أو وجود شريحة تأمين مضمّنة في نبيطتكم أو حاسوبكم، و دعما في نظام التشغيل و في متصفّح الوِب. في أغلب الأحوال يفتح الناسُ القفل الذي يحمي مفتاح المرور مستخدمين خدمات إدارة كلمة سرٍّ على الإنترنت أو وسيلة الاستيثاق المبنية في النبيطة، و التي قد تكون معتمدة على البيانات البيومترية مثل البصمة و صورة الوجهه.
إلّا أنّ هذا غير مُلزِم: ففي أغلب الأحيان يمكن تخزين عبارة السرّ بأمان أكثر، إمّا في مفتاح عتادي أو في شرائح الأمان المبنية في الحاسوب أو الهاتف، و التي نوصي بحمايتها بأسلوب غير البيانات البيومتريّة.
يمكنك كذلك تخزين مفاتيح المرور باستخدام KeePassXC بتفعيل تكامل KeePassXC مع المتصفّح، لكن بما أنّ هذا يعتمد على المتصفح فقد يفتح الباب للهجمات التي تستهدف المتصفّح، لذا يجب عدّه أقل أمانًا من الحلول المعتمدة على المفاتيح العتادية أو شرائح الأمان.
وضع أسئلة استرجاع آمنة
كثير من المواقع تطبّق أسلوب "أسئلة الأمان" أو "أسئلة الاسترجاع" عند إنشاء حسابات بها. فلتقليل قدرة المهاجمين على تخمين إجابات تلك الأسئلة نوصي بالاستراتيجيات التالية:
- تعيين إجابات خيالية لا تتعلّق بفحوى الأسئلة
- تعيين رموز عشوائية مولّدة بمدير كلمات السرّ كإجابات
- في هذه الحالة ينبغي حفظ الإجابات في مدير كلمات السرّ لتفادي نسيانها و من ثمّ عدم القدرة على استرجاع الحساب عند الحاجة.
المزيد عن توصيتنا هذه
أسئلة الاسترجاع هامّة لمساعدة الخدمات توكيد هويّاتكم في حال شكّهم في كون شخص غيركم يحاول الولوج إلى الحساب، كما تُستخدم إجابات تلك الأسئلة لأجل تغيير كلمة السِّر إنْ ضاعت منكم أو نسيتموها. لكن إجابات أسئلة من قبيل "ما اسم البلدة التي وُلدتم فيها؟" أو "ما اسم حيوانكم الأليف؟" يمكن معرفتها بسهولة. لذا فبوضع إجابات مُختلَقة تصعبّون على المهاجمين اختراق حساباتكم.
مصادر للاستزادة
Surveillance Self-Defense، وضع كلمات سرٍّ قوية
Tech Radar, "The dangers of password sharing at work" (بالإنگليزية)
جمع الباحث دانيال مِيسْلَر قائمة تضمّ 10,000 كلمة سرّ الأكثر شيوعًا، فتجنّبوا استخدام أيًّا منها.
في ويكيبيديا مقالات عن كلمات السر و قوّتها و تكسير كلمات السرّ.