خبراء: ينبغي اختيارها بمنتهى الدقة ليتعذر على «الهاكرز» تخمينها

كلمات المرور.. درع واقية من «القراصنة»

كلمات المرور السيئة يسهل على القراصنة تخمينها. أرشيفية

تعد كلمات المرور بمثابة الدرع الواقية التي تصد هجمات قراصنة الكمبيوتر والإنترنت، وتحول دون اختراقهم لحسابات المستخدمين والاطلاع على أخبارهم، أو التجسس على بياناتهم. وكي يتسنى لكلمة المرور توفير حماية حقيقية، ينبغي على المستخدم اختيارها بمنتهى الدقة والعناية، بحيث يتعذر على القراصنة تخمينها.

وأشار البروفيسور الألماني، نوربرت بولمان، إلى أن كثيراً من المستخدمين يعتمدون على الكلمات والأسماء لتحديد كلمات المرور لحساباتهم على الإنترنت، مؤكداً أن هذه الطريقة غير آمنة على الإطلاق، لأن الهاكرز (القراصنة) يقومون بتخمين كلمات المرور في أقصر وقت عن طريق التجربة والخطأ بواسطة برامج اكتشاف كلمات المرور المعروفة باسم Brute-Force.

وفي حال الاعتماد على سلسلة طويلة من العلامات الغامضة، فإنها تعد كلمة مرور آمنة نسبياً، أما كلمات المرور الرسومية فإنها تعد أكثر أماناً، وعلى الرغم من أنه يمكن ملاحظتها بسهولة، إلا أنه لم يتم اختراقها حتى الوقت الحالي.

شر لابد منه

تطبيق

قام معهد فراونهوفر لآمان تكنولوجيا المعلومات بتطوير تطبيق للهواتف الجوالة يمكن استخدامه كذاكرة للأكواد، بحيث يقوم بالجمع بين كلمة مرور رئيسة مع عنصر تحقق من العناصر الرسومية، وتقول الخبيرة الألمانية ميلاني فولكامير إنه «بغض النظر عن كلمة المرور الرئيسة التي تم إدخالها، فإن التطبيق يمنح الهاكرز أو اللصوص أو الغرباء أو الأشخاص الذين يعثرون على الهاتف الذكي إمكانية الوصول، ويقوم بإظهار كلمة المرور، ولكن كلمة المرور هذه لا تكون صحيحة إلا إذا قام صاحب الهاتف الذكي بإدخال تسلسل الرموز، التي تم تعريفها عند تحديد كلمة المرور الرئيسة.

وفي حالة معرفة تسلسل الرموز فإن الغرباء يستمرون في تجريب كلمات المرور الخاطئة إلى أن يتم منع استخدام الخدمة المعنية».

يعتقد مدير معهد أمان الإنترنت بجامعة العلوم التطبيقية في مدينة غيلسنكيرشن الألمانية، البروفيسور نوربرت بولمان، أن كلمات المرور النصية، تعد شراً لابد منه، موضحاً أنه «لا تتناسب هذه الآلية على الإطلاق لعملية التوثيق والتصديق، التي يمكن للمرء أن يتخيلها، لكن لا يتوافر أمام المستخدم أي خيار آخر في الوقت الحالي».

وأضاف: «يحتاج المستخدم إلى تعلم كيفية التعامل مع هذه الآلية، وتحديد أفضل كلمات مرور ممكنة».

وأفضل كلمات المرور الممكنة تعني أنه يجب على المستخدم اختيار كلمات مرور تشتمل على ‬10 علامات على الأقل، منها علامات خاصة وحروف كبيرة وصغيرة، إضافة إلى الأرقام.

وأوضح بولمان أن «هذه التوليفة تجعل مجال كلمة المرور كبير للغاية، بحيث تستغرق برامج كشف كلمات المرور ما يزيد على ‬200 سنة في تجريب جميع الاحتمالات الممكنة، حتى تتمكن من اختراق كلمة المرور».

ولكن الخبير الألماني أكد أن هناك كثيرين من المستخدمين يعتمدون على كلمات مرور سيئة، مثل اسم صديق أو الشركة التي يعملون بها. ومن ضمن كلمات المرور التي تنتشر بكثرة، ويمكن تخمينها على شبكة الإنترنت، الكلمات الموجودة في القاموس أو «‬12345».

وأوضح خبراء المكتب الاتحادي لأمان تقنية المعلومات بمدينة بون الألمانية، طريقة جيدة لاختيار كلمة مرور آمنة، تتمثل هذه الطريقة في استخدام الحروف الأولى من الكلمات التي تشتمل عليها إحدى الجمل.

وفي حالة كلمات المرور الخاصة بأرقام التعريف الشخصي يُحظر استعمال تواريخ الميلاد وأعداد السنوات.

ويتعين على المستخدم تغيير كلمات المرور كل ستة أشهر، مع ضرورة أن يكون المستخدم مستعداً للتصدي لهجمات التصيد، التي يحاول فيها الهاكرز الاحتيال على المستخدمين للوصول إلى كلمات المرور.

ومن الأمور الخطيرة أيضاً أن يعتمد المستخدم على كلمة مرور واحدة لجميع حساباته على الإنترنت، لأنه في حال وقوع كلمة المرور هذه في يد الهاكرز، فإنهم سيتمكنون من الوصول إلى جميع حسابات وخدمات المستخدم.

30 كلمة

من جهتها، قالت الخبيرة بمركز أبحاث الأمان المتقدمة بالجامعة التقنية بمدينة دارمشتات ميلاني فولكامير: «من الأفضل أن يتم استخدام كلمة مرور لكل حساب على الإنترنت، لكن لن يتمكن المستخدم من تذكر ‬30 كلمة مرور بترتيب عشوائي».

ومع ذلك يتمكن المستخدم من تغيير كلمة المرور بطريقة آمنة، من خلال إضافة بعض الحروف قبل كلمة المرور، أو بعدها حسب قاعدة معينة، ونظراً لأن كل خدمات الإنترنت ليست على القدر نفسه من الأهمية، فقد يتمكن المستخدم من إنشاء مجموعات من كلمات المرور تُمثل حلاً وسطاً بين الأمان وسهولة الاستخدام، فعلى سبيل المثال، يمكن للمرء أن يعتمد على كلمة مرور واحدة لجميع شبكات التواصل الاجتماعي على الإنترنت مثل الـ«فيس بوك» و«تويتر»، وكلمة مرور أخرى للمتاجر الإلكترونية، وأخرى لإجراء العمليات المصرفية والحسابات البنكية على الإنترنت، وكلمة مرور لحسابات البريد الإلكتروني.

وأضافت فولكامير «لاتزال هناك بعض خدمات الإنترنت تستخدم عمليات إضافية للتحقق من شخصية المستخدم، منها على سبيل المثال إرسال أرقام عمليات التحويل البنكية عبر الرسائل النصيـة القصيرة، وذلك عند استخدام الخدمات المصرفيـة على الإنترنت».

وهناك عدد قليل من الشركات، مثل «باي بال»، و«غوغل»، و«دروب بوكس»، تقدم أكواداً إضافية للتحقق من شخصية المستخدم بشكل اختياري، التي يتم إرسالها عبر الرسائل النصية القصيرة، أو يتم إنشاؤها بواسطة تطبيق الهاتف الذكي.

قيود

أشار الخبراء الألمان إلى أن هناك قيوداً على برامج إدارة كلمات المرور التقليدية، التي تقوم بتخزين عدد غير محدد من كلمات المرور، لأنـه في حالة اختراق برامج الأكواد الخبيثة لمثل هذه البرامج، واكتشاف كلمة المرور الرئيسة، فإن جميع كلمات المرور الأخرى تقع في يد قراصنة الكمبيوتر والإنترنت.

وأوضح بولمان أن «بطاقة الهوية الإلكترونية الجديدة يمكن استخدامها مثلاً عن طريق قارئ البطاقات، كما يمكن الاعتماد على رقم التعريف الشخصي كطريقة أكثر أمناً لإثبات الهوية، غير أن عدداً محدوداً من الخدمات تدعم بطاقة الهوية الإلكترونية».

وأوضحت ميلاني فولكامير أنه «يمكن استخدام كلمات المرور الرسومية، لأن ذاكرتنا تعمل بواسطة الصور بشكل أفضل، وتوجد أنظمة يتعين على المستخدم فيها تحديد وجوه معروفة مرات عدة، من خلال اختيار متغير للصور».

وأضافت الخبيرة الألمانية «لا يتعين على المستخدم إدخالها مرة أخرى، ولكن التعرف عليها ثانية، ومن الأفضل أن يتوافر للمستخدم إمكانية اختيار نوع كلمة المرور في كل خدمة بحرية كاملة».

تويتر