وضع كلمات سر قوية

يقوم الناس غالبا بإعادة استخدام عدد محدود من كلمات السر على مدار كافة الحسابات والمواقع والخدمات نظرا لأن تذكر كلمات سر عديدة ومختلفة أمر صعب. واليوم باستمرار تتم مطالبة المستخدمين بوضع كلمات جديدة وينتهي الحال بكثير من الناس إلي إعادة استخدام نفس كلمة السر عشرات المرات أو حتى مئات المرات.

إن إعادة استخدام كلمات السر ممارسة أمنية سيئة للغاية لأنه إذا تمكن المهاجم من الوصول إلي كلمة سر واحدة ففي الأغلب سوف يقوم بتجربتها على حسابات أخرى تابعة لنفس الشخص، وإذا قد قام الشخص بالفعل بإعادة استخدام نفس كلمة السر عدة مرات فسوف يتمكن المهاجم من النفاذ إلي حسابات متعددة. مما يعني أن أي كلمة السر تكون آمنة فقط بقدر آمان الخدمة المستخدمة فيها.

إن تجنب إعادة استخدام كلمة السر إجراء أمني احترازي وذات قيمة. ولكنك لن تكون قادر على تذكر كل كلمات السر الخاصة بك إذا كانت كل واحدة مختلفة. لحسن الحظ توجد أدوات تساعد في إدارة كلمات السر (وتسمى أيضا خزانة كلمة السر) عبارة عن برنامج للمساعدة في تخزين عدد كبير من كلمات السر بشكل آمن، وهذا يجعل من تجنب إعادة استخدام كلمة السر في سياقات متعددة أمر عملي. إن أدوات إدارة كلمة السر تحمى كل كلمات السر الخاصة بك باستخدام كلمة سر رئيسية (أو مثاليا عبارة سرية – أنظر الشرح أدناه) لكي يتسنى إليك تذكر شيء واحد فقط. الأشخاص الذين يقومون باستخدام أداة لإدارة كلمات السر لا يعلموا في الحقيقة كلمات السر الخاصة بحساباتهم المختلفة، حيث أن الأداة تستطيع معالجة عملية توليد وإدارة كلمات السر بالنيابة عنهم.

على سبيل المثال، برمجية KeePassX خزانة لكلمات السر، وهي برمجية مفتوحة المصدر ومجانية، تقوم بتثبيتها على سطح المكتب. إذا كنت تستخدم هذا البرنامج من المهم ملاحظة إنه لن يقوم تلقائيا بحفظ التغييرات والإضافات. وهذا يعني إذا تعطل البرنامج بعد أن قمت بإضافة كلمات سر، فقد تفقدهم إلي الأبد. يمكن تغيير هذا من خلال الإعدادات.

إن استخدام أدوات لإدارة كلمات السر يساعدك أيضا في اختيار كلمات سر قوية يصعب على المهاجم تخمينها. وهذا أمر هام نظرا لأن في الغالب يقوم مستخدمو الحواسيب باختيار كلمات سر بسيطة وقصيرة يستطيع المهاجم تخمينها بسهولة مثل "password1"، أو "12345"، أو تاريخ الميلاد، أو أسم صديق أو الزوج أو الزوجة أو حيوان أليف. إن أدوات إدارة كلمات السر تستطيع المساعدة في توليد واستخدام كلمة سر عشوائية بدون نمط أو هيكل ما، كلمة سر غير قابلة للتخمين. على سبيل المثال، أداة إدارة كلمات السر قد تولد كلمة سر مثل "vAeJZ!Q3p$Kdkz/CRHzj0v7," وهي كلمة من الغير محتمل على إنسان تذكرها أو تخمينها. لا تقلق، أدوات إدارة كلمات السر تستطيع تذكرهم من أجلك.

مزامنة كلمات السر عبر أجهزة متعددة Anchor link

قد تستخدم كلمات السر الخاصة بك على أكثر من جهاز، مثل الحاسوب وهاتفك الذكي. تتضمن كثير من أدوات إدارة كلمات السر خاصية مزامنة مدمجة بها، فعندما تقوم بمزامنة قاعدة البيانات الخاصة بكلمات السر سوف يتم تحديثها على جميع الأجهزة فإذا قمت بإضافة حساب جديد عبر الحاسوب سوف تكون قادرا على الولوج إليه عبر هاتفك المحمول. وتوفر أدوات أخرى لإدارة كلمات السر تخزين سحابي، أي تخزين مُعمى لكلمات السر على خادوم يمكن الاتصال به عن بعد، وعند احتياجك للكلمات السرية على حاسوب أو هاتف محمول تقوم الأداة بجلبهم لك وفك التعمية تلقائيا. خدمات إدارة كلمات السر التي تستخدم خوادمها الخاصة لتخزين أو مزامنة كلمات السر الخاصة بك مريحة أكثر، ولكن الجانب السلبي لها هو أنها أكثر عرضة للاختراق بعض الشيء. إذا كنت تحتفظ بكلمات السر الخاصة بك على كمبيوترك فقط، قد يمكن لشخص يستطيع السيطرة على جهازك أن يحصل عليها. وإذا كنت تحتفظ بكلمات السر الخاصة بك في السحاب، يمكن لمهاجمك استهداف ذلك أيضاً. وهذه ليست تسوية يتوجب أن تقلق بشأنها عادة إلا في حال كان لمهاجمك نفوذ قانوني على شركة إدارة كلمات السر، أو كان معروفاً باستهدافه للشركات أو لمرور بيانات الإنترنت. إذا كنت تستخدم خدمة سحابية، فإن شركة إدارة كلمات المرور قد تعرف أيضاً الخدمات التي تستخدمها ومتى ومن أين.

اختيار كلمات سر قوية Anchor link

توجد بعض كلمات السر التي يتوجب تذكرها ويجب أن تكون قوية بشكل خاص: تلك التي تستخدم في قفل بياناتك باستخدام علم التعمية. وتتضمن، على الأقل، كلمة السر الخاصة بالتعمية الكاملة للقرص الصلب وكلمة السر الرئيسية لبرنامج إدارة كلمات السر.

أجهزة الكمبيوتر اليوم سريعة بحيث يمكنها أن تحزر كلمة سر أقصر من 10 أحرف بسرعة. وهذا يعني أن كلمات السر القصيرة مهما كان نوعها - حتى تلك العشوائية مثل nQ\m=8*x أو !s7e&nUY أو gaG5^bG - ليست قوية بما يكفي للاستخدام مع التشفير اليوم.

توجد عدة طرق لتوليد وتذكر عبارات سرية، أكثر تلك الطرق وضوحا ونجاحا هي طريقة أرنولد رينهولد المسماة دايسوير "Diceware".

طريقة رينهولد تتضمن رمي زهر النرد للقيام باختيار عشوائي لعدة كلمات من قائمة كلمات، وهذه الكلمات تقوم معا بتشكيل العبارة السرية. ننصح في حالات التعمية الكاملة للقرص الصلب (وكلمة السر الرئيسية) باختيار ست كلمات على

الأقل.حاول عمل كلمة سر باستخدام طريقة رينهولد "Diceware"

عند استخدامك لإحدى أدوات إدارة كلمات السر، فإن درجة أمان كلمات السر وكلمة السر الرئيسية هي بنفس درجة أمان الحاسوب الذي يتم من خلاله استخدام الأداة. فإذا تم اختراق الحاسوب أو الجهاز وتثبيت برمجية تجسس، فإن برمجية التجسس قد تراقبك أثناء كتابة كلمة السر الرئيسية الخاصة بك وتقوم بالاستيلاء على محتوى خزانة كلمة السر. وبالتالي فإن المحافظة على حاسبوك وباقي الأجهزة من البرمجيات الخبيثة أمر هام للغاية أثناء استخدام أداة لإدارة كلمات السر.

كلمة حول "أسئلة الأمان" Anchor link

يجب الانتباه إلي "أسئلة" الأمان" (مثل "ما هو اسم والدتك قبل الزواج؟" أو "ما أسم أول حيوان أليف؟") التي تستخدمها المواقع للتأكد من هويتك في حالة نسيانك لكلمة السر. الأجوبة الصادقة للعديد من أسئلة الأمان هي حقائق عمومية يمكن اكتشافها ويستطيع الخصم التوصل لها بسهولة وبالتبعية تجاوز كلمة السر كليا. فعلى سبيل المثال فلقد تعرضت سارة بالين، نائبة مرشح الرئاسة الأمريكية، للاختراق بهذه الطريقة. فبدلا من ذلك، قم بتقديم أجوبة خيالية، مثلها مثل كلمات السر الخاص بك، لا أحد يعلمها إلا أنت. على سبيل المثال إذا قد قمت بنشر صور على مواقع لمشاركة الصور مع تعليقات مثل "ها هو قطي اللطيف سبوت"، فبدلا من تقديم إجابة سبوت على سؤال أمني مطروح يطلب أسم حيوانك الأليف قم بالإجابة بكلمة عشوائية "Rumplestiltskin".

لا تستخدم نفس كلمات السر أو أجوبة أسئلة الأمان عبر حسابات متعددة على المواقع أو الخدمات المختلفة. يجب عليك أيضا حفظ الأجوبة الخيالة في خزانة كلمات السر.

فكر في زيارة المواقع التي قمت فيها باستخدام أسئلة أمان وأفحص الإعدادات لتغيير الأجوبة

تذكر القيام بحفظ نسخة احتياطية من خزانة كلمة السر!. قد يكون من الصعب استرجاع كلمات السر إذا فقدت خزانة كلمة السر بسبب عطل (أو إذا تم الاستيلاء على أجهزتك). إن برامج إدارة كلمات السر تتيح عادة طريقة لعمل نسخة احتياطية، أو يمكنك استخدام برنامجك التقليدي للنسخ الاحتياطية.

يمكنك دائما إعادة تعيين كلمات السر عن طريق التواصل مع الخدمات لإرسال رسالة إلكترونية إلي البريد الإلكتروني المسجل لاسترجاع كلمة السر. ولهذا السبب قد تود تذكر العبارة السرية لهذا البريد أيضا. إذا قمت بذلك، فسوف يكون لديك طريقة لإعادة تعيين كلمات السر بدون الاعتماد على خزانة كلمة السر.

التحقق بخطوتين وكلمات السر التي تستخدم مرة واحدة Anchor link

توفر كثير من الخدمات والبرمجيات خاصية التحقق بخطوتين، وتعرف أيضا بخاصية التحقق المزدوج، وهي عبارة عن ضرورة امتلاكك لشيء مادي مخصوص للقيام بالولوج: عادة يكون هاتف محمول وفي بعض الحالات جهاز مخصوص يدعى مفتاح الأمان.

إن استخدام خاصية التحقق بخطوتين تضمن عدم استطاعت السارق الولوج إلي الخدمات في حالة سرقته لكلمة السر الخاصة بك لإحدى الخدمات أو اختراقها، ما لم يمتلك -أو يستطيع التحكم- في الجهاز الثاني والرموز الخاصة التي تولدها.

وهذا يعني أن على السارق أو المخترق التحكم في كلا من الحاسوب الشخصي وهاتفك المحمول قبل تمكنهم من النفاذ المطلق إلي حساباتك. لا يمكنك القيام بتفعيل خاصية التحقق بخطوتين في إحدى الخدمات ما لم تكن توفرها الخدمة نفسها، حيث أن هذه الخاصية يمكنها أن تعمل فقط بالتعاون مع مقدمي الخدمات.

التحقق بخطوتين عبر الهاتف المحمول يمكن أن تتم عبر طريقتين: تقوم الخدمة بإرسال رسالة نصية قصيرة إلي هاتفك كلما حاولت الولوج (موفرة أمان إضافي برمز تحتاجه)، أو يمكنك تشغيل تطبيق مصادقة يقوم بتوليد الرموز السرية من خلال الهاتف نفسه. وهذا يساعدك في حماية حسابك في المواقف التي يعلم فيها المهاجم كلمة السر الخاص بك ولكن ليسه لديه نفاذ إلي هاتفك المحمول.

بعض الخدمات، مثل جوجل، تمكنك من توليد قائمة كلمات سر تستخدم مرة واحدة. وذلك بغرض طباعتها أو كتابها على ورقة تحملها معك (على الرغم من إمكانية تذكر عدد منهم في بعض الحالات). وكل كلمة سر في القائمة تعمل مرة واحدة، فلو تم سرقة كلمة سر واحدة من خلال برمجية خبيثة أثناء طباعتها فلن يستطيع السارق استخدمها لأي غرض في المستقبل.

إذا كنت تقوم بنفسك أو منظمتك بإدارة البنية التحتية الخاصة بالاتصالات، مثل إدارة خادوم مراسلات إلكترونية، فيمكنك استخدام برمجيات مجانية لتفعيل خاصية التحقق بخطوتين للنفاذ إلي أنظمتك. يمكن سؤال مديري الأنظمة الخاصة بك للبحث عن برمجية توفر تطبيقات " Time-Based One-Time Passwords" أو RFC6238.

تهديدات بالإيذاء الجسدي أو الحبس Anchor link

في الختام عليك تفهم أنه توجد دائما طريقة واحدة يمكن للمهاجمين من خلالها الحصول على كلمات السر الخاصة بك: يمكنهم تهديدك مباشرة بالإيذاء الجسدي أو الاحتجاز. إذا كنت تخشى هذه الاحتمالية يمكنك الآخذ في الاعتبار طرق لإخفاء وجود البيانات أو الجهاز المحمي بكلمة سر بدلا من الوثوق في عدم إفصاحك عن كلمة السر. إحدى تلك الطرق هي إنشاء حساب واحد على الأقل يحتوى على عدد ضخم من المعلومات الغير هامة حيث يمكنك الكشف عن كلمة السر الخاصة بذلك الحساب سريعا. تتيح برمجية مثل تروكريبت هذه الخاصية.

إذا كان لديك سبب وجيه يجعلك تعتقد أن شخص ما قد يهددك من أجل كلمات السر، قد يكون من الجيد مراجعة إعدادات الأجهزة الخاصة بك للتأكد من عدم بيان الحساب الغير حقيقي الذي تفصح عنه بشكل جلي.

هل الحساب الحقيقي ظاهر على صفحة تسجيل الدخول لحاسوبك؟ أو يظهر تلقائيا عند فتح متصفح؟ إذا كان الأمر كذلك قد تحتاج إلي إعادة ضبط الإعدادات لجعل حسابك الحقيقي أقل وضوحا.

في بعض الولايات القضائية، مثل تلك في الولايات المتحدة وبلجيكا، قد تتمكن من الطعن القانوني في طلب للحصول على كلمة السر. وفي بعض الولايات القضائية الأخرى، مثل المملكة المتحدة والهند، تسمح القوانين المحلية للحكومة بطلبات الكشف. قامت مؤسسة الكترونيك فرونتير بإعداد دليل "الدفاع عن الخصوصية عبر الحدود الأمريكية" يتضمن معلومات للأشخاص المسافرون عبر الحدود الأمريكية الراغبين في حماية معلوماتهم على أجهزتهم الرقمية.

يرجى ملاحظة أن التدمير المتعمد للأدلة أو عرقلة سير التحقيق قد يتسبب في اتهامات منفصلة وعادة ما تكون ذات تبعات خطيرة. وفي بعض الحالات قد تسهل على الحكومة في الإثبات والمطالبة بعقوبات أكبر من الجريمة المزعومة قيد التحقيق.

آخر تحديث: 
2016-01-13
JavaScript license information