الملخص:

 

يرى بعض مستخدمين الحاسب بأن الإجراءات الأمنية مثل كلمة المرور تشكل إزعاجاً كبيرا لهم وبالتالي يفعلون أي شيء لتقليل من الوقت والجهد المطلوب للتعامل معها.فيختارون كلمات مرور قصيرة سهلة التذكر وخاصة يعتبر تذكر كلمة المرور من أحد المهام الصعبة علينا.
فالجاسوس يهتم بكشف كلمة المرور لإلغاء حماية البيانات .وينصح خبراء الأمن باختيار كلمات مرور قوية يصعب توقعها وتكون مقاومة لهجمات التي تعرضها للخطر.والمستوى النهائي للأمن يعتمد على مكان استخدام كلمات المرور القوية.
قد لا تكون بعض المعلومات التي قمت بحمايتها آمنة بالشكل المطلوب حيث أنه يشكل التشفير السيء وكلمات المرور ضعيفة منفذا سهلاً للجاسوس ليكتشف البيانات المحمية مستخدما أدوات متنوعة سهلة الاستخدام.
إذا كنت تملك مستندات مهمة تريد حمايتها فعليك باستخدام تطبيقات التشفير القوي.وعلينا إدراك المخاطر المرتبطة بكلمات المرور والالتزام بسياسية كلمات المرور التي تقلل من خطر المهاجمات التي تعتمد على كلمات المرور الضعيفة.وسوف نتطرق في هذا الموضوع كيفية يتم اختيار كلمات المرور,مهاجمات توقع لإيجاد كلمة المرور يدوياً وهي مهاجمات القاموس ومهاجمات القوة العمياء,حسن إدارة كلمات المرور,مواصفات كلمة المرور القوية,الحماية باستخدام مبدأ الهندسة الاجتماعية وأخيرا سياسية كلمة المرور ضد مهاجمات الهندسة الاجتماعية.

كلمات مفتاحيه:

كلمة المرور, الجاسوس, مهاجمة القوة العمياء, مهاجمة القاموس.

الفئة المستهدفة من المقال:عام

مقدمة:

 

هناك عاملان دائما يوقع المستخدمين في خطأ هما التشفير الضعيف وهو يتعلق بحماية البيانات فالتشفير الضعيف يكون سهل الاختراق.
وكلمات المرور عندما تكون ضعيفة تكون سهلة التوقع.ويؤثر كل عامل في الآخر حيث أن التشفير الضعيف يبطل كلمات المرور الصعبة . وكلمات المرور الضعيفة تؤثر على فعالية التشفير القوي.
فالجاسوس إذا توفر أحد العاملين السابقين تكون بيانات معرضة للخطر.
تستخدم كلمات المرور كوسيلة للوثوق بالمستخدم وأكثر تطبيقات تستخدم كلمات المرور لحماية المعلومات عن طريق التشفير وفك التشفير فالجواسيس يهاجمون كلمات المرور.
فالكلمات المرور نقسمها إلى قوية وضعيفة .فالكلمات المرور الضعيفة مثل اسمك , يوم ميلادك,كلمة موجودة في القاموس أو أي تشكيلة أحرف وأرقام أقل من سبعة أو ثمانية أحرف. فيمكن كشف كلمات المرور الضعيفة عن طريق توقعها أو استخدام أداة.فالكلمات مرور القوية لا تقع ضحية لهذه المهاجمات.
ومن اشهر الطرق المستخدم في الدخول إلى النظام عن طريق اسم مستخدم والرقم السري وفي العادة يتم اختيار أسماء لها معنى كأسماء مستخدمين .

ومن أمثلة على الطرق المستخدمة لتحديد أسماء:-
-حرف معين ورقم موظف.
-أول حرف من اسمه الأول وكامل اسم العائلة.
-أول حرف من اسم العائلة واسم الأول.
-حرف معين ثم رقم الطالب الجامعي.

كيف يختار الناس كلمات المرور؟

يختارون كلمات مرور قصيرة, سهلة التذكر مثل مصطلحات معروفة أو سهلة كتابتها على لوحة المفاتيح مثل (12345)
وسبب اختيارنا لهذه الكلمات لأن ذاكرة الإنسان يصعب عليه تذكر كلمات المرور الصعبة.
والسبب اهتمامنا بانتقاء كلمات المرور المناسبة لان الجاسوس يهتم بكشف كلمات المرور لإلغاء حماية البيانات.
كما إن استخدام كلمة المرور أكثر من تطبيق يعرضك للخطر.
هناك دراسة أجريت من قبل علماء النفس البريطانيون قاموا بتسجيل آراء أكثر من 1200 عامل مكتب حول كلمات المرور الخاصة بهم ووجدوا بعض النتائج:كما موضحة في الشكل رقم (1)
ثلاثين بالمائة من المستخدمين تحت لقب “الهواة fans” ومقصود بالهواة هم الذين يستخدمون كلمة المرور الخاصة بهم من اسم فريق رياضي أو لاعب رياضي أو شخصية معينة (مثل:شخصية تاريخية أو شخصية سياسية)وغيرها.ويمكن التنبؤ بكلمة المرور عن طريق نمط الشخصية.
خمسين بالمائة من المستخدمين يستخدمون كلمة المرور اسم أحد أفراد العائلة ويمكن الحصول على هذه المعلومات بسهولة.
أحد عشر بالمائة من المستخدمين تحت اسم “المستحوذين نفسيا self-obsessed ” ويستخدمون كلمات مرور مثل جميلة, قوي.وفي هذه الحالة تقع كلمة المرور ضمن مهاجمة القاموس.
تسعة بالمائة من الأشخاص الباقيين تحت اسم “غامضون cryptics” وهم لم يستخدمون مصطلحات شائعة ككلمات مرور.قاموا باختيار كلمة المرور جملة صعبة التوقع تكون مزيج من الأرقام وحروف ورموز.وهذه الفئة لهم خبرة واسعة في مجال الحاسب.

 

static_study

الشكل رقم (1): نتائج الدراسة التي أجريت في بريطانيا

 

مهاجمات توقع كلمات المرور يدوياً:

إجراء محاولات يدوية لايجاد كلمة المرور وقد تكون صحيحة. وتعتمد مهاجمات التوقع اليدوية على سلوك المستخدم ويتضمن :-
السلوك العام:بعض مستخدمين الحاسب يستخدم كلمة المرور”password” أو كلمات المرور الافتراضية.
السلوك الخاص:إذا قمنا بتجميع معلومات أو لمحة عن حياته يمكن أن نجرب كلمات مرور مثل:اسم زوج أو تاريخ يوم الميلاد.
ويمكن أن تكون هذه المهاجمات ناجحة ولكنها بطيئة ومتعبة لان عليك إدخال كلمة المرور ضمن مربع حوار التطبيق كما يمكن أن يتوقف التطبيق بعد عدد محدد من محاولات الفاشلة.

1-مهاجمات القاموس Dictionary Attacks :-
طريقة فعالة لكشف كلمات المرور حيث يتم من خلال هذه الطريقة التحقق من قائمة من الكلمات إذا كانت احدها يطابق كلمة المرور.
وهذا النوع من هجوم جيد لكشف كلمات المرور الضعيفة التي تكون مؤلفة من مصطلحات معروفة.

2-مهاجمات القوة العمياء brute force attacks :-
حيث يتم تجريب كل تركيب ممكن من الأحرف , الأرقام , علامات الترقيم , والرموز في محاولة لكشف كلمة المرور .
تشبه مهاجمة القوة العمياء مهاجمة القاموس ما عدا أنه يتم تجريب تركيبات مختلفة من الأحرف ومقارنتها بكلمة المرور حتى يتم الحصول على تطابق بدلاً من التحقق من كلمات ضمن قائمة الكلمات.
وتعتمد نجاح مهاجمة القوة العمياء على طول كلمة المرور كلما كانت كلمة أطول كلما قل احتمال نجاح الهجوم.

حسن إدارة كلمات المرور:

السياسيات الأمنية الجيدة هي إجراء سياسي ضد محاولات التجسس, سياسية كلمة المرور هامة جداً لأن كلمات المرور نقطة ضعف يمكن أن يستغلها جاسوس بسهولة.

مواصفات كلمة المرور القوية:

-يبلغ طولها ثمانية حروف على الأقل وكلما زاد طولها كان أفضل.
-ليست كلمة في لغة من اللغات.
-ليست من معلوماتك الشخصية مثل يوم ميلادك أو اسم احد أفراد العائلة وغيرها.
-تتضمن حروف كبيرة وصغيرة مثلا((a-z,A-Z.
-تتضمن أرقام وعلامات ترقيم بإضافة إلى أحرف مثلا (0-9,<>{}[][email protected]#$%^&*+).
-من السهل تذكرها ليست بحاجة إلى كتابتها.
-لايتم كتابتها أو حفظها الكترونيا ما لم تشفر ومن أفضل الطرق لاختيار كلمة المرور القوية هي استخدام ما يسمى )passphaseعبارة مرور)وهي عبارة تتكون من كلمات أو حروف بحيث تشكل عبارة لاتنسى مثلا:
(I hate traffic in the AM)Iht1Tam.
فالعبارات المرور تكون مقاومة بالشكل كبير لمهاجمات القوة العمياء(brute force attack)بسبب طولها غير المحدد ولأنها مزيج من أرقام والحروف وعلامات الترقيم.
هناك كلمات مرور يتم توليدها عشوائيا وينصح بها خبراء الأمن وذلك لمنع المستخدمين من استخدام كلمات مرور ضعيفة ويمكن استخدام برامج مجانية لتوليد كلمات مرور عشوائية مثل برنامج  Advanced Password Generator.
وهذي واجهة البرنامج كما موضحة في الشكل رقم (2)

Advanced_Password_Generator_prog

الشكل رقم (2):واجهة برنامج  Advanced Password Generator

وهناك دراسات تشير إلى أن مستخدم يعاني صعوبة من تذكر كلمات المرور التي يتم توليدها عشوائيا.فعلى المستخدم تذكر الفائدة الأمنية من استخدام كلمات مرور يتم توليدها عشوائيا.
وينصح بعدم استخدام كلمة المرور القوية لكل شيء وخاصة إذا تم كشفها بطريقة ما فالبيانات أصبحت غير آمنة.
فعلى سبيل المثال يعتبر إرسال رسائل مشفرة إلى محامي ذو سرية عالية أما تسجيل منتديات ترفيه ذو سرية منخفضة فإذا تم كشف كلمة المرور للنشاطات الثانوية مثل دخول منتديات ترفيه فتم كشف كلمة مرور لنشاطات سرية ومهمة.
يجب تغيير كلمة المرور بانتظام على الأقل كل ثلاث إلى ستة اشهر وعدم استخدام كلمات المرور تم استخدمها من قبل.

الحماية باستخدام مبدأ الهندسة الاجتماعية:

يمكن الحصول على كلمة المرور بشكل أكثر فعالية وكفاءة باستخدام طرق الهندسية الاجتماعية.

سياسية كلمة المرور ضد مهاجمات الهندسة الاجتماعية:
-عدم كشف كلمة المرور عن طريق الهاتف.
-عدم مشارك كلمة المرور مع أفراد العائلة.
لا تذكر كلمة المرور أمام أشخاص آخرين.-
لا تستخدم تلميحات سهلة في مواقع الويب التي تسترجع كلمة المرور في حالة نسيانك لها.-
حيث تسهل هذه تلميحات للجاسوس لكشف بريد الكتروني.
-عدم كشف كلمة المرور في منتديات.

 

الخاتمة:

بما أن حياتنا التي نعاصرها ليست سهلة حيث يجب علينا تذكر كلمة المرور الخاصة بتسجيل الدخول للبريد الكتروني ,كلمة المرور الخاصة بالمواقع الويب والمنتديات,وكلمات المرور لبطاقات الصراف,بالإضافة إلى يوم ميلادك وبعض ذكريات السنوية وهذه معلومات ذات أهمية. لذا الأشخاص يستخدمون كلمات مرور سهلة والحل الأبسط لهذه مشكلة هو الاحتفاظ بقائمة مشفرة من جميع كلمات المرور وهذا ملف مشفر باستخدام خوارزمية قوية مثل
.فإذا نسيت كلمة المرور ما عليك سوى فك تشفير القائمة واستخراج كلمة المرور.AES
ويمكن تخزين الملف على أقراص تخزين ويمكنك أيضا تخزين القائمة في ملف آخر باستخدام احد برامج
.Stegonography
وأخيرا انصح بالتزام سياسات كلمات المرور التي تقلل من خطر المهاجمات التي تعتمد على كلمات المرور الضعيفة.

تعريف بالمصطلحات:

1)Password:
سر يحتفظ به مقدم الطلب في ذاكرته ويستخدمه للتصديق على هويته. عادة ما تكون كلمات المرور على شكل سلاسل حرفية و/أو رقمية. هي سلسلة حرفية محمية تُستخدَم في التصديق على هوية مستخدم نظام حاسوب أو التصريح بالوصول إلى موارد النظام. سلسلة حرفية (الحروف الهجائية ، الأرقام ، والرموز الأخرى) تستخدم للتصديق على الهوية أو التحقق من مشروعية تصريح الوصول.

2)Advanced Encryption Standard (AES):
يحدد المعيار المتقدم للتشفير خوارزمية التشفير الصادر بشأنها موافقة من الحكومة الأمريكية التي يمكن استخدامها لحماية البيانات الالكترونية. وتمثل خوارزمية المعيار المتقدم للتشفير قالب متناظر من الترميز يمكنه تشفير وفك تشفير المعلومات. يحدد هذا المعيار خوارزمية “ريجندايل” وهي تشفير قالب متناظر يمكنها معالجة قوالب بيانات بطول 128 بت باستخدام مفاتيح ترميز طولها 128 و192 و256 بت.

3) Stegonography:
هو علم وفن إخفاء الرسائل السرية عن طريق تحويلها إلى شكل آخر.

 

Tagged in:

,