"12345" سيء حقًا: دليلك النهائي لأمان كلمة المرور
نشرت: 2022-01-29لقد نصحك مرارًا وتكرارًا بأن الطريقة الآمنة الوحيدة لتخزين كلمات المرور واستخدامها هي الاعتماد على مدير كلمات المرور ، لكن البعض منكم لا يستمع. في استطلاع PCMag حول كلمات المرور ، أفاد 24 بالمائة فقط منكم باستخدام مدير كلمات المرور. ماذا تفعل البقية؟ باستخدام كلمات مرور سهلة مثل كلمة المرور أو 12345678؟ حفظ كلمة مرور معقدة واحدة واستخدامها في كل مكان؟ اسمع ، فإن الاهتمام بأمان كلمة المرور ليس بالأمر الهين ، ولكن بالنظر إلى الحجم الهائل للمخاطر - كما هو موضح في خرق المجموعة رقم 1 الأخير ، الذي كشف 773 مليون عنوان بريد إلكتروني مخترق - عليك أن تفعل كل ما بوسعك للاحتفاظ بكلمات المرور الخاصة بك آمنة.
حتى إذا كنت تستخدم أفضل مدير لكلمات المرور ، فهذا لا يضمن أمان حساباتك — ليس إذا كنت تستخدم مدير كلمات المرور لتذكر كلمات المرور القديمة المتعبة نفسها. عليك النزول في الخنادق واستبدال كلمات المرور السيئة بكلمات مرور جديدة أقوى.
كشف هذا الاستطلاع المذكور أعلاه أن 35 في المائة من قراء PCMag لا يغيرون كلمات المرور الخاصة بهم أبدًا ، ما لم يُجبروا على القيام بذلك بسبب خرق. بشكل عام ، هذا ليس بالأمر السيئ. لم يعد المعهد الوطني للمعايير والتكنولوجيا يوصي بتغيير كلمات المرور كل 90 يومًا. توصي NIST الآن باستخدام عبارات مرور طويلة مثل "Correct-Horse-Battery-Staple" وتغييرها عند الضرورة فقط. ولكن إذا كنت تستخدم كلمات مرور سيئة ، فإن كلمة "عند الضرورة" تعني الآن .
فقط ما الذي يجعل كلمة المرور سيئة؟ سنلقي نظرة على بعض سمات كلمات المرور الرهيبة ، وبعد ذلك سنقدم لك بعض المؤشرات حول كيفية عمل كلمات المرور بالطريقة الصحيحة.
ابق خارج القاموس
كل بضعة أشهر ، ينشر منفذ إخباري أو آخر قائمة بأسوأ كلمات المرور. نرى الكثير من الخيارات سهلة الكتابة ، مثل 123456 و 12345678 و qwerty. سهل لك؟ بالتأكيد. ولكن من السهل أيضًا على المتسللين اختراقها. تتكون كلمات المرور الشائعة الأخرى (والضعيفة) من كلمات قاموس بسيطة. لقد رأينا لعبة البيسبول والقرد والنجوم في قائمة أسوأ كلمات المرور. هذه ، أيضًا ، من السهل كسرها.
يتم قفل بعض مواقع الويب الآمنة بعد عدد محدد من محاولات كلمة المرور الخاطئة ، لكن الكثير منها لا يفعل ذلك. بالنسبة لأولئك الذين ليس لديهم قفل تخمين خاطئ ، يمكن للقراصنة عبور قائمة عناوين البريد الإلكتروني بقائمة من كلمات المرور الشائعة وإعداد عملية تلقائية لمواصلة تجربة المجموعات حتى يدخلوا.
لا يقوم موقع الويب المؤمَّن بشكل صحيح بتخزين كلمة مرورك في أي مكان. بدلاً من ذلك ، يتم تشغيل كلمة المرور من خلال خوارزمية التجزئة ، وهو نوع من التشفير أحادي الاتجاه. ينتج نفس الإدخال دائمًا نفس الإخراج ، ولكن لا توجد طريقة للعودة إلى كلمة المرور الأصلية من التجزئة الناتجة. إذا تم تجزئة كلمة المرور التي تكتبها بنفس القيمة المخزنة ، يمكنك الوصول إليها. حتى إذا استولى المخترقون على بيانات مستخدم الموقع ، فلن يحصلوا على كلمات مرور ، بل مجرد تجزئات.
لكن المتسللين الأذكياء يمكنهم اختراق كلمات المرور الضعيفة حتى عندما تكون مجزأة ، إذا كانوا يعرفون وظيفة التجزئة التي يستخدمها الموقع. يبدأون بتشغيل قاموس ضخم لكلمات المرور الشائعة من خلال وظيفة التجزئة. ثم يبحثون عن التجزئات الناتجة في البيانات الملتقطة. كل مباراة هي كلمة مرور متصدعة. تعمل المواقع التي تتمتع بأفضل مستوى أمان على تحسين وظيفة التجزئة باستخدام تقنية تسمى التمليح ، مما يجعل هذا النوع من التكسير المستند إلى الجدول مستحيلًا ، ولكن لماذا المخاطرة؟ فقط ابق خارج القاموس.
غير طريقة تفكيرك
أخبرني أحد الأصدقاء ذات مرة كلمة المرور المثالية: 1qaz2wsx3edc4rfv. يمكنها "كتابتها" بمجرد تمرير إصبعها لأسفل أربعة أعمدة مائلة من لوحة المفاتيح. كانت مثالية للغاية ، لقد استخدمتها في كل مكان. وكان ذلك خطأ كبيرا.
لا يكاد يمر أسبوع دون أنباء عن حدوث خرق في شركة أو موقع ويب ما ، مما يؤدي إلى كشف آلاف أو ملايين من أسماء المستخدمين وكلمات المرور. الضحايا الأذكياء يغيرون كلمات المرور الخاصة بهم على الفور. أولئك الذين يتجاهلون المشكلة قد يجدون أنفسهم مغلقين من حساباتهم الخاصة بعد أن أعاد المتسللون إعادة تعيين كلمة المرور.
يعرف هؤلاء المتسللون أن الكثير من الأشخاص يعيدون استخدام كلمات المرور الخاصة بهم. بمجرد العثور على اسم مستخدم وكلمة مرور عاملين ، فإنهم يجربون نفس بيانات الاعتماد على المواقع الأخرى. قد لا تكون قلقًا جدًا بشأن فقدان الوصول إلى حساب Club Penguin الخاص بك ، ولكن إذا استخدمت نفس معلومات تسجيل الدخول على موقع الويب الخاص بالبنك الذي تتعامل معه ، فستواجه مشكلة كبيرة.

تزداد الأمور سوءا. إذا تمكن شخص آخر من التحكم في حساب بريدك الإلكتروني ، فيمكنه أولاً قفل حسابك عن طريق تغيير كلمة المرور. ثم يمكنهم اقتحام حساباتك الأخرى عن طريق إرسال رابط إعادة تعيين كلمة المرور عبر البريد الإلكتروني إلى هذا الحساب. قلقة حتى الآن؟
لا تأخذ الأمور الشخصية
يعد استخدام المعلومات الشخصية كأساس لكلمات المرور الخاصة بك أمرًا مغريًا للغاية ، لكنها فكرة سيئة. هناك احتمالات جيدة أن يظهر اسم كلبك في القواميس التي يستخدمها المتسللون لهجمات القوة الغاشمة. من المحتمل ألا تقع الاحتمالات الأخرى مثل الأحرف الأولى وتاريخ ميلاد أحد أفراد الأسرة في هجوم القوة الغاشمة ، ولكن إذا أراد شخص ما اختراق حسابك على وجه التحديد ، فإن هذه البيانات الشخصية يمكن أن تغذي هجوم تخمين التجربة والخطأ.
لا تفكر للحظة في أن بياناتك الشخصية خاصة. هناك العشرات من المواقع التي يمكن للأشخاص استخدامها للعثور على تفاصيل حول أي شخص: العنوان وتاريخ الميلاد والحالة الاجتماعية والمزيد. يمكن أن تكون منشوراتك على وسائل التواصل الاجتماعي مصدرًا آخر للمعلومات الشخصية ، خاصةً إذا لم تقم بتأمين حساباتك بشكل صحيح. يمكن للمتسلل المصمم (أو الجار الفضولي) تخمين أي كلمة مرور تقوم بإنشائها بناءً على بياناتك الخاصة.
أغلق الباب الخلفي
إذا كنت لا تستخدم مدير كلمات المرور ، فمن المؤكد أنك قد نسيت كلمة مرور أحد المواقع. كل هذا شائع جدًا ، ولهذا السبب تشتمل كل صفحة تسجيل دخول تقريبًا على الرسالة "هل نسيت كلمة المرور؟" حلقة الوصل. ترسل بعض المواقع رابط إعادة تعيين إلى عنوان بريدك الإلكتروني ، بينما يتيح لك البعض الآخر إعادة تعيين كلمة المرور بعد الإجابة على أسئلة الأمان الخاصة بك. وهذا يفتح بابًا خلفيًا لأي شخص يريد اختراق حسابك.
تقدم معظم المواقع خيارات سيئة لأسئلة الأمان. ما هو اسم والدتك الاوسط؟ أين درست الثانوية؟ ماذا كان عملك الاول؟ كما لوحظ ، حياتك الشخصية هي كتاب مفتوح لأي شخص لديه مهارات البحث على الإنترنت. عندما يكون ذلك ممكنًا ، تجاهل الأسئلة المعدة مسبقًا. قم بإنشاء سؤالك الخاص ، بإجابة فريدة ستتذكرها دائمًا ولكن لا يمكن لأي شخص آخر تخمينها.
يكون الأمر أكثر صعوبة عندما لا يسمح لك الموقع بتحديد أسئلتك الخاصة. في هذه الحالة ، أفضل رهان لك هو استخدام إجابة لا تُنسى وهي كذبة كاملة. اسم والدتي قبل الزواج هو أوباما. ذهبت إلى المدرسة في ثانوية الشهداء الشيوعيين. في وظيفتي الأولى ، كنت مروضًا لأسد. هناك عنصر مخاطرة ، لأنك قد تنسى الكذبة التي اخترتها. أود أن أقترح تخزين هذه الإجابات الغريبة كملاحظات آمنة في مدير كلمات المرور ... ولكن إذا كنت تستخدم مدير كلمات المرور ، فسيتذكر كلمة المرور نيابةً عنك.
ماذا تفعل الآن بعد أن تهتم
آمل أن أكون قد أقنعتك أن استخدام كلمات المرور الشائعة فكرة فاسدة ، مثل إنشاء كلمات مرور من المعلومات الشخصية. وحتى أفضل كلمات المرور العشوائية القوية تصبح مسؤولية إذا كنت تستخدمها في كل مكان. إذا كنت مستعدًا لاتخاذ إجراء ، فإليك بعض نقاط البداية:
- استخدم مدير كلمات المرور.
- قم بالتبديل إلى مدير كلمات مرور أفضل.
- تذكر كلمة مرور رئيسية آمنة بجنون لمدير كلمات المرور الخاص بك.
- استفد من أداة إنشاء كلمات المرور العشوائية لترقية كلمات المرور القديمة السيئة.
- يمكنك أيضًا إنشاء مولد كلمة مرور عشوائي خاص بك في Excel.
- قم بتمكين المصادقة ذات العاملين حيثما كان ذلك متاحًا.
إذا كان الموقع الآمن لا يهتم بالأمان ، فلا يزال من الممكن أن تفقد بيانات اعتماد هذا الموقع لخرق البيانات ، ولكن بجعل كل كلمات مرورك طويلة وقوية وفريدة من نوعها ، فقد فعلت كل ما بوسعك لحماية حساباتك على الإنترنت.
ويا! الآن بعد أن بدأت العمل ، من الناحية الأمنية ، فكر في إضافة شبكة افتراضية خاصة أو VPN. استخدام كلمات مرور قوية لمواقع آمنة يعني أنه لا يمكن للآخرين اقتحام حساباتك ؛ تعني إضافة VPN أنه لا توجد فرصة لأي شخص أن يعترض اتصالك بهذه المواقع الآمنة.