فحص تسريب الباسوردات وحماية حساباتك

غالبًا الباسورد بتاعك متسرب وانت مش واخد بالك
خلّيك صريح مع نفسك شوية…
هل عمرك غيرت الباسورد بتاعك غير لما موقع يقولك:
Security Alert ؟
الأغلب لأ.
وده طبيعي، لأن محدش بيحب يغيّر باسورداته كل شوية.

بس المفاجأة بقى؟
ممكن يكون الباسورد بتاعك متسرب من سنين، وانت لسه بتستخدمه لحد دلوقتي

وأكتر من كده:

• متسرب من موقع انت ناسيه أصلاً
• أو منتدى قديم
• أو خدمة استخدمتها مرة واحدة

والهاكرز شغالين بيه لحد دلوقتي

---

​

يعني إيه باسورد متسرب أصلًا؟ ​

ببساطة:

• موقع يتخترق
• الداتابيز تتسحب
• الإيميلات والباسوردات تتباع
• أو تتنشر Free

وبعدها:

• Bots
• Scripts
• Tools

تجرب نفس البيانات على:

• Gmail
• Facebook
• GitHub
• PayPal
• أي خدمة تانية

ولو انت من الناس اللي بتستخدم:
نفس الباسورد في أكتر من مكان
يبقى كده الحسابات كلها في خطر

---

​

الموقع الأشهر: Have I Been Pwned ​

واحد من أشهر وأقوى المواقع في المجال ده: https://haveibeenpwned.com
الموقع ده معاه:

• قاعدة بيانات ضخمة جدًا
• تسريبات من آلاف المواقع
• بيانات قديمة وحديثة
• تحديث مستمر

تدخل عليه:

• تحط الإيميل بتاعك
• يدور في الداتابيز
• يقولك:
  • اتسرب ولا لأ
  • امتى
  • من أنهي موقع
  • نوع البيانات اللي اتسربت

---

​

مثال عملي: ازاي تعرف إيميلك متسرب ولا لأ ​

افتح الموقع
اكتب الإيميل
اضغط Check
لو الإيميل سليم: Good news
لو متسرب: Oh no - pwned!
ويبدأ يقولك:

• اسم الموقع
• سنة التسريب
• نوع البيانات (Password – Username – Phone…)

ودي أول صدمة

---

​

موقع تاني أخطر: البحث بالباسورد نفسه ​

هتقولي: طب ده بحث بالإيميل…
والباسورد نفسه؟
هقولك: https://cybernews.com/password-leak-check/
الموقع ده:

• بيدور على الباسورد
• مش الإيميل
• في داتابيز تانية خالص

تحط الباسورد:

• لو موجود → خطر
• لو مش موجود → لسه تمام (نسبيًا)

طبعًا ما تحطش باسوردك الحقيقي وانت قلقان
لكن الفكرة نفسها مهمة جدًا.

---

​

طب الكلام ده حقيقي ولا هبد؟ ​

ناس كتير بتفتكر الكلام ده مبالغ فيه…
لحد ما تشوفه عمليًا
تعالى نشوف مثال حقيقي حصل فعلًا.

---

​

قصة حقيقية: Kevin Mitnick ​

Kevin Mitnick:

• واحد من أشهر الهاكرز في التاريخ
• أسطورة في الـ Social Engineering
• كتب و Courses وملايين المتابعين

في فيديو مشهور:

👆 أضغط على الصورة لمشاهدة الفيديو 👆

المهندس إبراهيم حجازي:

• استخدم أدوات تسريب
• ربط معلومات بسيطة
• وصل لباسورد Kevin Mitnick نفسه

من غير اختراق مباشر
من غير Zero-Day
من غير كراك
مجرد:
تسريبات قديمة + إعادة استخدام باسورد

---

​

هتقولي: حتى لو الباسورد متسرب هيكون مشفر ​

كلام مظبوط… بس مش دايمًا.
حتى لو:

• MD5
• SHA1
• SHA256

فيه حاجة اسمها:
Rainbow Tables
وهنا يدخل الوحش

---

​

CrackStation: لما التشفير ما ينفعش ​

الموقع: https://crackstation.net/
الموقع ده:

• معاه مليارات الهاشات
• جاهزة مسبقًا
• متكسّرة قبل كده
• مقارنة فورية

انت بتعمل إيه؟

• تحط الهاش
• الموقع يطابقه
• يرجعلك الباسورد Plain Text

يعني: تشفير ضعيف = ملوش أي لازمة

---

​

مثال بسيط على Hash Crack ​

لو عندك: 5f4dcc3b5aa765d61d8327deb882cf99
تحطه في CrackStation
النتيجة: password
بس كده
ولا كأنه كان متشفر أصلاً.

---

​

ليه إعادة استخدام الباسورد مصيبة؟ ​

خلّينا نكون واقعيين:

• تسريب واحد
• باسورد واحد
• إيميل واحد

يؤدي إلى:

• سرقة إيميل
• سرقة فيسبوك
• سرقة GitHub
• سرقة VPS
• سرقة فلوس

وده اسمه: Credential Stuffing
وأغلب الاختراقات بتحصل بالطريقة دي مش أكتر.

---

​

الحل الحقيقي: باسوردات قوية ومختلفة ​

نصيحة ذهبية: كل موقع = باسورد مختلف
الباسورد يكون:

• طويل
• معقد
• فيه:
  • حروف كبيرة
  • حروف صغيرة
  • أرقام
  • رموز

مثال: A9$kP!2zQ@x#7L
مستحيل يتحفظ…
بس سهل يتخزن

---

​

استخدم Password Generator جاهز ​

بدل ما تتعب دماغك: https://tools.nafezly.com/password-generator
الأداة دي:

• بتولد باسوردات قوية
• عشوائية
• بأي طول
• مع رموز

وتقدر:

• تحفظها في Password Manager
• أو مدير متصفح

---

​

هل Password Manager آمن؟ ​

أيوه… وأأمن بكتير من:

• ورقة
• ملف txt
• نفس الباسورد في كل مكان

أمثلة:

• Bitwarden
• 1Password
• LastPass (بحذر)

---

​

الخلاصة: افترض دايمًا إنك متسرب ​

في عالم الأمن: Assume Breach
يعني:

• افترض إن بياناتك اتسربت
• تصرّف على الأساس ده
• امنع الضرر قبل ما يحصل

لو عملت:

• باسورد مختلف
• باسورد قوي
• 2FA

حتى لو اتسرب: مش هيعرف يعمل حاجة