- بواسطة x32x01 ||
تأمين كلمات المرور:
وهي إحدى النصائح الذهبية للحفاظ على الحماية والخصوصية، حيث يجب اعتماد كلمة مرور صعبة لكل شيء يتطلب كلمة مرور ابتداءً من شبكة الواي فاي مروراً بالبريد الإلكتروني وحسابات التواصل الاجتماعي انتهاء بالملفات أو النسخ الاحتياطية أو المواقع أو أي شيء يتطلب كلمة مرور، سوف نستعرض بعض الخطوات البسيطة لتأمين كلمات المرور:
1 - استخدام كلمات مرور صعبة وطويلة:
يلجأ الكثير من المخترقين إلى استعمال تقنيات متعددة في سبيل الكشف عن كلمة المرور مثل هجمات القوة الغاشمة Brute force أو هجمات القواميسDictionary رغم تشابه تقنية الهجومين إلى حد كبير ولكن هناك بعض الاختلافات البسيطة بينهما، ولكن مبدأ عمل كلا الهجومين أن يقوم الحاسوب بتجربة مئات أو آلاف أو ملايين كلمات المرور الممكنة كل ثانية إلى أن يصل إلى كلمة المرور، وذلك يعتمد على قوة العتاد الصلب الذي سيستعمل في الهجوم.
1.1- الوقت اللازم لاختراق كلمة مرور:
لمعرفة كمية الوقت اللازمة لاختراق كلمة المرور يجب علينا الأخذ بعين الاعتبار ثلاثة عوامل أساسيّة:
أ- عدد خانات كلمات المرور:
والمقصود بها كم عدد الخانات المتكونة منها كلمة المرور، أي بطريقة أخرى كلمة المرور تتكون من كم من حرف ؟ فاختراق كلمة مرور من 3 خانات أسهل من اختراق كلمة مرور تتكون من 6 خانات، واختراق كلمة مرور تتكون 6 خانات أسهل من اختراق كلمة مرور تتكون من 10 خانات وتتطلب وقتاً أقل، وهكذا ...
ب- نوع خانات كلمة المرور:
أي من ماذا تتكون خانات كلمة المرور، أهي أرقام فقط، أم حروف صغيرة فقط ؟ أم حروف كبيرة وصغيرة ؟ أم حروف كبيرة وصغيرة ورموز ؟
فكلمة المرور المتكونة من أرقام فقط تحتمل الخانة الواحدة 10 احتمالات (الأرقام من 0 إلى 9).
أما كلمة المرور المتكونة من أحرف صغيرة فقط فتحتمل الخانة الواحدة 26 احتمال، (الحروف من a إلى z).
أما كلمة المرور المتكونة من أحرف صغيرة وكبيرة فقط فتحتمل الخانة الواحدة 52 احتمال، (الحروف من a إلى z والحروف من A إلى Z).
أما كلمة المرور المتكونة من أحرف صغيرة وكبيرة وأرقام فقط فتحتمل الخانة الواحدة 62 احتمال، (الحروف من a إلى z والحروف من A إلى Z والأرقام من 0 إلى 9).
أما كلمة المرور المتكونة من أحرف صغيرة وكبيرة وأرقام ورموز فتحتمل الخانة الواحد 95 احتمال، (الحروف من a إلى z والحروف من A إلى Z والأرقام من 0 إلى 9 والرموز مثل: $ _ - @ $ ! إلخ).
وبالتالي كلمت تنوعن الخانات في كلمة المرور كانت عملية الاختراق أصعب مثلما سنرى في المثال لاحقاً.
ج- العتاد الصلب:
أي العتاد الصلب الذي سيتم استعماله في كسر كلمة المرور، وكلما كان أفضل وأقوى كانت عملية كسر كلمة المرور أقل، فمثلاً استعمال كرت شاشة GTX 1080 أفضل من استعمال كرت شاشة GTX 1650 لأنه سيقوم بمحاولات أكثر في الثانية الواحدة لتخمين كلمة المرور، واستعمال كرت شاشة RTX 3090 أفضل وأسرع من استعمال كرت شاشة GTX 1080، وهكذا، كما أنه يمكن من استعمال أكثر من كرت شاشة في نفس الوقت لمضاعفة سرعة التخمين اللازمة لكسر كلمة المرور.
واستناداً للعوامل الثلاثة السابقة يمكننا من حساب الوقت اللازم لكسر كلمة المرور وفق المعادلة التاليّة:
الوقت الأقصى لكسر كلمة المرور = ((عدد احتمالات الخانة الواحدة لكلمة المرور)^عدد خانات كلمة المرور) / الاحتمالات الممكنة في الثانية الواحدة
وسبب قولنا الوقت الأقصى لأنه غالباً لن تتم تجربة كل الاحتمالات اللازمة لكلمة المرور أثناء عملية الكسر، بل ستتم معرفة كلمة المرور أثناء عملية الكسر.
مثال: كلمة مرور تتكون من ثماني خانات، الخانة الواحدة تتكون من أحرف صغيرة فقط (أي 26 احتمال للخانة الواحدة)، وعملية الكسر ستتم عبر كرت شاشة GTX 1080 والذي بإمكانه تجربة 30 مليون كلمة سر في الثانية الواحدة، سيكون الوقت اللازم هو التالي:
الوقت الأقصى لكسر كلمة المرور = 26^8/30000000=208827064576/30000000=6960.9 ثانية.
وبقسمة 6960.9 على 3600 ستكون النتيجة 1.9 ساعة، أي لكسر كلمة مرور متكونة من ثماني خانات وهذه الخانات هي أحرف صغيرة فقط باستعمال كرت شاشة GTX 1080 يحتاج المخترق إلى 1.9 ساعة لمعرفتها.
وبنفس المعادة السابقة لكسر كلمة مرور تتكون من ثماني خانات، ولكن الخانة الواحد قد تكون أحرف صغيرة أو كبيرة أو أرقام (أي 62 احتمال للخانة الواحدة) وباستعمال نفس المعالج فسيتطلب ذلك 84 يوم لكسر كلمة المرور.
أما لكسر كلمة مرور تتكون من تسع خانات، والخانة الواحدة قد تكون أحرف صغيرة أو أكبيرة أو أرقام أو رموز وباستعمال نفس المعالج فسيتطلب ذلك 670 سنة.
مما سبق نستنتج الفرق الشاسع للوقت اللازم لكسر كلمة مرور مكونة من 9 حروف مثلاً والتي ستتطلب على أقصى تقدير 2.1 يوم وبين كسر كلمة مرور مكونة 12 خانة وتتكون من مزيج بين الحروف والرموز والأرقام والتي ستتطلب ملايين السنين وهذا من الناحية العمليّة أمر مستحيل.
فلو كانت كلمة المرور سهلة وقصيرة فإن احتمال إيجادها قد يستغرق دقائق أو ساعات أو أيام أما لو كانت كلمة المرور صعبة وطويلة فقد يحتاج الأمر لأشهر وسنوات، وحتى يتمكن المخترق من إيجاد كلمة المرور ربما تكون قد حذفت حسابك أو بريدك الإلكتروني، ولذلك يوصي دائماً خبراء الحماية باستعمال كلمات مرور أطول من 8 خانات وأن تكون مزيج من الأرقام والحروف والرموز.
ولكن جميع ما تمّ ذكره في حال إذا كان المهاجم شخص عادي ويمتلك كرت شاشة واحد وعادي، ولكن عند منظمات الاختراق أو الدول والحكومات فلديها أجهزة عملاقة وخارقة كما أنها قد تشارك بأكثر من معالج أو كرت شاشة في نفس الوقت، إضافة إلى أن جميع ما تم ذكره كان باستعمال تقنية Brute force، ولكن هناك تقنيات أخرى أكثر تقدماً ولا تحتاج إلى هذه الأوقات الخرافيّة، فمثلاً مع استعمال هجمات الـ Rainbow Table (تقنية أسرع وأقوى من Brute force بكثير) يمكن كسر كلمات المرور التي كانت تتطلب ملايين السنوات بثواني معدودة، حيث قام العديد من الخبراء بإجراء تجارب وتبيّن أن كسر كلمة مرور تتكون من 14 خانة وكل خانة مزيج من الحروف والأرقام والرموز يتطلب 5.3 ثانية عوضاً عن ملايين السنيين بتقنية الـ Brute force.
وهذا كله يعتمد في النهاية على من أنت ؟ ومن سيقوم باختراقك ؟
هل هو أحد الجيران يريد اختراق كلمة مرور شبكة الـ Wifi من أجل الاتصال بشكل مجاني، أو أحد أصدقائك أو معارفك المتطفلين ويريد التجسس عليك ومعرفة مع من تتحدث ؟
أم أنت بالفعل شخص مهم وهناك جهة أو طرف ما مستعد لدفع آلاف الدولات لمنظمات الاختراق أو لشراء معدات وأجهزة باهظة الثمن من أجل اختراق أحد حساباتك ؟
إذا كنت مثلي من الفئة الأولى فكن على اطمئنان بأنه لن يخترقك أحد إذا كانت كلمة مرورك من 10 خانات أو أكثر، إما إذا كنت من الفئة الثانية وهناك من هو مستعد لدفع آلاف الدولارات لاختراقك أو اختراقك أحد حساباتك فكن على اطمئنان أيضاً أنه مهما فعلت فسيتم اختراقك في النهاية !
2- تغيير كلمة المرور من حساب لآخر:
تخيل لو كانت كلمة مرور شبكة الواي فاي ahmed1234 وقام أحد المخترقين بمعرفتها، وتخيل لو كانت نفسها هي كلمة المرور في الفايسبوك والبريد الإلكتروني وتويتر وغيرها ! لك أن تتخيل حجم الكارثة ؟ إن معرفة كلمة مرور واحدة ستمكن المخترق من معرفة كلمات مرور كل حساباتك واختراقاك فيها واحد تلو الآخر.
ولكن ماذا لو كانت كلمة المرور المستعملة مختلفة من حساب لآخر، فلو تم اختراق أحد حساباتك بطريقة أو أخرى لن يتمكن المخترق من اختراق باقي الحسابات.
3- تغيير كلمة المرور من وقت لآخر:
وهي خطوة احترازية في حال معرفة المخترق لكلمة المرور بطريقة أو أخرى واستعملها لأغراض التجسس فقط فعند تغييرها مرة أخرى سيتم طرد المخترق من الحساب ويتوجب عليه معرفة كلمة المرور من جديد، مثلاً اخترق أحدهم بريدك الإلكتروني أو حساب الفايسبوك ولكن لم يقم بأي سلوك ضار في الحساب بل بقي فقط يقرأ آخر الرسائل والمحادثات دون أن يشعرك بشيء، ولكن لو كنت تتبع سياسة تبديل كلمات المرور بشكل منتظم فسيتم طرد المخترق من الحساب ويتوجب عليه معرفة كلمة المرور مرة أخرى.
4- استعمال تقنيات (2FA):
اختصاراً لـ Two-Factor Authentication أي المصادقة الثنائيّة أو كما تسمى الاستيثاق الثنائي أو التوثيق الثنائي، واستعمال هذه الخطوة قد يعد أهم من جميع الخطوات السابقة وذلك لما يقدمه من طبقة حماية صعبة الكسر أو شبه مستحيلة.
ما هو عامل المصادقة الثنائيّة (2FA):
قد يطول شرحه ويختلف من جهة لأخرى، ولكن دعونا نقول إنه ببساطة تسجيل الدخول إلى موقع أو خدمة معينة عبر مرحلتين، المرحلة الأولى وهي كلمة المرور التي يعرفها المستخدم والتي تم تعينها سابقاً من طرفه، أما المرحلة الثانية فهي رمز سري لا يعرفه المستخدم ولا يعرفه المخترق ولا يعرفه الموقع ! من يعرفه إذاً ؟ الجواب لا أحد يعرفه، ولكن يتم توليده وإرساله إلى المستخدم بعد تجاوز المرحلة الأولى إلى شيء ما يمتلكه المستخدم (كهاتفه الجوال، أو تطبيق ذكي في هاتفه) قام المستخدم باختياره سابقاً، حيث يتم توليد وإنشاء هذا الرمز السري من قبل الموقع أو الخدمة التي تمّ الولوج إليها ويتم إرسالها حصراً إلى ذلك الهاتف عبر إرسالية قصيرة SMS، ويكون هذا الرمز صالح لفترة قصيرة جداً (5 دقائق أو دقيقتان أو أقل) وإذا لم تتم كتابة هذا الرمز فلن يتمكن أي طرف (المستخدم أو المخترق) من الولوج إلى ذلك الحساب، وبالتالي حتّى لو تمكن المخترق بطريقة أو أخرى من معرفة كلمة المرور لحساب الضحية فسيطلب منه رمز المصادقة الثنائي وهنا لا يمكن للمخترق معرفته كما أن صلاحية هذا الرمز صغيرة جداً على الأغلب دقيقتان أو أقل، ولا يمكن طلب عدة رموز في فترة زمنية صغيرة، قد يكون إعادة الطلب للرمز ممكناً بعد ساعتان ثم الطلب الذي بعده بعد 24 ساعة، وأثناء وصول رمز المصادقة إلى المستخدم المرة الأولى عبر رسالة نصيّة SMS سيعرف حينها أن هناك طرفاً ما يحاول اختراق حسابه وقام بمعرفة كلمة المرور، لذا حينها سيقوم باتخاذ كلّ احتياطاته الممكنة وسيقوم بتبديل كلمة المرور ... وبالتالي عامل المصادقة الثنائي هام جداً وسيحول المخترق من اختراق الحساب الذي كان بصدد اختراقه.
هل يمكن اعتماد عامل المصادقة الثنائيّة (2FA) كحل نهائي لحماية كلمات المرور ؟
بشكل عام نعم، ولكن كما قلنا في عالم الاختراق لا يوجد مستحيل أو حماية مطلقة فكل شيء نسبي، وعمليّاً لكي يتمكن المخترق من معرفة هذا الرمز هناك احتمالين لا ثالث لهما:
الأول: هو الوصول الفيزيائي للهاتف (سرقته مثلاً ؟ ولكن إذا كانت سرقته ممكنة فلا داعي للاختراق من أصله كان يكفي سرقة الهاتف منذ البداية دون تكبيد المخترق عناء الاختراق ! أو تكليف أحد الأشخاص المحيطين به (العائلة أو الأصدقاء أو زملاء العمل) بأخذ هاتفه أثناء عملية الاختراق والاطلاع على ذلك الرمز ومن ثمّ إرساله إلى الجهة المخترقة) نعم، قد يبدو ذلك كأحد أفلام هوليود ولكنه قد يحدث وخاصة مع رجال الأعمال أو السياسيين والشخصيات رفيعة المستوى.
أما الاحتمال الثاني: وهو الأكثر واقعيّة والأكثر عمليّة والأكثر تداول: وهو اعتراض رسالة الـ SMS قبل وصولها، فتوجد معدات خاصة تُمكن من حدوث هذا، والتي غالباً لا تمتلكها إلا منظمات الاختراق أو المخترقين رفيعي المستوى، ولكن ماذا لو كانت الجهة المخترقة هي الدولة نفسها وأجهزة استخباراتها ! فيكفي إعلام شركة الاتصال لتقوم هي بإرسال الرسالة التي فيها رمز عامل المصادقة الثنائي وتنتهي القصة بكل بساطة ...
بسبب هذه العيوب الأمنية في رمز المعامل الثنائي (2FA) ظهرت حلول أخرى بديلة عن الـرسائل النصيّة SMS وقد تكون أكثر أماناً وهي عن طريق تطبيقات في الهواتف الذكيّة (Android أو IOS) يتم تثبيتها مسبقاً، مهمة هذه التطبيقات هي توفير الطبقة (المرحلة) الثانية من الحماية، ولكن عوضاً عن وصول الرمز إلى الهاتف عبر رسالة SMS سيصل الرمز عبر التطبيق، أو عبر رمز QR يأتي في الجهاز الجديد الذي تمّ الولوج منه، ويجب على المستخدم مسحه (تصويره) باستخدام هاتفه الذي فيه تطبيق المعامل الثنائي، ولعلّ من أشهر هذه التطبيقات هو تطبيق Google authenticator، تعدّ هذه الطريقة أكثر أماناً من الطريقة الأولى، ولكن ما يعيبها هو في حال ضياع الهاتف أو فقدان الوصول إليه سيكون من الصعب الوصول إلى الحساب مجدداً وعلى العكس من رسائل الـ SMS فبمجرد فقدان الهاتف يمكن الذهاب لشركة الاتصالات وطلب شريحة SIM جديدة.
جميع ما تمّ ذكره يختلف من موقع لآخر ومن خدمة لأخرى، ولكل موقع طرقه الخاصة في التعامل والاسترداد والمسميات والحماية والمعايير المتبعة ولكن تمّ شرح الفكرة بشكل عام لعامل المصادقة الثنائية، وفي يومنا هذا أصبحت معظم المواقع المشهورة توفر عامل المصادقة الثنائي، ومنها ما يتبع معاير أخرى في المرحلة الثانية من الحساب كالاعتماد على مسح بصمة الإصبع (أغلب الهواتف الحديثة أصبحت توفر مستشعرات البصمات) أو مسح بصمة العين أو المسح الوجهي أو التعرف الصوتي وغيرها من الطرق والتقنيات الحديثة الأخرى.
ختاماً يطالب العديد من خبراء الحماية بالسماح بتعداد عوامل المطابقة وأن تكون متعددة وليست ثنائية فقط، أي في المرحلة الأولى كتابة البريد الإلكتروني أو اسم المستخدم مع كلمة المرور، ومن ثم عامل المطابقة الثنائي الذي قد يكون على شكل SMS أو كود QR ومن ثم عامل المطابقة الثلاثي الذي قد يكون على شكل مسح البصمة أو التعرف الصوتي.
وهي إحدى النصائح الذهبية للحفاظ على الحماية والخصوصية، حيث يجب اعتماد كلمة مرور صعبة لكل شيء يتطلب كلمة مرور ابتداءً من شبكة الواي فاي مروراً بالبريد الإلكتروني وحسابات التواصل الاجتماعي انتهاء بالملفات أو النسخ الاحتياطية أو المواقع أو أي شيء يتطلب كلمة مرور، سوف نستعرض بعض الخطوات البسيطة لتأمين كلمات المرور:
1 - استخدام كلمات مرور صعبة وطويلة:
يلجأ الكثير من المخترقين إلى استعمال تقنيات متعددة في سبيل الكشف عن كلمة المرور مثل هجمات القوة الغاشمة Brute force أو هجمات القواميسDictionary رغم تشابه تقنية الهجومين إلى حد كبير ولكن هناك بعض الاختلافات البسيطة بينهما، ولكن مبدأ عمل كلا الهجومين أن يقوم الحاسوب بتجربة مئات أو آلاف أو ملايين كلمات المرور الممكنة كل ثانية إلى أن يصل إلى كلمة المرور، وذلك يعتمد على قوة العتاد الصلب الذي سيستعمل في الهجوم.
1.1- الوقت اللازم لاختراق كلمة مرور:
لمعرفة كمية الوقت اللازمة لاختراق كلمة المرور يجب علينا الأخذ بعين الاعتبار ثلاثة عوامل أساسيّة:
أ- عدد خانات كلمات المرور:
والمقصود بها كم عدد الخانات المتكونة منها كلمة المرور، أي بطريقة أخرى كلمة المرور تتكون من كم من حرف ؟ فاختراق كلمة مرور من 3 خانات أسهل من اختراق كلمة مرور تتكون من 6 خانات، واختراق كلمة مرور تتكون 6 خانات أسهل من اختراق كلمة مرور تتكون من 10 خانات وتتطلب وقتاً أقل، وهكذا ...
ب- نوع خانات كلمة المرور:
أي من ماذا تتكون خانات كلمة المرور، أهي أرقام فقط، أم حروف صغيرة فقط ؟ أم حروف كبيرة وصغيرة ؟ أم حروف كبيرة وصغيرة ورموز ؟
فكلمة المرور المتكونة من أرقام فقط تحتمل الخانة الواحدة 10 احتمالات (الأرقام من 0 إلى 9).
أما كلمة المرور المتكونة من أحرف صغيرة فقط فتحتمل الخانة الواحدة 26 احتمال، (الحروف من a إلى z).
أما كلمة المرور المتكونة من أحرف صغيرة وكبيرة فقط فتحتمل الخانة الواحدة 52 احتمال، (الحروف من a إلى z والحروف من A إلى Z).
أما كلمة المرور المتكونة من أحرف صغيرة وكبيرة وأرقام فقط فتحتمل الخانة الواحدة 62 احتمال، (الحروف من a إلى z والحروف من A إلى Z والأرقام من 0 إلى 9).
أما كلمة المرور المتكونة من أحرف صغيرة وكبيرة وأرقام ورموز فتحتمل الخانة الواحد 95 احتمال، (الحروف من a إلى z والحروف من A إلى Z والأرقام من 0 إلى 9 والرموز مثل: $ _ - @ $ ! إلخ).
وبالتالي كلمت تنوعن الخانات في كلمة المرور كانت عملية الاختراق أصعب مثلما سنرى في المثال لاحقاً.
ج- العتاد الصلب:
أي العتاد الصلب الذي سيتم استعماله في كسر كلمة المرور، وكلما كان أفضل وأقوى كانت عملية كسر كلمة المرور أقل، فمثلاً استعمال كرت شاشة GTX 1080 أفضل من استعمال كرت شاشة GTX 1650 لأنه سيقوم بمحاولات أكثر في الثانية الواحدة لتخمين كلمة المرور، واستعمال كرت شاشة RTX 3090 أفضل وأسرع من استعمال كرت شاشة GTX 1080، وهكذا، كما أنه يمكن من استعمال أكثر من كرت شاشة في نفس الوقت لمضاعفة سرعة التخمين اللازمة لكسر كلمة المرور.
واستناداً للعوامل الثلاثة السابقة يمكننا من حساب الوقت اللازم لكسر كلمة المرور وفق المعادلة التاليّة:
الوقت الأقصى لكسر كلمة المرور = ((عدد احتمالات الخانة الواحدة لكلمة المرور)^عدد خانات كلمة المرور) / الاحتمالات الممكنة في الثانية الواحدة
وسبب قولنا الوقت الأقصى لأنه غالباً لن تتم تجربة كل الاحتمالات اللازمة لكلمة المرور أثناء عملية الكسر، بل ستتم معرفة كلمة المرور أثناء عملية الكسر.
مثال: كلمة مرور تتكون من ثماني خانات، الخانة الواحدة تتكون من أحرف صغيرة فقط (أي 26 احتمال للخانة الواحدة)، وعملية الكسر ستتم عبر كرت شاشة GTX 1080 والذي بإمكانه تجربة 30 مليون كلمة سر في الثانية الواحدة، سيكون الوقت اللازم هو التالي:
الوقت الأقصى لكسر كلمة المرور = 26^8/30000000=208827064576/30000000=6960.9 ثانية.
وبقسمة 6960.9 على 3600 ستكون النتيجة 1.9 ساعة، أي لكسر كلمة مرور متكونة من ثماني خانات وهذه الخانات هي أحرف صغيرة فقط باستعمال كرت شاشة GTX 1080 يحتاج المخترق إلى 1.9 ساعة لمعرفتها.
وبنفس المعادة السابقة لكسر كلمة مرور تتكون من ثماني خانات، ولكن الخانة الواحد قد تكون أحرف صغيرة أو كبيرة أو أرقام (أي 62 احتمال للخانة الواحدة) وباستعمال نفس المعالج فسيتطلب ذلك 84 يوم لكسر كلمة المرور.
أما لكسر كلمة مرور تتكون من تسع خانات، والخانة الواحدة قد تكون أحرف صغيرة أو أكبيرة أو أرقام أو رموز وباستعمال نفس المعالج فسيتطلب ذلك 670 سنة.
مما سبق نستنتج الفرق الشاسع للوقت اللازم لكسر كلمة مرور مكونة من 9 حروف مثلاً والتي ستتطلب على أقصى تقدير 2.1 يوم وبين كسر كلمة مرور مكونة 12 خانة وتتكون من مزيج بين الحروف والرموز والأرقام والتي ستتطلب ملايين السنين وهذا من الناحية العمليّة أمر مستحيل.
فلو كانت كلمة المرور سهلة وقصيرة فإن احتمال إيجادها قد يستغرق دقائق أو ساعات أو أيام أما لو كانت كلمة المرور صعبة وطويلة فقد يحتاج الأمر لأشهر وسنوات، وحتى يتمكن المخترق من إيجاد كلمة المرور ربما تكون قد حذفت حسابك أو بريدك الإلكتروني، ولذلك يوصي دائماً خبراء الحماية باستعمال كلمات مرور أطول من 8 خانات وأن تكون مزيج من الأرقام والحروف والرموز.
ولكن جميع ما تمّ ذكره في حال إذا كان المهاجم شخص عادي ويمتلك كرت شاشة واحد وعادي، ولكن عند منظمات الاختراق أو الدول والحكومات فلديها أجهزة عملاقة وخارقة كما أنها قد تشارك بأكثر من معالج أو كرت شاشة في نفس الوقت، إضافة إلى أن جميع ما تم ذكره كان باستعمال تقنية Brute force، ولكن هناك تقنيات أخرى أكثر تقدماً ولا تحتاج إلى هذه الأوقات الخرافيّة، فمثلاً مع استعمال هجمات الـ Rainbow Table (تقنية أسرع وأقوى من Brute force بكثير) يمكن كسر كلمات المرور التي كانت تتطلب ملايين السنوات بثواني معدودة، حيث قام العديد من الخبراء بإجراء تجارب وتبيّن أن كسر كلمة مرور تتكون من 14 خانة وكل خانة مزيج من الحروف والأرقام والرموز يتطلب 5.3 ثانية عوضاً عن ملايين السنيين بتقنية الـ Brute force.
وهذا كله يعتمد في النهاية على من أنت ؟ ومن سيقوم باختراقك ؟
هل هو أحد الجيران يريد اختراق كلمة مرور شبكة الـ Wifi من أجل الاتصال بشكل مجاني، أو أحد أصدقائك أو معارفك المتطفلين ويريد التجسس عليك ومعرفة مع من تتحدث ؟
أم أنت بالفعل شخص مهم وهناك جهة أو طرف ما مستعد لدفع آلاف الدولات لمنظمات الاختراق أو لشراء معدات وأجهزة باهظة الثمن من أجل اختراق أحد حساباتك ؟
إذا كنت مثلي من الفئة الأولى فكن على اطمئنان بأنه لن يخترقك أحد إذا كانت كلمة مرورك من 10 خانات أو أكثر، إما إذا كنت من الفئة الثانية وهناك من هو مستعد لدفع آلاف الدولارات لاختراقك أو اختراقك أحد حساباتك فكن على اطمئنان أيضاً أنه مهما فعلت فسيتم اختراقك في النهاية !
2- تغيير كلمة المرور من حساب لآخر:
تخيل لو كانت كلمة مرور شبكة الواي فاي ahmed1234 وقام أحد المخترقين بمعرفتها، وتخيل لو كانت نفسها هي كلمة المرور في الفايسبوك والبريد الإلكتروني وتويتر وغيرها ! لك أن تتخيل حجم الكارثة ؟ إن معرفة كلمة مرور واحدة ستمكن المخترق من معرفة كلمات مرور كل حساباتك واختراقاك فيها واحد تلو الآخر.
ولكن ماذا لو كانت كلمة المرور المستعملة مختلفة من حساب لآخر، فلو تم اختراق أحد حساباتك بطريقة أو أخرى لن يتمكن المخترق من اختراق باقي الحسابات.
3- تغيير كلمة المرور من وقت لآخر:
وهي خطوة احترازية في حال معرفة المخترق لكلمة المرور بطريقة أو أخرى واستعملها لأغراض التجسس فقط فعند تغييرها مرة أخرى سيتم طرد المخترق من الحساب ويتوجب عليه معرفة كلمة المرور من جديد، مثلاً اخترق أحدهم بريدك الإلكتروني أو حساب الفايسبوك ولكن لم يقم بأي سلوك ضار في الحساب بل بقي فقط يقرأ آخر الرسائل والمحادثات دون أن يشعرك بشيء، ولكن لو كنت تتبع سياسة تبديل كلمات المرور بشكل منتظم فسيتم طرد المخترق من الحساب ويتوجب عليه معرفة كلمة المرور مرة أخرى.
4- استعمال تقنيات (2FA):
اختصاراً لـ Two-Factor Authentication أي المصادقة الثنائيّة أو كما تسمى الاستيثاق الثنائي أو التوثيق الثنائي، واستعمال هذه الخطوة قد يعد أهم من جميع الخطوات السابقة وذلك لما يقدمه من طبقة حماية صعبة الكسر أو شبه مستحيلة.
ما هو عامل المصادقة الثنائيّة (2FA):
قد يطول شرحه ويختلف من جهة لأخرى، ولكن دعونا نقول إنه ببساطة تسجيل الدخول إلى موقع أو خدمة معينة عبر مرحلتين، المرحلة الأولى وهي كلمة المرور التي يعرفها المستخدم والتي تم تعينها سابقاً من طرفه، أما المرحلة الثانية فهي رمز سري لا يعرفه المستخدم ولا يعرفه المخترق ولا يعرفه الموقع ! من يعرفه إذاً ؟ الجواب لا أحد يعرفه، ولكن يتم توليده وإرساله إلى المستخدم بعد تجاوز المرحلة الأولى إلى شيء ما يمتلكه المستخدم (كهاتفه الجوال، أو تطبيق ذكي في هاتفه) قام المستخدم باختياره سابقاً، حيث يتم توليد وإنشاء هذا الرمز السري من قبل الموقع أو الخدمة التي تمّ الولوج إليها ويتم إرسالها حصراً إلى ذلك الهاتف عبر إرسالية قصيرة SMS، ويكون هذا الرمز صالح لفترة قصيرة جداً (5 دقائق أو دقيقتان أو أقل) وإذا لم تتم كتابة هذا الرمز فلن يتمكن أي طرف (المستخدم أو المخترق) من الولوج إلى ذلك الحساب، وبالتالي حتّى لو تمكن المخترق بطريقة أو أخرى من معرفة كلمة المرور لحساب الضحية فسيطلب منه رمز المصادقة الثنائي وهنا لا يمكن للمخترق معرفته كما أن صلاحية هذا الرمز صغيرة جداً على الأغلب دقيقتان أو أقل، ولا يمكن طلب عدة رموز في فترة زمنية صغيرة، قد يكون إعادة الطلب للرمز ممكناً بعد ساعتان ثم الطلب الذي بعده بعد 24 ساعة، وأثناء وصول رمز المصادقة إلى المستخدم المرة الأولى عبر رسالة نصيّة SMS سيعرف حينها أن هناك طرفاً ما يحاول اختراق حسابه وقام بمعرفة كلمة المرور، لذا حينها سيقوم باتخاذ كلّ احتياطاته الممكنة وسيقوم بتبديل كلمة المرور ... وبالتالي عامل المصادقة الثنائي هام جداً وسيحول المخترق من اختراق الحساب الذي كان بصدد اختراقه.
هل يمكن اعتماد عامل المصادقة الثنائيّة (2FA) كحل نهائي لحماية كلمات المرور ؟
بشكل عام نعم، ولكن كما قلنا في عالم الاختراق لا يوجد مستحيل أو حماية مطلقة فكل شيء نسبي، وعمليّاً لكي يتمكن المخترق من معرفة هذا الرمز هناك احتمالين لا ثالث لهما:
الأول: هو الوصول الفيزيائي للهاتف (سرقته مثلاً ؟ ولكن إذا كانت سرقته ممكنة فلا داعي للاختراق من أصله كان يكفي سرقة الهاتف منذ البداية دون تكبيد المخترق عناء الاختراق ! أو تكليف أحد الأشخاص المحيطين به (العائلة أو الأصدقاء أو زملاء العمل) بأخذ هاتفه أثناء عملية الاختراق والاطلاع على ذلك الرمز ومن ثمّ إرساله إلى الجهة المخترقة) نعم، قد يبدو ذلك كأحد أفلام هوليود ولكنه قد يحدث وخاصة مع رجال الأعمال أو السياسيين والشخصيات رفيعة المستوى.
أما الاحتمال الثاني: وهو الأكثر واقعيّة والأكثر عمليّة والأكثر تداول: وهو اعتراض رسالة الـ SMS قبل وصولها، فتوجد معدات خاصة تُمكن من حدوث هذا، والتي غالباً لا تمتلكها إلا منظمات الاختراق أو المخترقين رفيعي المستوى، ولكن ماذا لو كانت الجهة المخترقة هي الدولة نفسها وأجهزة استخباراتها ! فيكفي إعلام شركة الاتصال لتقوم هي بإرسال الرسالة التي فيها رمز عامل المصادقة الثنائي وتنتهي القصة بكل بساطة ...
بسبب هذه العيوب الأمنية في رمز المعامل الثنائي (2FA) ظهرت حلول أخرى بديلة عن الـرسائل النصيّة SMS وقد تكون أكثر أماناً وهي عن طريق تطبيقات في الهواتف الذكيّة (Android أو IOS) يتم تثبيتها مسبقاً، مهمة هذه التطبيقات هي توفير الطبقة (المرحلة) الثانية من الحماية، ولكن عوضاً عن وصول الرمز إلى الهاتف عبر رسالة SMS سيصل الرمز عبر التطبيق، أو عبر رمز QR يأتي في الجهاز الجديد الذي تمّ الولوج منه، ويجب على المستخدم مسحه (تصويره) باستخدام هاتفه الذي فيه تطبيق المعامل الثنائي، ولعلّ من أشهر هذه التطبيقات هو تطبيق Google authenticator، تعدّ هذه الطريقة أكثر أماناً من الطريقة الأولى، ولكن ما يعيبها هو في حال ضياع الهاتف أو فقدان الوصول إليه سيكون من الصعب الوصول إلى الحساب مجدداً وعلى العكس من رسائل الـ SMS فبمجرد فقدان الهاتف يمكن الذهاب لشركة الاتصالات وطلب شريحة SIM جديدة.
جميع ما تمّ ذكره يختلف من موقع لآخر ومن خدمة لأخرى، ولكل موقع طرقه الخاصة في التعامل والاسترداد والمسميات والحماية والمعايير المتبعة ولكن تمّ شرح الفكرة بشكل عام لعامل المصادقة الثنائية، وفي يومنا هذا أصبحت معظم المواقع المشهورة توفر عامل المصادقة الثنائي، ومنها ما يتبع معاير أخرى في المرحلة الثانية من الحساب كالاعتماد على مسح بصمة الإصبع (أغلب الهواتف الحديثة أصبحت توفر مستشعرات البصمات) أو مسح بصمة العين أو المسح الوجهي أو التعرف الصوتي وغيرها من الطرق والتقنيات الحديثة الأخرى.
ختاماً يطالب العديد من خبراء الحماية بالسماح بتعداد عوامل المطابقة وأن تكون متعددة وليست ثنائية فقط، أي في المرحلة الأولى كتابة البريد الإلكتروني أو اسم المستخدم مع كلمة المرور، ومن ثم عامل المطابقة الثنائي الذي قد يكون على شكل SMS أو كود QR ومن ثم عامل المطابقة الثلاثي الذي قد يكون على شكل مسح البصمة أو التعرف الصوتي.