عالمنا الإلكتروني يعتمد بشكل أساسي على حسابات تتم حمايتها بكلمات مرور، وللأسف غالبية الناس تتعامل مع موضوع حفظ كلمات السر بإهمال كبير!
كلمات السر حتى ولو كانت لموقع غير هام فيجب ألا يستهان بكشفها أبدا، فقد تستخدم ببساطة في انتحال شخصيتك، فكشف كلمة سر حسابك البنكي قد يكون ضرره مباشر وواضح، أما الموقع البسيط غير المهم برأيك قد يكون ضرره كبيرا أيضا إن استخدِم ضمن أساليب الهندسة الاجتماعية مثلا في التواصل مع صديق لك يعرف أن هذا حسابك ويعتقد بأنك أنت من تتواصل معه، أو قد يعرضك للمساءلة القانونية في حال استخدِم ذلك الحساب في عمل إجرامي على سبيل المثال.
فمن الواجب علينا ألا نتهاون أبدا في موضوع كلمات السر مهما كان الموقع أو التطبيق أو البرنامج بسيطا أو غير مهم. إليكم خمس ممارسات لحفظ وتوليد وحماية كلمات السر:
نوع الأحرف والأرقام والرموز
التوصيات العامة التي يعمل بها الجميع لحماية كلمات السر هي بأن تحتوي هذه الكلمات على حرف كبير واحد على الأقل ورقم واحد ورمز وأن يكون طولها على الأقل (8) أحرف وبهذه الطريقة سوف تصعب عملية التخمين الآلي، ويمكن الاستدلال بكلمة السر التالية بالتبديل بين الرموز والأرقام مثل: (Pa$$w0rd)؛ ولكن الهندسة الاجتماعية قد تكون سهلة فلو قمتُ باختيار كلمة سر مثل (Badwi@78) فإنها وإن لبّت كل المعايير والتوصيات السابقة فهي تعتبر سهلة جدا لأي شخص يعرفني شخصيا، وطول الكلمة (8) أحرف قد يكون طويلا حاليا ولكن مع تقدّم قوة الحوسبة كل يوم فإنها قد تزيد من سرعة التخمين.
جرب هذه الخدمة لمعرفة قوة كلمة السر الخاصة بك وكم يتطلب اختراقها:
https://www.security.org/how-secure-is-my-password
ابتدع قالب كلمة السر الخاص بك
هذه الطريقة التي أوصي بها وأدرّب عليها كل من يعمل معي حتى يكون لديه قالب كلمة سر تلبي المعايير التالية:
- أن تكون كلمة السر مختلفة لكل موقع وخدمة،
- أن تكون طويلة قدر الإمكان وعلى الأقل (12) حرفا،
- أن تلبي معايير كلمات السر في التنوع (حرف كبير واحد على الأقل، رمز واحد على الأقل، رقم واحد على الأقل)،
- يصعب تخمينها ممن يعرفك أو يكتشف بيانات عنك أو يعرف معلومات كاملة عنك،
- يسهل تذكرها بالنسبة إليك بل وبشكل لن تنساها أبدا.
كيف ذلك:
- اختر الكلمة الأولى، مثلا سأضع اسم مدينة ولادتي (Riyadh) وسأقوم بأخذ أول وآخر حرف منها (Rh)،
- ومن تاريخ ميلاد أصغر بناتي (2017) سأقوم بأخذ مقلوب السنة (7171) مكررا،
- ولنضع ذلك مع كلمة سر لموقع (Twitter) مثلا بأخذ أول وثاني حرف فستكون (Rh_Tw.7171)،
- كذلك بالنسبة لكلمة سر موقع (Gmail) وذلك بأخذ أول وثاني حرف فستكون (Rh_Gm.7171).
الآن كما ترى لديك معادلة لا يمكن أن يتم تخمينها ممن يعرفك وتحقق الشروط السابقة وتتغير لكل موقع حتى لو كشفت لموقع واحد لن يمكن استغلالها لموقع آخر؛ غيّر معادلتك بحسب ما تراه مناسبا لك بالطبع ولا تجرّب معادلتي ضدي بالتأكيد :)
تفعيل خيار الحماية بخطوتين
غالبية المواقع التي تقدم خدمات ذات طابع حساس أو مهم توفر خدمة الدخول بخطوتين وتسمى (2 Factor Authentication) وتختصر (2FA) أو (Multi-factor authentication) اختصارا لـ (MFA) مثلا بعد أن تُدخِل اسم المستخدم وكلمة السر تصلك رسالة إضافية لتأكيد الدخول وقد تكون إما عن طريق رسالة (SMS) أو عبر رسالة (بريد إلكتروني) أو عبر تطبيقات توليد كلمات الدخول الواحدة (OTP Authenticator)، ومؤخرا عن طريق تفعيل خيار العلامات الحيوية كخيار إضافي مثل (بصمة اليد) أو (بصمة الوجه).
استخدم برامج إدارة وحفظ كلمات السر
مثلا (1password) حيث يقوم بحفظ كلمات السر داخل خزنة ويتم مزامنتها مع كل أجهزتك ويتم تشفيرها وحفظها بكلمة سر واحدة؛ وتمكّنك هذه البرامج من توليد كلمات سر قوية وطويلة وحفظها تلقائيا دون تكلّف عناء حفظها ومتابعتها، بل وتقوم هذه التطبيقات بدراسة كلمات السر ومتابعة التسريبات التي تحصل في الفضاء السيبراني ويتم إعلامك في حال تم تسريب بيانات موقع تستخدمه أو ظهور حسابك ضمن القوائم المسرّبة أو كلمة سر شبيهة بكلمة سر لديك.
عامل كلمة السر كما تعامل ملابسك الداخلية
هذه المقولة ليست من تأليفي بل هي مقولة لشركة (Shell) في نشر التوعية لأفرادها حول الأمن السيبراني تحت شعار (Treat your passwords as your underwear)، والتي تعتمد على ثلاثة أسس:
- لا تشارك كلمة السر الخاصة بك مع أي أحد (Never share them with anyone)،
- قم بتغير كلمة السر باستمرار (Change them regularly)،
- أخفِ كلمة السر عن العيان (Keep them off your desk).