كلمات المرور: كيف نفعلها بشكل صحيح: 10 خطوات

2024 مؤلف: John Day | [email protected]. آخر تعديل: 2024-01-30 07:41

في وقت سابق من هذا العام ، فقدت زوجتي الوصول إلى بعض حساباتها. تم أخذ كلمة المرور الخاصة بها من موقع تم اختراقه ، ثم تم استخدامها للدخول إلى حسابات أخرى. لم يكن الأمر كذلك حتى بدأت المواقع في إخطارها بمحاولات تسجيل الدخول الفاشلة حتى أدركت أن أي شيء كان يحدث.

لقد تحدثت أيضًا إلى عدد من الأشخاص الذين قالوا إنهم يستخدمون نفس كلمة المرور لكل موقع. كان هذان الشيئان كافيين لحثني على كتابة هذا Instructable.

يعد أمان كلمة المرور جزءًا صغيرًا جدًا من الأمان عبر الإنترنت ككل. يتطلب كل حساب تقريبًا نوعًا من تسجيل الدخول للسماح بالوصول إلى كل ما يحمي. غالبًا ما تكون هذه السلسلة الفردية هي كل ما يقف بين المهاجم ومعلوماتك الشخصية أو أموالك أو صورك الشخصية أو نقاط السفر التي جمعتها لسنوات.

تهدف هذه التعليمات إلى تغطية بعض أفضل الممارسات لإنشاء كلمات المرور. إذا كنت شخصًا لديه نفس كلمة المرور لكل موقع ويب ، وكلمات المرور الخاصة به عبارة عن نمط على لوحة المفاتيح ، أو لديك كلمة "كلمة المرور" في كلمة المرور الخاصة بك ، فهذه التعليمات مناسبة لك.

تنصل

أنا لست خبيرا أمنيا. تم تعلم هذه المعلومات والبحث فيها بمرور الوقت وهي مجرد توصية وملخص لموضوع معقد للغاية. تمت كتابة هذا البرنامج التعليمي في بداية عام 2018 وقد يكون قديمًا بحلول الوقت الذي قرأته فيه.

TL ؛ DR

إذا كنت لا تهتم بكل أسبابي وتوضيحاتي وراء كلمات المرور وتريد فقط طريقة سهلة لإنشاء كلمات مرور آمنة ، فانتقل إلى الخطوة الأخيرة.

الخطوة 1: اجعلها طويلة

الطول هو أحد المكونات المهمة جدًا لأمان كلمة المرور. مع تزايد سرعة أجهزة الكمبيوتر بشكل أسرع ، يمكن تجربة كلمات المرور بسرعات مذهلة. وهذا ما يسمى تكسير كلمة المرور "القوة الغاشمة". إنه يربط كل مجموعة ممكنة من الأحرف حتى تجد الشخص المطابق.

من الناحية النظرية ، هذا يجعل أي كلمة مرور قابلة للاختراق ، مع إعطاء الوقت الكافي. لحسن الحظ ، كلما كانت كلمة المرور أطول ، كلما استغرق هذا النوع من الهجوم وقتًا أطول. كل حرف تضيفه إلى الطول يجعل الصعوبة أكثر صعوبة. إذا كانت طويلة بما يكفي ، فقد يستغرق الأمر عقودًا للعثور عليها بهذه الطريقة ، مما يجعلها لا تستحق العناء للمهاجم.

مثال

لنفترض أن لديك كلمة مرور تتكون من أحرف كبيرة فقط. هذه ليست فكرة جيدة ، ولكن هذا لأغراض التوضيح فقط. في كل مرة تضيف فيها حرفًا آخر إلى كلمة المرور ، فإنها تضاعف عدد كلمات المرور المحتملة في 26. إذا كان لديك كلمة مرور مكونة من حرف واحد ، فستحتوي على 26 كلمة مرور محتملة ، وسيحتوي حرفان على 676 كلمة مرور محتملة ، وما إلى ذلك..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

كما ترى ، فإن كل حرف تضيفه يجعل هذا الهجوم أصعب بكثير ، وعمليًا مستحيل مع عدد كافٍ من الأحرف. تذكر ، هذا فقط بالأحرف الكبيرة. بمجرد أن تصبح أكثر تعقيدًا ، يصبح هذا التأثير أكبر.

الخطوة 2: اجعلها معقدة

التعقيد هو عامل كبير آخر في أمان كلمة المرور. إذا تم اختراق أحد مواقع الويب ، فمن المحتمل أن يتم سحب أسماء المستخدمين وكلمات المرور. كمستوى أساسي من الأمان ، نأمل أن يحتوي موقع الويب على كلمات المرور مجزأة (على غرار التشفير) قبل التخزين. هذا يعني أنهم مشوهون قبل أن يذهبوا إلى قاعدة البيانات ، ولا توجد طريقة لعكس هذا التشويه.

كل هذا يبدو جيدًا. لا يهم ما هي كلمة مرورك لأنها مشوشة ، أليس كذلك؟ هذا ليس هو الحال إذا لم تكن كلمة مرورك معقدة. هناك خوارزميات تجزئة قياسية مستخدمة (SHA1 ، MD5 ، SHA512 ، إلخ) وستقوم دائمًا بتجزئة نفس الشيء بنفس الطريقة. على سبيل المثال ، إذا كنت تستخدم SHA1 وكانت كلمة المرور الخاصة بك هي "password" ، فسيتم تخزينها في قاعدة البيانات كـ "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8" ، دائمًا.

يستغرق إنشاء علامات التجزئة وقتًا وجاذبية الكمبيوتر ، ومن المستحيل عمليًا حساب جميع التجزئات الممكنة لجميع كلمات المرور الممكنة. ما فعله الناس هو إنشاء "قواميس" من كلمات المرور الشائعة. بالطبع ستكون هناك أشياء مثل "password" أو "qwerty" ، بالإضافة إلى الأشياء الأقل شيوعًا. ستكون هناك الملايين من كلمات المرور في هذه القواميس وسيستغرق الأمر ثوانٍ فقط لتصفح كل إدخال ومقارنة التجزئة المعروفة بتجزئة كلمة المرور الخاصة بك. وهذا ما يسمى "هجوم القاموس". إذا كانت كلمة المرور الخاصة بك واحدة من تلك التي تم حسابها بالفعل ، فلن يحمي الغموض كلمة مرورك ، ويمكن استخدامها على مواقع أخرى.

كما أن تغيير الأحرف إلى أرقام لا يضيف تعقيدًا. قد يبدو تغيير E إلى 3 أو I إلى 1 أكثر تعقيدًا ، ولكن هذه ممارسة شائعة لدرجة أنها لا تضيف المزيد من الأمان. تحتوي برامج التكسير على خيار سيحاول تلقائيًا هذه الاختلافات.

الخطوة 3: اجعلها فريدة من نوعها

من الصعب تذكر كلمات المرور. نظرًا لأن حياتنا أصبحت على الإنترنت بشكل متزايد ، فليس من غير المألوف أن يمتلك كل شخص أكثر من 50 حسابًا عبر الإنترنت ، لكل منها معلومات تسجيل الدخول الخاصة به. قد يكون من الصعب جدًا تتبع ذلك.

الطريقة الأكثر شيوعًا للتعامل مع هذا الأمر هي عن طريق اختيار كلمة مرور "جيدة" واستخدامها على مجموعة من مواقع الويب المختلفة. هذه فكرة رهيبة. كل ما يتطلبه الأمر هو خرق أمني واحد ، أو موقع ويب تصيد واحد للحصول على اسم المستخدم وكلمة المرور لبدء دحرجة الكرة. يمكن للمهاجمين تجربة اسم المستخدم وكلمة المرور هذا على مئات مواقع الويب في غضون ثوانٍ. سيؤدي ذلك إلى نقلهم تلقائيًا إلى كل موقع ويب بنفس اسم المستخدم الذي تم اختراقه.

أعلم أن امتلاك كلمة مرور مختلفة لكل موقع يبدو مهمة شاقة ، لكننا سنغطي كيفية التعامل مع هذا لاحقًا.

الخطوة الرابعة: لا شيء شخصي

معلوماتك ليست خاصة كما تعتقد. يمكن لبحث سريع عبر الإنترنت العثور بسهولة على تاريخ ميلادك أو عنوانك. إذا تم اختراق حساب آخر ، فيمكن الحصول بسهولة على مزيد من المعلومات. إذا كان هناك مهاجم يحاول الدخول إلى حساباتك ، فستكون هذه كلمات مرور واضحة لمحاولة الوصول إليها. كما أنه يترك الدخول مفتوحًا لأفراد الأسرة أو الأصدقاء أو حتى المعارف.

الخطوة 5: تعامل مع جميع كلمات المرور بنفس العناية

عند التعامل مع مواقع الويب ، يجب أن تتعامل مع أمانها جميعًا بنفس مستوى العناية. على سبيل المثال ، إذا كان لديك تسجيل دخول إلى موقع القط المفضل لديك ، فيجب عليك اتخاذ نفس الاحتياطات مثل تسجيل الدخول إلى البنك الخاص بك. قد لا يبدو فقدان إمكانية الوصول إلى كل تلك الشعيرات الرائعة أمرًا كبيرًا ، ولكن قد يكون ذلك مجرد نقطة انطلاق للمهاجم. قد يؤدي اختراق هذا الموقع "غير المهم" إلى إعطاء المهاجم مزيدًا من المعلومات عنك ، مثل اسم مستخدم مختلف استخدمته ، أو بريد إلكتروني مختلف استخدمته لتسجيل الدخول ، أو معلومات فعلية يمكن استخدامها لإلغاء تأمين مواقع ويب أخرى.

أيضًا ، إذا كان موقع ويب غير مهم ، فهناك فرصة أفضل لعدم اتباعهم لممارسات الأمان المناسبة ، مما يعني إذا كانت كلمة مرورك طويلة ومعقدة ، ولكنها ليست فريدة ، ولم يتم تجزئة كلمات المرور بشكل صحيح عند تخزينها ، يمكن استخدام كلمة المرور هذه بسهولة على مواقع الويب الأخرى. مرة أخرى ، لمجرد أن الموقع "غير مهم" لا يعني أن أمنك مهم.

الخطوة 6: احتفظ بها مخفية

جيد - تخزين غير متصل بالإنترنت

يمكن أن يكون التخزين في وضع عدم الاتصال خيارًا جيدًا إذا كنت شخصًا نسيًا. يحمي وجود محرك أقراص USB الذي تحتفظ به بعيدًا بكلمات المرور الخاصة بك من معظم الهجمات ، باستثناء العائلة والأصدقاء. فقط في حالة فقد هذه العصا بطريقة ما ، تأكد من تشفير ملف كلمة المرور أو محرك الأقراص بالكامل وأن العصا محفوظة في مكان آمن للغاية.

تتمتع هذه الطريقة بالكثير من الأمان ، ولكن على حساب الراحة.

يتم شرح سبب عدم اتصاله بالإنترنت بمزيد من التفاصيل أدناه. ضع في اعتبارك أن الكثير من الأجهزة يتم نسخها احتياطيًا تلقائيًا على السحابة الآن ، حتى لو لم تكن تقصد ذلك. أيضًا ، إذا قمت بتوصيل هذه العصا بجهاز به فيروس أو تم اختراقه ، فيمكن بسهولة نسخ البيانات.

أفضل - تذكر كل شيء

تذكر كل كلمات المرور الخاصة بك. إذا كنت موهوبًا بشكل لا يصدق ، فقد يكون هذا خيارًا. لا توجد طريقة لشخص ما للعثور عليهم ، وأنت دائمًا معك. بعض الجوانب السيئة هي أن معظمنا ليس مدهشًا في تذكر الأشياء المعقدة ، ويميل إلى التحدث كثيرًا بعد تناول مشروب أو اثنين. خاصة مع وجود العشرات من كلمات المرور التي يجب تذكرها ، فمن المحتمل ألا يكون هذا خيارًا للأشخاص العاديين.

الأفضل - لا يوجد تخزين

أفضل سيناريو هو عدم تخزينها على الإطلاق. إما أن تتذكر بطريقة ما جميع كلمات المرور الفريدة والطويلة والمعقدة ، أو أن يكون لديك طريقة لإعادة إنشائها أثناء التنقل. إذا كنت تعرف المكونات اللازمة لإعادة إنشائها ، فلا توجد طريقة يمكن للمهاجم من خلالها "العثور عليها" لأنها لا توجد إلا عند الحاجة إليها. قد يبدو هذا معقدًا ، لكنه في الحقيقة ليس كذلك. المزيد عن هذا لاحقًا.

أهمية وضع عدم الاتصال

تتم إدارة مواقع الويب بواسطة الأشخاص. بالنسبة لمعظم مواقع الويب ، ربما يكون من الآمن افتراض أن هؤلاء الأشخاص لديهم عمومًا نوايا حسنة ، ولكن حتى أفضل الأشخاص قد يرتكبون أخطاء. في العام الماضي وحده ، كان هناك عدد من الانتهاكات الضخمة لأمان مواقع الويب لشركات كبيرة وآمنة بشكل عام مثل Linked-In و Yahoo و Equifax و Apple و Uber ، على سبيل المثال لا الحصر. هذه شركات كبيرة بها أقسام أمنية وتم اختراقها.

يبدو التخزين السحابي خياليًا ، ويوفر الراحة ، ولكن ما هي "السحابة" في الواقع هو كمبيوتر شخص آخر تستخدمه لتخزين ملفاتك. كما قلت أعلاه ، يمكن للناس ارتكاب الأخطاء. إذا حدث ذلك ، فقد تكون كلمات مرورك متاحة للعالم. تعد المواقع السحابية هدفًا عملاقًا للمهاجمين نظرًا لكمية البيانات التي يحتفظون بها. كسر الموقع السحابي ، والوصول إلى جميع المعلومات التي يحتمل أن الملايين من الناس قد خزنها.

أنا متأكد من أن بعضًا من هذا هو جنون العظمة ، ولكن مع إخفاء جزء كبير من حياتك وراء كلمات المرور هذه ، قم بحمايتها على هذا النحو.

الخطوة 7: توصيتي

لقد كانت هذه مقدمة طويلة جدًا لشرح الركائز الأساسية لأمان كلمة المرور. إذا اتبعت هذه الإرشادات الستة ، فيجب أن يكون لديك الحد الأدنى من مشكلات الأمان عبر الإنترنت ، وإذا حدث أي شيء ، فيجب أن يتوقف عند المصدر ، لا ينتشر إلى بقية حياتك على الإنترنت.

هناك العديد من الطرق المختلفة التي يمكنك من خلالها حل هذه التحديات. بعضها أفضل من البعض الآخر ويقدم فوائد مختلفة. الحل المفضل لدي هو SuperGenPass (SGP). أنا لست تابعًا بأي شكل من الأشكال ، أنا مجرد معجب.

سهلة الاستخدام

يحتوي SGP على تطبيق لهاتفك وزر يمكنك إضافته إلى متصفحك. عندما تذهب إلى موقع ويب ويطلب منك تسجيل الدخول ، انقر فوق الزر. ستظهر نافذة صغيرة. أدخل كلمة مرورك الرئيسية. سيقوم برنامج SGP بإنشاء كلمة مرور لهذا الموقع وإدخالها في مربع كلمة المرور نيابة عنك!

طويل

يمكنك اختيار طول كلمة المرور التي تم إنشاؤها. سيؤدي ذلك إلى إنشاء كلمات مرور تصل إلى 24 حرفًا ، وهو أمر آمن تمامًا ، ولكن يمكنك اختيار أقصر إذا كانت بعض مواقع الويب تحدد طول كلمة المرور الخاصة بك.

مركب

يتم استخدام الأحرف الكبيرة والصغيرة والأرقام ، وهو أمر آمن إلى حد ما. إنهم لا يتبعون أي نمط يمكن التعرف عليه بدون كلمات أو عبارات. لا يوجد أي من عنوان URL أو كلمة المرور الرئيسية في هذه السلسلة.

فريد

سيكون لكل موقع كلمة مرور فريدة تمامًا. كلمتا المرور لـ example1.com و example2.com مختلفتان تمامًا ، على الرغم من وجود حرف واحد فقط مختلف في "المكونات" الأولية. كما ترى في المثال أدناه ، لا يوجد اتصال بين "المكونات" وكلمة المرور الناتجة وهي مختلفة تمامًا عن بعضها البعض.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

تخزين

يخزن ولا ينقل أي بيانات. يمكن تشغيله دون اتصال بالإنترنت تمامًا إذا كنت قلقًا ولا توجد طريقة لشخص ما للعثور عليهم أو سرقتهم.

الخطوة 8: برنامج المنح الصغيرة: الإعداد

إعداد برنامج SGP بسيط للغاية. أولاً ، قد ترغب في إضافته إلى شريط الإشارات المرجعية. للقيام بذلك ، انتقل إلى:

chriszarate.github.io/supergenpass/

سيكون هناك زرين للاختيار من بينها. لإعداد جهاز كمبيوتر تستخدمه عادةً ، اسحب الزر الأيسر إلى شريط الإشارات المرجعية. سيعطيك هذا زرًا جديدًا لاستخدامه.

إذا كنت تستخدم جهاز كمبيوتر شخص آخر في المستقبل ، فيمكنك تحديد الزر الموجود على اليمين. سيتيح لك ذلك استخدام SGP دون تغيير أي شيء في متصفحهم. إنه أيضًا خيار لمتصفح الجوال.

بمجرد إضافته إلى شريط الإشارات المرجعية ، انقر فوق الزر. ستفتح نافذة صغيرة في زاوية صفحة الويب الخاصة بك. سيؤدي النقر فوق الترس الصغير إلى فتح الإعدادات.

طول

الرقم الموجود على اليسار هو طول كلمة المرور التي سيتم إنشاؤها. أوصي بالاطلاع على المواقع التي تستخدمها كثيرًا وتعيينها على أعلى رقم تسمح به هذه المواقع. يوصى بأكثر من 12 عامًا ، ولكن كلما كان ذلك أفضل ، كلما كان ذلك أفضل ، خاصة وأنك لست بحاجة إلى تذكر ذلك.

نوع الهاش

يوجد خياران لنوع التجزئة المستخدم ، MD5 و SHA. كلاهما سينشئ كلمات مرور بأحرف كبيرة وأحرف صغيرة وأرقام. يعد تغيير هذه طريقة بسيطة لتغيير كل كلمات المرور الخاصة بك مع الاحتفاظ بنفس كلمة المرور الرئيسية.

كلمة السر السرية

يعد قسم كلمة المرور السرية طريقة إضافية للتأكد من أن كل شيء آمن. عند بدء تشغيل التطبيق الصغير ، إذا كان لديك كلمة مرور سرية ، فستظهر صورة صغيرة في مربع كلمة المرور. يجب أن تكون كلمة المرور هذه هي نفسها دائمًا عند بدء التشغيل. إذا تم تشغيله ولم تكن هذه الصورة كما هي عادةً ، فهناك احتمال أن يحاول شخص ما الحصول على كلمة مرورك الرئيسية.

كلمة السر الرئيسية

هذا ليس ضروريًا أثناء الإعداد ، لكنه مهم جدًا. تأكد من اختيار كلمة مرور قوية. هذه كلمة مرور واحدة تدخلها دائمًا في كل موقع. تأكد من أنه شيء يمكنك تذكره ، لكنه معقد وطويل وغير شخصي.

إنقاذ

بمجرد اختيار جميع الإعدادات الخاصة بك ، انقر فوق رمز الحفظ ورمز الترس مرة أخرى لإغلاق الإعدادات

الخطوة 9: استخدم برنامج SGP

لاستخدام برنامج SGP ، تصفح للوصول إلى موقع ويب كما تفعل عادةً. عندما تحتاج إلى إدخال كلمة المرور الخاصة بك ، انقر فوق زر SGP الذي أضفته إلى شريط الإشارات المرجعية الخاص بك. إذا استخدمت كلمة مرور سرية عند إعداد SGP ، فتأكد من أن الصورة التي تظهر في مربع كلمة المرور تطابق ما كانت عليه عند إعداده.

اكتب كلمة مرورك الرئيسية واضغط على Enter. سيحسب هذا كلمة المرور الفريدة الخاصة بك لهذا الموقع ويملأها نيابة عنك! أثناء قيامك بكتابة كلمة مرورك الرئيسية ، سيتم تحديث الرمز. إذا لم تتطابق الصورة مع الرمز الذي لديك عادةً ، فإما أنك كتبت كلمة مرورك الرئيسية بشكل خاطئ ، أو أن شخصًا ما يحاول الحصول على كلمة مرورك.

اعتمادًا على كيفية كتابة الموقع ، قد لا يتمكن برنامج SGP من إدخال كلمة المرور نيابة عنك ، أو قد لا يدرك الموقع أنه تم إدخالها. إذا كانت هذه هي الحالة ، فيمكنك النقر فوق رمز النسخ بجوار مربع كلمة المرور التي تم إنشاؤها ولصقها يدويًا.

بمجرد إدخال كلمة المرور الخاصة بك ، انقر فوق تسجيل الدخول وستكون هناك!

الخطوة 10: الأفكار النهائية

قد لا يعمل برنامج SGP مع الجميع ، ولا بأس بذلك. إنه ليس الحل الأمثل لأنه لا يوجد شيء من هذا القبيل. إذا كانت لديك خدمة أو طريقة أخرى ترغب في استخدامها لكلمات المرور ، فضع في اعتبارك الخطوات الست لكلمة مرور آمنة. إذا كانت طريقتك الحالية قصيرة في اثنين من هذه المجالات ، فقد يكون الوقت قد حان للبحث عن حل آخر. نعم ، قد يستغرق تغيير جميع حساباتك نصف يوم ، ولكن من المحتمل أن يكون ذلك أقل صعوبة من اختراق حساباتك.

ملاحظة حول التخزين عبر الإنترنت: إذا كانت الخدمة تخزن كلمات المرور الخاصة بك على الإنترنت / في "السحابة" ، فتحقق من ممارسات الأمان الخاصة بها للتأكد من أنها جيدة. من المحتمل أن يخبرك الموقع بما يفعلونه لحماية كلمات المرور الخاصة بك إذا كانوا يفعلون ذلك بشكل صحيح. إذا لم تكن متأكدًا ، أرسل لهم بريدًا إلكترونيًا واسأل. إذا لم يتمكنوا من إعطائك إجابة جيدة / موجزة / دقيقة ، فاحذر عند استخدام هذه الخدمة.