هل طلب منك والدك أو والدتك أن تقوم بإنشاء حساب لهم على أحد منصات التواصل الاجتماعي مؤخرا ضمن الآلاف من أجيال الخمسينات وما بعدها، والذين قرروا هذه الأيام دخول عالم المنصات الرقمية؟ هل كانت الكلمات السابقة هي كلمات السر «السرية» التي تفتقت عنها أذهانهم، وبعد تفكير عميق منهم كذلك. حسنًا، أدعوك ألا تحزن، فأنت لست وحيدًا في هذه المأساة المستمرة.

إذا سألت جوجل عن أكثر كلمات السر المستخدمة على مستوى العالم، ستظهر لك هذه القائمة بالأعلى كذلك. وربما جعلك هذا تتخيل أن كل مستخدمي الإنترنت على مستوى العالم هم من كبار السن، من يفضلون استخدام كلمات لا أجرؤ أن أصفها بـ«سر»، إلا أنها يسهل تذكرها في صفة إيجابية وحيدة، ولكن تأكد بأن ظنك ليس في محله.

حسب الإحصائيات لا تزيد نسبة كبار السن فوق الخمسة وخمسين عامًا على 12% من المستخدمين، مقابل أكثر من 50% تحت سن الخامسة والثلاثين. بالأرقام، الشباب هم الأغلبية، وربما يعني هذا أنهم أيضًا الأكثر استهتارًا في اختيار كلمات السر.

وكمثال: مع الصعود السريع لموقع صراحة وانتشاره بين الكثير من المستخدمين، بدأ البعض في التساؤل؛ من وراء الموقع؟ ماذا لو كان الموقع موجهًا لاختراقنا بشكل ما؟ ماذا لو كان يسرق كلمات السر الخاصة بنا؟ تأتي تلك الأسئلة عادة مع الانتشار السريع لأي موقع جديد لا تقف وراءه شركة عملاقة أو جهة واضحة، بل مطور أو مجموعة غير مشهورة ما زالت في بداية الانتشار الحقيقي لأعمالها.

ولا يعني هذا عادة أن تلك الأسئلة منطقية أو أن الإجابة عليها بالإيجاب هو الأقرب للصواب! لكنها ليست خالية من المنطق تماما كذلك. فأغلب تلك التساؤلات التي تشغل بال المستخدم هي نتيجة طبيعية لسوء تنظيم المستخدم لكلمات السر التي يستخدمها في كل أنحاء الشبكة، وإحساسه الدائم أنه مستهدف بشكل ما، وهو ما لا يمكن نفيه كذلك. وهنا يطول الحديث.


ما هي أهمية كلمة السر؟

http://gty.im/506020116

كلمة السر هي مفتاحك لدخول حساباتك المختلفة، وينتهي دورها تمامًا بعد بدء استخدام الموقع. تمامًا كمفتاح المنزل، لا تستخدمه بداخل المنزل. فهي لا تمنع مطور الموقع من الوصول لبياناتك على الموقع نفسه.

لكن، تكمن أهمية كلمة السر في كون المستخدم قد يستخدمها نفسها في كثير من المواقع، ولو استطاع مخترق ما أو حتى صاحب موقع في معرفتها، فقد يتمكن بسهولة من الدخول لمختلف حسابات المستخدم في الموقع الأصلي مصدر التسريب أو مواقع أخرى.


صاحب الموقع «لا يريد» كلمة سرك

سنضرب مثالًا آخر هنا. الفيسبوك، لمَ قد يريد أي مبرمج أو مدير بالفيسبوك كلمة السر الخاصة بك؟

لا سبب حقيقي لذلك، وواقع الأمر يؤكد أنه لا يريدها أصلًا. فالهدف من الفيسبوك كأي موقع خدمي آخر هو استخدامك للخدمة. والفائدة المباشرة تعود عليه نتيجة وجودك المستمر في الموقع واستخدامك لمختلف مميزاته. الفيسبوك لا يريد أن يعلم بأي حال الكلمة السرية المكونة من عدة أحرف والتي تستخدمها لدخول حسابك، كل ما يريده هو وجودك بداخله بشكل مستمر.

بهذه الطريقة يجمع الفيسبوك كمًا مهولاً من البيانات عنك وعن جميع المستخدمين تستطيع روبوتاته المبرمجة تحليلها بدقة لتعلم أكثر عن عاداتك واهتماماتك وهواياتك وذلك بغرض توجيه إعلانات مخصصة تغريك بالضغط عليها لتستمر دورة رأس المال والأرباح. وهذه البيانات لن تمنعها عنهم كلمة سرك، فكلمة سرك هي مفتاح دخولك لغرفة هم بداخلها بالفعل. لا أحد يريد هناك هذا المفتاح.

ولهذا فبالتأكيد قد رأيت مرارًا في صفحات الدعم الفني ورسائل البريد المرسلة من الفيسبوك -وغيره من كبرى المواقع- رسالة تطلب منك بشكل مباشر ألا تعطي كلمة سرك لأحد حتى لو بدا لك أنهم يطلبونها منك، فلا أحد هناك يحتاجها. يكاد هذا الأمر ينطبق على «أغلب» المواقع والخدمات الكبيرة ذات بلايين المستخدمين وبلايين الدولارات من رؤوس الأموال والأرباح كذلك.

وتعتبر كلمات السر مثلها مثل أرقام بطاقات الدفع الإلكتروني من أكثر البيانات حساسية على الشبكة، ولهذا تقوم أغلب الشركات والمواقع بالالتزام بأقصى درجات الحذر والاحتياط واتباع أحدث بروتوكولات الحماية الرقمية والتشفير من طرف إلى طرف «end to end encryption» لحمايتها. كما تتبع أغلب المواقع نظم تشفير داخلية لحماية كلمات السر في قواعد بياناتهم، لا يستطيع حتى مبرمجو وأصحاب الموقع الإطلاع عليها وربطها بمستخدم معين.

أو هذا ما يفترض حدوثه على الأقل!!


أمان أم لا! تلك هي المسألة

من المفترض كما أسلفنا أن يكون الأمر هكذا. لكن، في حقيقة الأمر لا يهتم جميع مطورو وأصحاب المواقع بحماية قواعد بياناتهم وكلمات سر المستخدمين لديهم، وكذلك حماية وتشفير الاتصال من طرف لطرف بنفس الدرجة.

هناك عدة طرق مختلفة لحفظ كلمات السر في قاعدة بيانات الموقع. أقدمها وأسوأها هي حفظها كنصوص مباشرة Plain Text. في هذه الحالة يفترض صاحب الموقع أن طرق الحماية التي يوفرها على موقعه كافية بحيث لا يحتاج لتشفير كلمات السر، أو أنه في أغلب الحالات لا يلقي بالاً أصلًا بكلمات السر وبيانات المستخدمين.

ويعني حفظ كلمات السر كنصوص مباشرة أنه مهما بلغ تعقيد كلمة سر حسابك لن يقف هذا حائلاً أمام مخترق إذا ما استطاع الوصول لقاعدة البيانات، والتي تحوي كلمات السر كاملة مرتبطة بالبريد الإلكتروني أو اسم المستخدم. وقد تظن أن هذا الأمر نادر، لكن تقدر إحصائية بأن 30% على الأقل من مواقع الإنترنت تحفظ كلمات السر بتلك الطريقة، رقم مهول.

يمكنك معرفة تلك المواقع ببساطة إذا ما أرسل لك بعد تسجيل حساب في أحدهم بريدًا إلكترونيًا يحمل اسم حسابك ورقمك السري بشكل مباشر. في هذه الحالة يجب أن تقوم بتغيير الكلمة مباشرة لو كانت مستخدمة في مواقع مهمة، والأفضل أن تقوم بحذف حسابك كاملاً من هذا الموقع إلا في حالة الضرورة القصوى. وهناك مدونة مخصصة لعرض هذه المواقع، وأغلبها بالطبع مواقع غير مشهورة -وإن كانت مهمة لك أحيانًا- ولا تقف وراءها شركات كبيرة.

تشمل الطرق الأخرى الأكثر تطورًا وتعقيدًا للحفاظ على كلمات السر في قواعد البيانات طرق مختلفة؛ كالتشفير «Encryption»، أو استخدام دوال التجزئة «Hash algorithms» السريعة أو البطيئة للتشفير في اتجاه واحد «one-way encryption»، أو بإضافة عبارات عشوائية تسمى Salt قبل التجزئة. تختلف تلك التقنيات في نسبة الأمان التي تحققها لكلمات السر الخاصة بالمستخدم. لكن، وبدون الدخول في تفاصيل تقنية معقدة، استخدامك لكلمة سر طويلة معقدة مع تقنية تجزئة بطيئة تعطي حسابك أمانًا جيدًا جدًا.

انتشر مؤخرًا كذلك وعلى نطاق واسع تسجيل الدخول باستخدام حساباتك على الشبكات الاجتماعية الأشهر كالفيسبوك وجوجل. في هذه الحالة لا يستطيع مخترق الموقع سرقة كلمات سرك من قاعدة البيانات، وذلك لأن الموقع يستخدم واجهة برمجية متصلة بمقدم الخدمة توفر له رمز ترخيص «authorization token» مرتبطة بالمستخدم، ولا يمكن استخدام الرمز بأي حال سوى بين الموقع والمستخدم عن طريق كود تعريف سري خاص بالموقع لا يخزن عادة في قاعدة بياناته.

قد لا تهمك هذه الفقرة التقنية شديدة البساطة والتسطيح لأمور برمجية أكثر تعقيدًا ولا يمكن إجمالها في مقال، فما هو المهم بالنسبة لك كمستخدم؟


قواعد وليست نصائح

الفيسبوك لا يريد أن يعلم بأي حال الكلمة السرية المكونة من عدة أحرف والتي تستخدمها لدخول حسابك، كل ما يريده هو وجودك بداخله بشكل مستمر.

سأحاول في نقاط محددة إجمال بعض القواعد والتي أظن أنه لا مفر من اتباعها:

  1. لا تستهين بشروط المواقع في شكل كلمة السر، كاستخدام كلمة طويلة تحتوي على مختلف الحروف والأرقام مع حروف كبيرة وصغيرة في نفس الوقت. مدى تعقيد كلمة سرك يحميها من فك التشفير السريع حال اختراق قاعدة بيانات الموقع، كما أنها صعبة الاستنتاج كذلك.
  2. لا تستخدم معلومات شخصية ككلمة سر، كاسم حيوانك الأليف أو رقم الهاتف أو عنوان المنزل أو بطلك الخارق المفضل. كلمات كتلك يمكن استنتاجها بسهولة وبقليل من المحاولات.
  3. لا تستخدم بأي حال نفس كلمة السر في المواقع الهامة كحساباتك الاجتماعية، بريدك الشخصي، بريد العمل. كل منهم يجب أن يكون بكلمة سر منفصلة، وغير مستخدمة في أي موقع آخر. المواقع التي تستخدم عليها حساباتك البنكية يجب أن تكون بكلمة سر منفصلة تمامًا ومعقدة قدر الإمكان، وتقوم بتشفير الاتصال من طرف لطرف. ويمكن معرفة هذا من علامة الأمان الخضراء بجانب شريط العنوان بمتصفحك.
  4. عند تسجيلك في موقع لا يشفر كلمات السر ويرسلها لك مباشرة على البريد بعد عمل حساب جديد أو عند نسيانها وطلبها، قم بتغييرها لو كانت مستخدمة في موقع آخر، ويفضل ألا تستخدم خدمات هذا الموقع من البداية.
  5. عند علمك باختراق موقع ما لديك عليه حساب، مع أنباء عن تسرب قاعدة بيانات المستخدمين وكلمات السر -وهو ما يحدث كثيرا- قم فورًا بالدخول لحسابك وتغيير كلمة السر لكلمة جديدة تماما. وقم بتغييرها لو كنت تستخدمها نفسها في موقع آخر.
  6. غير كلمات السر المهمة دوريًا كل بضعة أشهر.
  7. لو كان الأمر يبدو صعبًا عليك، قم باستخدام مدير لكلمات السر يقوم بتخزين بياناته محليًا على جهازك وبشكل مشفر، أنصح بتطبيق RoboForm وإن كنت شخصيًا أفضل التذكر المباشر لكلمات السر.
  8. خدماتك الأكثر أهمية يفضل أن تفعل بها خدمة الدخول عبر خطوتين 2-Step verification باستخدام الهاتف. وعند الدخول يرسل إليك رسالة قصيرة تحمل رمز مولد لحظيًا تستخدمه للدخول بجانب كلمة السر. وأنصح هنا بأن يكون رقم الهاتف المفعل عليه الخدمة غير معروفا لغيرك أو مسجلا باسمك مباشرة خصوصا لو كان حسابك معرضًا لمحاولات الاختراق كثيرًا نتيجة لشهرتك أو نشاطك.
  9. تعامل بذكاء مع الشبكات الاجتماعية والبريد الالكتروني. ولا تسأل كيف! انتظر فقط تقريرا قادما قريبا عن الاختراق باستخدام تقنيات الهندسة الاجتماعية لاختراق حسابات المستخدمين عبر كسب ثقتهم دون الحاجة لمحاولة معرفة كلمة السر.