2

اختيار كلمات سر آمنة: طريقة غير معقدة

السّلام عليكم ورحمة الله

مع انتشار استخدام الحسابات الشخصية على الانترنت، أصبحت كلمات السر الوسيلة الأبرز لضمان أمان وخصوصية هذه الحسابات، وهو ما يجعل من اختيارها أمرا في غاية الأهميّة. غير أن الكثيرين يجدون أنفسهم أمام خيارين: إما كلمات سر آمنة يصعُب اختراق الحسابات عن طريقها ولكنّها صعبة التذكّر أو كلمات سر سهلة التخمين ولكنها كالباب المفتوح للدّخول إلى الحساب المقترن بها (بريد، شبكات اجتماعية، بنوك… إلخ).

سأستعرض معكم هنا طريقة تُحاول إنشاء كلمات سر صعبة التخمين ولكنها سهلة (أو على الأقل غير صعبة) التذكّر.

الحصول على أصل كلمة سر معمّاة

أشير هنا إلى أن أغلب المواقع تحفظ كلمات سر مستخدميها بصورة معماة في قواعد بياناتها (موقع لا يفعل هذا على الأقل، لا يستحق أن تزوره). الهدف من هذا هو عدم معرفة كلمات سر المستخدمين في حالة تعرض الموقع لاختراق فيحصل المخترق على كلمات السر المعماة وليس كلمات السر الحقيقية. ولكن هناك أمر يجب الانتباه إليه. إذا كانت كلمة السر شائعة أو سبق للمخترِق الحصول على الكلمة المعمّاة المقابلة لها، فإنه سيتعرف عليها بسهولة.

لن أدخل في تفاصيل كل ذلك، ولكن لإيضاح الأمر دعونا نجري هذه التجربة البسيطة.

نفترض أنك حصلت على جدول المستخدمين من قاعدة بيانات أحد المواقع، باستغلال ثغرة SQL Injection مثلا.

كلمات السر في هذا الجدول مُعمّاة باستخدام دالة MD5 (وهي إحدى الطّرق المستخدمة كثيرا). ما حصلتَ عليه هو الآتي:

id user password
1 admin 21232f297a57a5a743894a0e4a801fc3
2 mohamed e10adc3949ba59abbe56e057f20f883e

في خانة password توجد كلمة السّر المُعماة، كيف نحصل على كلمة السر الحقيقية؟

بالنسبة لكلمات السر الشهيرة فالأمر بسيط للغاية، اذهب إلى هذا الموقع مثلا (المواقع المشابهة كثيرة جدا على الشبكة) ثم أدخل كلمة السر المعماة وانتظر النتيجة.

إزالة تعمية كلمات سر معماة - تلميحات تقنية

إزالة تعمية كلمات سر معماة – تلميحات تقنية

عرفتَ الآن كلمات السر الحقيقية ؟ أظن الإجابة نعم.

ما رأيك بإعادة التجربة الآن، ولكن بدل الكلمتين السابقتين أدخل كلمة السر المعماة التالية

eed935354057552825a41df74ccced8c

النتيجة؟ أظنها مغايرة لنتيجة التجربة السابقة. أليس كذلك ؟

إزالة تعمية كلمات سر معماة - تلميحات تقنية

إزالة تعمية كلمات سر معماة – تلميحات تقنية

الفرق بين التجربتين هو أني في الأولى اخترتُ كلمات سر شائعة جدا (admin و 123456) وهو ما يعني أن نتيجة تطبيق الدّالة MD5 على هاتين الكلمتين معروفة سلفا. على عكس الحالة الثانية (حيثُ اخترت كلمة السر التالية RAcV3$RTYZ/).

ما حصل هو أن الموقع السابق وأمثاله يحتفظ في بجدول بمليارات كلمات السر مع الكلمات المُعمّاة المقابلة لها وعند إدخال كلمة سر معماة يبحث هل هي موجودة في الجدول عنده أم لا، إن كانت موجودة فالمخترِق محظوظ وسيعرف كلمة السر اﻷصلية بسهولة وإلا فعليه البحث عن طريقة أخرى (هجمات brute force مثلا).

يمكن مراجعة مقال ويكيبديا عن MD5  ودوال هاش التشفيرية  لمعلومات أكثر.

نأتي الآن لطريقة لإنشاء كلمات سر صعبة الاختراق وسهلة الحفظ نسبيا.

اختيار كلمات سر صعبة التخمين

  • أولا اختر كلمة تتألف من 8 أحرف على الأقل.
  • فلتكن كلمة عشوائية لا معنى لها (أمر مهم للغاية لمنع الهجمات عبر القاموس). يمكن مثلا أن تكون الأحرف الأولى من جملة تتذكرها جيدا، أو تركيب بين أسماء أشخاص مهمين بالنسبة لك. على سبيل المثال إذا كان إخوتك يحملون الأسماء التالية Mohamed Aly Imane Fatima يمكن اختيار الكلمة التالية moalynema (من محمد اخترنا mo و aly من عالي والحرفين الأخيرين من كل من إيمان وفاطمة). لم ننته بعد 🙂
  • أضف أرقاما للكلمة السابقة. كمثال، سأضيف  تواريخ ميلاد الإخوة أمام الأحرف التي تمثله mo74aly80ne90ma97
  • أضف رموزا للكلمة السابقة، مثلا mo74_aly80_ne90_ma97 (أظنك حزرتَ المبدأ الذي أضفتُ على أساسه رمز _)
  • استخدم حروفا صغيرة وأخرى كبيرة : Mo74_Aly80_Ne90_Ma97 (هنا أيضا يوجد مبدأ وُضعت على أساسه الأحرف الكبيرة)
  • الآن أصبحت عندنا كلمة سر معقّدة بما يكفي. عند التسجيل في موقع أو خدمة اختر دائمة كلمة سر مغايرة لكلمات السر التي تستخدمها في المواقع الأخرى. يمكن الاعتماد على كلمة سر قاعدية تُغيّر فيها في كل مرة: في الترتيب Ma97_Aly80_Ne90_Mo74 (بدلا من Mo74_Aly80_Ne90_Ma97) أو الرموز المستخدمة وأمكنتها (*Mo74*Aly80*Ne90*Ma97*).

كان هذا مبدأ عاما لإنشاء كلمات سر معقدة وغير صعبة التذكر، يمكنك اختيار طريقة خاصة بك لإنشاء كلمات السر، مع الابتعاد عن الكلمات القصيرة جدا أو ذات المعنى أو كلمات سر مكونة من أحرف فقط أو من حروف صغيرة فقط. ينبغي أيضا الحذر من تكرار أحرف بكثرة أو استخدام تبديلات مشهورة (مثل @ مكان a أو s ب $). باختصار حاول الخلط ما أمكن وبطريقتك الخاصة.

يمكن الاستعانة أيضا بأحد برامج إدارة كلمات السر (شخصيا لا أفعل، يبدو لي الأمر كما لو أنك أعطيتَ لأحدهم كل كلمات السر التي تستعملها),

أؤكّد هنا على ضرورة الاهتمام بالاحتفاظ بكلمات السر وعدم تشاركها مع الآخرين، حتى ولو كانوا أقرب المقربين.

قبل المتابعة مع التدوينات ذات العلاقة أسفله، ما رأيك بإلقاء نظرة على أسوء كلمات السر للعام الماضي (2013). هذه القائمة مبنية على كلمات السر المكشوف عنها بعد الاختراقات.

  • 123456
  • password
  • 12345678
  • qwerty
  • abc123
  • 123456789
  • 111111
  • 1234567
  • iloveyou
  • adobe123
  • 123123
  • admin
  • 1234567890
  • letmein
  • photoshop

للحصول على آخر الإضافات مباشرة بعد نشرها يُرجى الاشتراك في تغذيات RSS.

أو على تطبيق فيدلي عبر الضغط على الزر أدناه

تابعنا على تطبيق فيدلي

فضلًا.. شارك هذا المقال 🙂

Email this to someoneTweet about this on TwitterShare on FacebookShare on Google+Share on StumbleUpon

zeine77

محمد أحمد ولد العيل، مهندس نظم معلومات. مهتم بنظام تشغيل غنو/لينوكس والبرمجيات الحرّة والمفتوحة المصدر. أسعى من خلال هذه المدوّنة لإثراء المحتوى العربي على الشّبكة.

تعليقان 2

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *