تكنولوجيا الجريمة الالكترونية

هل كلمة المرور القوية والمصادقة ثنائية العوامل تكفيان لحمايتك؟

حذّر "مدير أمان الهوية" في مايكروسوفت (The Director of Identity Security) من عدم كفاءة كلمات المرور القوية، ومؤخراً بشأن المصادقة متعددة العوامل القياسية أو ما يعرف بـ (MFA). فما هي المخاطر من استخدام كلمات المرور فقط للدخول إلى الحسابات بدون استخدام عوامل المصادقة الأخرى؟ وما هي الحلول الأكثر أماناً لاستخدام عوامل المصادقة ثنائية العوامل؟ هذا ما سنتطرق إليه في هذا المقال.

كلمات المرور المعقدة غير هامة إلى هذا الحدّ:

في وقتٍ سابقٍ من هذا العام، حذَّرَ "أليكس وينيرت" (Alex Weinert) من أنَّ جعل كلمات المرور قويّةً جداً هو أمرٌ غير هام إلى هذا الحدّ، وأوضح الأسباب التي تجعل كلمات المرور القوية غير فعالة بالضرورة، حيث قال: "عندما يتعلق الأمر بتركيب كلمة المرور وطولها، فإنّ كلمة المرور (في الغالب) لا تهم". يجب أن يعرف كل شخص أنّ الفريق الذي يعمل معه (أليكس) في مايكروسوفت يصدّ يومياً مئات الملايين من الهجمات الموجّهة لكلمات المرور.

وأضاف قائلاً: "تذكر أنّ كل ما يهتم به المهاجم هو سرقة كلمات المرور... وهذا فرقٌ رئيسيٌّ بين الأمان الافتراضي والعملي".

بمعنى آخر، سيفعل الأشرار كل ما هو ضروري لسرقة كلمة مرورك، وكلمة المرور القوية ليست عقبةً عندما يكون لدى المجرمين الكثير من الوقت والكثير من الأدوات تحت تصرفهم.

إقرأ أيضاً: 4 مخاطر رئيسة للأمن الحاسوبي تواجهها الشركات عند العمل من المنزل

أسباب نجاح المتسللين في الحصول على كلمات المرور:

قدم "أليكس" في جدولٍ قائمةً بأسباب نجاح المتسللين بالدخول إلى الحسابات في كثيرٍ من الأحيان. على سبيل المثال:

1. خرق كلمات المرور أو تسريب كلمات المرور (Passwords Breach):

أي أنّ الأشرار قاموا بسحب ونشر كلمات المرور من خوادم الشركة، ولديهم بالفعل كلمة مرورك.

المخاطر المحتملة: حدوث انتهاكات جسيمة طوال الوقت. نظراً لأنّ لديهم بالفعل كلمة مرورك، ولأنّ كلمات المرور يصعب التفكير فيها وإعادة استخدامها (يعترف 62٪ من المستخدمين بإعادة استخدام نفس كلمة المرور للعديد من المواقع)، يمكن للقراصنة اختراق أكثر من حسابٍ واحد بنفس كلمة المرور المُسَرَّبة. يتمّ فحص أكثر من 20 مليون حساب يومياً في "أنظمة معرف مايكروسوفت" (Microsoft ID systems).

2. "رشّ كلمات المرور" (Password Spray) المعروف أيضاً باسم "تخمين كلمات المرور":

يستخدم المخترقون العديد من الأدوات والتقنيات لمحاولة تخمين وكسر كلمات المرور، ويستغلون بعض الثغرات البرمجية للوصول لمبتغاهم.

المخاطر المحتملة: "أحياناً يتمّ كسر مئات الآلاف من كلمات المرور يومياً. وذلك عن طريق محاولة فحص الملايين من كلمات المرور يومياً".

3. "التصيد الاحتيالي" (Phishing)، مثل رسائل البريد الإلكتروني المزيفة:

أحياناً تبدو هذه الرسائل أصيّلةً للغاية، حيث يُزعم أنّها من شركةٍ حسنة السمعة تثق بها.

المخاطر المحتملة: "تعمل هذه الرسائل المزيفة في أغلب الأحيان... الناس فضوليون أو قلقون ويتجاهلون علامات التحذير".

حلول لإيقاف المتسللين:

هناك حلُّ لإيقاف محاولات التسلل التي وردت في الأعلى (نصيحة تستهدف شركات التكنولوجيا أكثر من المستخدمين)، وهي الاعتماد بشكلٍ أكبر على "القياسات الحيوية" (Biometrics) مثل "بصمة الإصبع"، أو "بصمة الوجه"، أو "بصمة الصوت".

وفقاً لشركة "ساينوبسيس" (Synopsys) في كاليفورنيا، والتي تهتم وتركز أبحاثها على أمن البرمجيات: "يتم تخزين آليات التعرف هذه على جهاز المستخدم فقط. كلمات المرور هي "أسرار مشتركة" موجودة على كلٍّ من الجهاز وعلى الخادم والتي -كما نعلم جميعاً- يمكن اختراقها".

لكن شركة "ساينوبسيس" (Synopsys) تضيف أيضاً: "إذا جعلت كلمات مرورك طويلةً ومعقدة، فاستخدم مزيجاً من الأحرف والرموز وعلامات الترقيم، وقم بتغيير كلمة المرور بشكلٍ دوري، ولا تستخدم نفس كلمة المرور لأكثر من حسابٍ واحد، أنت ستصبح شخصاً آخر، (نظراً لأن غالبية المستخدمين لا يفعلون ذلك)، أي أنك ستكون أكثر أماناً من الغالبية العظمى من الأشخاص".

المصادقة متعددة العوامل المستندة إلى الهاتف ليست آمنة أيضاً:

المصادقة متعددة العوامل (MFA) المستندة إلى الهواتف، ليست آمنة أيضاً وفقاً لـ "أليكس".

ما المقصود بالمصادقة متعددة العوامل (MFA) النموذجية؟

على سبيل المثال، يرسل إليك أحد البنوك رمز تحقق عبر رسالة نصية (SMS) عند محاولتك لفتح حسابك المصرفي عن طريق الإنترنت، يعتبر هذا أشهر الأمثلة على المصادقة متعددة العوامل، أي أنّ عملية المصادقة (تصريح دخولك إلى حسابك) لا تكتفي بإدخالك كلمة المرور الصحية فقط، وإنّما تعتمد على عوامل أخرى مثل رمز التحقق الواصل إليك برسالةٍ نصية، أو عوامل أخرى إضافية.

كتب "أليكس" في تدوينة عبر موقع ZDNet: "أعتقد أنّ عملية التحقق عن طريق الرسائل النصية تعتبر الأقل أماناً من بين أساليب المصادقة متعددة العوامل (MFA) المتاحة اليوم".

كما كتب "أليكس" أيضاً: "عندما تمّ تطوير بروتوكولات SMS (الرسائل النصية) والصوت، تمّ تصميمها بدون تشفير... ما يعنيه هذا هو أنّه يمكن اعتراض الإشارات من قبل أيّ شخصٍ يمكنه الوصول إلى شبكة الهاتف أو داخل النطاق اللاسلكي للهاتف".

إقرأ أيضاً: ما هي البرمجيات الخبيثة Malware؟ وماذا تفعل في جهاز الحاسب؟

الحل الأمثل للاستخدام المصادقة متعددة العوامل (MFA):

الحل الأمثل هو استخدام المصادقة متعددة العوامل المستندة إلى التطبيق. على سبيل المثال استخدام برنامج: "مايكروسوفت أوثينيكيتور" (Microsoft Authenticator) أو "جوجل أوثينيكيتور" (Google Authenticator). تعدُّ هذه التطبيقات أكثر أماناً لأنّها لا تعتمد على مشغل شبكة الهاتف الجوال والرسائل النصيّة (SMS)، حيث أنّ الرموز موجودةٌ في التطبيق نفسه وتنتهي صلاحيتها بسرعة.

تحميل تطبيق: "مايكروسوفت أوثينتيكيتور" (Microsoft Authenticator) لهواتف "أندرويد" (Android) | "أي أو إي" (iOS).

تحميل تطبيق: "جوجل أوثينتيكيتور" (Google Authenticator) لهواتف "أندرويد" (Android) | "أي أو إي" (iOS).

 

المصدر

مقالات مرتبطة