أستمع الى المقال

لا أعتقد أن أي شخص يقوم بقراءة هذه المقالة لا يدرك ما المقصود “بكلمة المرور”. فنحن محاطون بكلمات مرور في أغلب تحركاتنا على الإنترنت. من دخولنا لتفقد البريد الإلكتروني إلى التواصل ومراسلة الأقارب والأصدقاء سواء على مواقع التواصل الاجتماعي أو عبر تطبيقات الهاتف والكمبيوتر أو استخدام أي خدمة من خلال ملايين المواقع على شبكة الإنترنت.

 فكلمة المرور التي يقوم الكثيرون بالتفنن في حمايتها وجعلها منيعة من سهولة التخمين، التي تكون في المجمل مزيج من الأحرف الصغيرة والكبيرة والرموز والأرقام التي تختلف من مستخدم إلى آخر، وهو الإجراء الأبرز الذي يساعدنا إلى حد بعيد في حماية بياناتنا. لذا يجب أن تكون قوية بما يكفي لتحمل الهجمات المتعددة التي تحاول سرقة بياناتك.

وفي نفس الوقت يجب أن تكون سهلة التذكر لدينا كي لا يتم نسيانها، مما يعني أنه لا ينبغي أن تكون سهلة بحيث يمكن للجميع تخمينها، ولا صعبة جدًا لدرجة أن ننساها بعد مرور بعض الوقت.

ويتم استخدام كلمة المرور في سيناريوهات متعددة، ولكن الدافع لاستخدامها هو واحد، وهو التأكد من هوية المستخدم. تُستخدم كلمات المرور بصورة أساسية مع معرف فريد أو اسم مستخدم، يشار إلى المجموعة باسم بيانات اعتماد تسجيل الدخول.

كبار التقنية يدعمون عمليات تسجيل الدخول بدون كلمة مرور

كنوع من محاولة التخفيف على المستخدم من عبء استخدام كلمة المرور بشكل دائم، حاول الكثيرون إيجاد بدائل أكثر سهولة في الاستخدام وحتى أكثر أمانًا، ومنها المصادقة البيومترية من بصمات الإصبع أو التعرف على الوجه أو حتى التعرف على نبضات القلب من خلال الهاتف أو الأجهزة القابلة للارتداء.

وكخطوة لدعم هذا المسار على مستوى أكثر شمولية، أعلنت شركات مايكروسوفت وآبل وجوجل قبل أيام عن خططهم لدعم معيار تسجيل الدخول بدون كلمة مرور (المعروف باسم مفاتيح المرور) الذي طوره اتحاد شبكة الويب العالمية (W3C) وتحالف “FIDO” أو “Fast IDentity Online”. وسواءً كان الأمر مقصودًا أم لا، فإنه مصادفةً لطيفة بعض الشيء أن يكون تاريخ إعلان إنهاء زمن كلمات المرور التقليدية من قبل عمالقة التكنولوجيا في اليوم العالمي لكلمة المرور الموافق للسادس من مايو/أيار الحالي.

بمجرد البدء في تنفيذ هذه الخطوة، ستسمح بيانات اعتماد مصادقة الويب (WebAuthn) الجديدة والمعروفة أيضًا باسم بيانات اعتماد FIDO لمستخدمي عمالقة التكنولوجيا الثلاثة بتسجيل الدخول إلى حساباتهم دون استخدام كلمة مرور. وسيكون لديهم خيار اختيار التحقق من هويتهم باستخدام أرقام التعريف الشخصية أو المصادقة البيومترية كبصمة الإصبع أو التعرف على الوجه.

وأوضح سامباث سرينيفاس، مدير إدارة المصادقة الآمنة في جوجل عبر مدونة الشركة، بأن عملية تسجيل الدخول إلى موقع ويب من خلال جهاز الكمبيوتر، ستحتاج فقط إلى أن يكون هاتف المستخدم بالقريب منه وستتم مطالبته بإلغاء قفل للوصول إليه. وفي حال فقدان الهاتف، فستتم مزامنة مفاتيح المرور الخاصة به على نحو آمن مع هاتفه الجديد من النسخة الاحتياطية عبر السحابة، مما يتيح له المتابعة من حيث توقف جهازه القديم.

وأضاف أليكس سيمونز نائب رئيس قسم الهوية في مايكروسوفت، بأن بيانات اعتماد FIDO متعددة الأجهزة، والتي يشار إليها أحيانًا بمفاتيح المرور، تمثل خطوة مذهلة نحو عالم بدون كلمات مرور، مما يضيف إمكانيات إضافية لعمليات تسجيل دخول أكثر سلاسة وسهولة، وبالإمكان المستخدمين الوصول تلقائيًا إلى مفاتيح المرور الخاصة بهم على العديد من أجهزتهم دون الحاجة إلى إعادة التسجيل لكل حساب.

 حماية أكبر من الهجمات

من المفترض أن يصبح هذا المشروع قيد التنفيذ عبر الأنظمة الأساسية والأجهزة ومواقع الويب والتطبيقات التي تديرها شركات مايكروسوفت وآبل وجوجل خلال العام المقبل.

فقد أكد فاسو جاكال، نائب رئيس شركة مايكروسوفت، أن هناك 921 هجومًا بكلمة مرور في كل ثانية، وهذا الرقم قد تضاعف تقريبًا على مدار الـ 12 شهرًا الماضية. وأنه من خلال هذا المشروع الذي ستطلقه الشركات الثلاث حاليًا، سيجعل الويب أكثر أمانًا نظرًا لأنها نقطة الدخول الأكثر شيوعًا التي يستخدمها المهاجمون لسرقة الهويات عبر الإنترنت.

والجدير بالذكر أن من بين الشركات الثلاث، كانت شركة مايكروسوفت تضغط بلا انقطاع من أجل تسجيل الدخول بدون كلمة مرور عبر العديد من منصاتها وخدماتها لعدة سنوات. ففي ديسمبر/كانون الأول 2020، أفادت مايكروسوفت أن أكثر من 150 مليون مستخدم قاموا بتسجيل الدخول إلى حسابات الشركة و Azure Active Directory دون استخدام كلمات المرور.

عيوب ومشاكل كلمات السر

وفقًا للتوصيات الصادرة عن الشركات والمؤسسات الأمنية، لكي تكون كلمة المرور فعالة وقوية، لا بد أن تتوفر فيها بعض المعايير التالية:

  • أن يتم تغيير كلمة المرور كل 60 يومًا على أقل تقدير
  • ألا تقل عدد محارف كلمة السر عن 8 خانات
  • لا بد من استخدم كلا من الأحرف الكبيرة والصغيرة والحروف الأبجدية والرموز مثل (@-$-&)
  • يفضل أن يتم حفظها في مكان آمن غير قابل للاختراق.

كل ما تم ذكره أعلاه يدعو إلى بعض الطمأنينة، ولكن في واقع الأمر كل هذه الإجراءات والتدابير غير كافية لحماية كلمات مرورنا من الاختراق، فيمكن لجهاز الكمبيوتر العادي أن يقوم بتشغيل أداة لكسر كلمات مرور التي تقوم بدورها بتجربة ثمانية ملايين كلمة مرور في الثانية، مما يعني أن الأمر سيستغرق ما يصل إلى 315 يومًا لكسر كلمة مرور من النوع الموصوف أعلاه. ولكن تم الكشف مؤخرًا على جهاز كمبيوتر متطور مزود بـ 25 وحدة معالجة يحقق 350 مليار كلمة مرور في الثانية، وهو ما سيستغرق ما يصل إلى 10 دقائق فقط لكسر نفس كلمة المرور.

ناهيك عن الطرق الأخرى التي تتم بها عمليات التصيد الاحتيالي واستهداف المستخدمين من خلال الهندسة الاجتماعية أو عبر إرسال الروابط المشبوهة التي يتم زرع الفيروسات وأحصنة طروادة ليتم من خلالها السيطرة وسرقة كل البيانات المستهدفة أو تتم عملية ابتزاز للمستخدم عن طريق فيروس الفدية.

بصورة عامة، تبقى منظومة كلمات السر ضعيفة وهشة، ويعود ذلك لأنه يتعين على المستخدمين إنشاء كلمات مرور خاصة بهم على نحو مستمر ولأكثر من حساب، فمن المحتمل جدًا أنهم لن ينشئوا كلمة مرور آمنة وقوية بما فيه الكفاية. وقد يكون ذلك بسبب رغبة المستخدمين في الحصول على كلمة مرور يسهل تذكرها، أو أنهم يستخدمون أنماطًا لإنشاء كلمات مرورهم مثل استخدام أسمائهم أو تاريخ ميلادهم في كلمات المرور الخاصة بهم.

في حين أنه من السهل نسبيًا على المستخدمين تذكر هذه الأنماط أو كلمات المرور، فإن مجرمي الإنترنت على دراية أيضًا بهذه الصيغ التي يستخدمها الأشخاص لإنشاء كلمات المرور. عادةً ما ينتج عن هذه الأنواع من كلمات المرور كلمات مرور ضعيفة وغير آمنة ومعرضة للكسر.

أساليب مصادقة أكثر أمانًا

مع كثرة الخروقات الأمنية للشبكات وتزايد سرقة الهوية وكلمات المرور، أصبح البحث عن بدائل وطرق أكثر أمانًا وقوة ضرورة لابد منها لحماية بيانات الأفراد والشركات على حد سواء. وإحدى هذه الطرق هي أنظمة الأمن البيومترية التي لجأ إليها في البدء المؤسسات المالية، وذلك بسبب ارتفاع أسعار الأجهزة المخصصة لهذه التقنية، ولكن مع مرور الوقت أصبحت هذه التقنية بمتناول الجميع من خلال الهاتف المحمول أو الساعات الذكية وغيرها.

الأمن البيومتري

الأمان البيومتري هو آلية أمنية تحدد الأشخاص من خلال التحقق من خصائصهم الجسدية أو السلوكية. وهي حاليًا أقوى وأدق تقنية للأمن تُستخدم للتحقق من الهوية. تُستخدم القياسات الحيوية بصورة رئيسية في أنظمة الأمان في البيئات الأكثر عرضة للسرقة. إذ تخزن هذه الأنظمة الخصائص التي تظل ثابتة بمرور الوقت، على سبيل المثال، بصمات الأصابع والصوت وأنماط شبكية العين والتعرف على الوجه وأنماط اليد، وهناك الكثير من الأبحاث الجديدة حول إضافة نبضات القلب وموجات الدماغ إلى هذه التقنية.

يقوم نظام الأمان البيومتري بمسح وتقييم الخصائص ومحاولة مطابقتها مع السجلات المخزنة. ومن ثم إذا تم العثور على تطابق، يتم منح الشخص حق الوصول إلى المنشأة أو الجهاز.

إن أكثر أنواع أنظمة الأمان الحيوية شيوعًا في الوصول المادي حاليًا هي مستشعرات بصمات الأصابع. هذا بسبب انخفاض تكلفتها؛ وبالرغم من ذلك، وللحصول على أفضل دقة، غالبًا ما تستخدم البيئات عالية الأمان أنظمة التعرف على قزحية العين.

ومع مرور الوقت بدأت الكثير من الشركات تدرك الفوائد التي يمكن أن تجلبها أجهزة الأمان البيومترية. في تأمين مباني الشركات وحماية بياناتها، بمنع الأشخاص غير المصرح لهم من الوصول إلى الشبكات والأنظمة الآمنة. بالإضافة إلى ذلك، بسبب لوائح الامتثال، إذ يجب التأكد من أن بعض الموظفين فقط لديهم حق الوصول إلى الملفات الحساسة، وأن عمليات سير العمل يتم اتباعها حرفياً. بالنسبة إلى البيانات الحساسة، لا تعد كلمات المرور مثالية، حيث يمكن لزملاء العمل مشاركتها. عوضا عن ذلك، يمكن للمؤسسات استخدام القياسات الحيوية لتنظيم الوصول إلى الخادم أو الكمبيوتر.

وبدأت بالفعل بعض شركات التكنولوجيا التي تستخدم أنظمة الأمان البيومترية الاستفادة من الدقة القصوى والأمان ومنح الصلاحيات لمستخدميها باستخدام هواتفهم التي تحتوي على أنظمة بيومترية عوضًا عن كلمات المرور للوصول إلى خدماتها. وذلك من خلال بصمات الأصابع أو التعرف على الوجه وغيرها، التي تقدم مجموعة بيانات فريدة تمامًا. عندما يتم تسجيل مستخدم في نظام أمان بيومتري، يمكن إجراء التعرف التلقائي على نحو سريع وبأقل قدر ممكن من التدريب.

وإحدى تلك شركات هي شركة Bionym، التابعة لجامعة تورنتو التي تصنع منتجًا يسمى Nymi هو جهاز صغير يمكن ارتداؤه، يستخدم مخطط كهربية القلب (ECG) لمصادقة هوية المستخدم. ويحوّل Nymi نبضات قلب الشخص إلى مفتاح فريد يمكن استخدامه لإلغاء قفل أي جهاز.

خاتمة

تعد حماية بيانات المستخدم أولوية قصوى للعديد من المؤسسات والشركات التي تقدم الكثير من الخدمات لمليارات المستخدمين، لأنها أساس الثقة التي وضعها المستخدمون فيها. لذلك نرى أن عمليات المصادقة والتأكد من هوية المستخدم تتطور بصورة مستمرة عبر إضافة المزيد من تقنيات المصادقة البيومترية.

وعلى الصعيد الفردي، لا بد أن يتحصن المستخدم ليبقى على قيد الحياة رقميًا في هذا العالم الرقمي الواسع، وأيضًا لكي يحمي بياناتها الشخصية فهو مطالب بالحصول على بعض الفهم الأساسي لكيفية حماية نفسه وبياناته من التعرض للخطر. فكلمات المرور ليست سوى خطوط دفاع أولية، لذلك لابد من وجود الوعي الرقمي لدى المستخدم، ومواكبة التطورات من حوله للحصول على أعلى قدر ممكن من الحماية.

هل أعجبك المحتوى وتريد المزيد منه يصل إلى صندوق بريدك الإلكتروني بشكلٍ دوري؟
انضم إلى قائمة من يقدّرون محتوى إكسڤار واشترك بنشرتنا البريدية.