استمع إلى المقال

تُعدّ كلمات المرور مهمّة عندما يتعلّق الأمر بالخصوصيّة والأمان عبر الإنترنت وحماية بياناتنا، قد تكون إدارة كلمات المرور صعبة. وقد نلجأ إلى استخدام نفس كلمة المرور مرارًا وتكرارًا أو التغيير والتبديل في كلّ كلمة مرور قليلًا، حتّى لا ننسى كلمات المرور الخاصّة بنا ويتمّ قفل حساباتنا. قد نبتكر كلمات مرور سهلة أو طريقة تسهّل علينا تذكّرها. ولكنّ هذا أيضًا يسهّل على المجرمين الإلكترونيّين اكتشاف الأمر.

يفضّل أن تكون كلّ كلمة مرور لكلّ خدمة فريدة ومعقّدة وطويلة. وتحتوي أرقام وحروف كبيرة وصغيرة ورموز، كلّ هذا وعلينا أن نتذكّرها كلّها، هناك بعض الحلول الّتي تساعد المستخدم في حفظ وإدارة كلمات المرور لكلّ الحسابات الشخصيّة، ومن هذه الحلول برامج إدارة كلمات المرور أو متصفّحات الويب الّتي تمّ دمج برامج إدارة كلمات المرور فيها.

إنّ مديري كلمات المرور عبارة عن تطبيقات تخزّن تفاصيل تسجيل الدخول الخاصّة بنا على نحو آمن لجميع أنواع مواقع الويب والخدمات عبر الإنترنت. معظم مديري كلمات المرور لا يتتبّعون فقط أسماء المستخدمين وكلمات المرور المختلفة، بل يقومون أيضًا بإنشاء كلمات مرور فريدة وقويّة لعمليّات تسجيل الدخول المتنوّعة.

تقدّم بعض الشركات الكبرى مثل جوجل ومايكروسوفت مديري كلمات المرور الخاصّة بهم، وكما تفعل العديد من الشركات المستقلّة ذلك أيضًا.

يستخدم مديرو كلمات المرور عادة طبقات متعدّدة من التشفير وأنواع الحماية الأخرى للحفاظ على أمان بياناتنا. وعلى الرغم من كلّ هذه التدابير الأمنيّة، فإنّ هذه التطبيقات ككلّ التطبيقات قد تتعرّض للاختراق وسرقة البيانات، لذا ستُلقي هذه المقالة نظرة على مديري كلمات المرور دون أن نقوم بأي ترهيب أو ترغيب لهذه التطبيقات.

وسيتمّ تناول الكثير من الأسئلة المهمّة أدناه. كيف يقوم مديرو كلمات المرور بتأمين كلمات المرور الخاصّة بنا؟ وما هي مخاطر استخدام مدير كلمات المرور؟ وأنواعها.

كيف تقوم برامج إدارة كلمات المرور بتأمين كلمات المرور الخاصّة بنا؟

هناك عدّة طرق يقوم بها مديرو كلمات المرور بتأمين كلمات المرور الخاصّة بنا، وهذا هو سبب كونها آمنة للاستخدام. على الرغم من أنّه يمكن اختراقها، مثلها مثل أيّ تطبيق آخر، ولكنّ هذا الأمر لن يكون بهذه البساطة عندما يتعلّق الموضوع باختراق تطبيقات إدارة كلمات المرور، بشرط أن نتّخذ الاحتياطات اللازمة. فمن الأسهل على المهاجم استخدام الهندسة الاجتماعيّة أو التّصيّد الاحتياليّ عوضاً عن اختراق كلمة مرور قويّة.

ما الّذي يجعل مديري كلمات المرور آمنين للغاية؟

يستخدم مديرو كلمات المرور التشفير لحماية كلمات المرور الخاصّة بنا. معيار AES 256 بت هو معيار الصناعة الّذي يستخدمه الجيش أيضًا بسبب قوّته الاستثنائيّة. قد يستغرق فكّ هذا الشفرة الآلاف من ساعات العمل، لذا فإنّ أيّ هجوم لديه فرصة تقترب من الصفر للنجاح.

بالإضافة إلى أنّ مديري كلمات المرور يحمي بياناتنا من أنفسهم باستخدام بنية خالية من المعرفة. هذا يعني أنّ كلمات المرور الخاصّة بنا مشفّرة قبل أن تغادر جهازنا. لذلك عندما ينتهي بهم الأمر على خادم الشركة، لا يمتلك المزوّد أدوات لفكّ تشفيرهم.

سيطلب منّا معظم مديري كلمات المرور استخدام كلمة مرور رئيسيّة للوصول إلى مخزننا. إذا كان آمنًا، فيمكننا حينها التأكّد من أنّ بقيّة كلمات مرورنا آمنة بالقدر الكافي. ويوصى أيضًا باستخدام المصادقة الثنائيّة (2FA) لتعزيز أمان قاعدة البيانات الخاصّة بنا. ويعدّ استخدام المصادقة البيومتريّة، مثل بصمة الإصبع أو مسح الوجه، فكرة جيّدة أيضًا.

أخيرًا يمتلك مديرو كلمات المرور ميزات متعدّدة تهدف إلى تأمين كلمات المرور. سيذكرنا البعض بتغيير كلمات المرور بانتظام وتقييم قوّتها. وسيقوم الآخرون بفحص الويب المظلم للتحقّق ممّا إذا كان أيّ من عمليّات تسجيل الدخول الخاصّة بنا قد ظهرت عبر الإنترنت.

وجد استطلاع أجرته جوجل لعام 2019 على الأمريكيّين الّذين تبلغ أعمارهم 16 عامًا فأكثر بأنّ 52% منهم قد كرّروا نفس كلمة المرور عبر خدمات متعدّدة عبر الإنترنت، وقال 13% إنّهم يستخدمون نفس كلمة المرور لكلّ شيء. وينصح خبراء الأمن السيبرانيّ على نطاق واسع بعدم إعادة استخدام كلمات المرور لأنّها تجعل الفرص أسهل بكثير للقراصنة.

مخاطر استخدام مدير كلمات المرور

في حقيقة الأمر لا توجد طريقة للبقاء آمنين على الإنترنت بنسبة 100%. حتّى إذا كنّا نستخدم مدير كلمات مرور موثوقًا به، فهناك بعض المخاطر الّتي يجب أن نعرفها:

• جميع البيانات الحسّاسة في مكان واحد. هناك نصيحة دائمًا ما نسمعها، وهي عدم وضع كلّ البيض في سلّة واحدة. هذا بالضبط ما يجب فعله مع مدير كلمات المرور. فمن المحتمل أن تتضمّن هذه السلّة تفاصيل بطاقة الائتمان والملاحظات الآمنة الأخرى. في حالة حدوث خرق ما، فلن يستغرق حظر جميع خيارات الدفع وتغيير كلمات المرور لجميع حساباتنا الكثير من الوقت للمهاجم لإلحاق الضرر بنا.

• النسخ الاحتياطيّ غير ممكن دائمًا. إذا تعطّل الخادم، فإنّ أملنا الوحيد هو أن يقوم مزوّدنا بعمل نسخة احتياطيّة. تزداد هذه المخاطر أضعافًا مضاعفة إذا قرّرنا إبقاء مخزننا في وضع عدم الاتّصال على أحد أجهزتنا. وبطبيعة الحال، لن يساعد الاحتفاظ بنسخة احتياطيّة على محرّك أقراص غير محميّ أو خدمة سحابيّة محميّة على نحوٍ سيئ.

• ليست كلّ الأجهزة آمنة. يستغلّ المتسلّلون نفس الثغرة الأمنيّة للحصول على جميع عمليّات تسجيل الدخول الخاصّة بنا في هجوم واحد. يمكن اختراق مديري كلمات المرور إذا كان جهازنا مصابًا ببرامج ضارّة. في هذه الحالة سيحصل مجرمو الإنترنت على وصول كامل إلى البيانات المخزّنة. لهذا السبب يجب على مستخدمي إدارة كلمات المرور التأكّد من تأمين جميع أجهزتهم أوّلًا لتقليل المخاطر.

• عدم استخدام المصادقة البيومتريّة. تعدّ المصادقة البيومتريّة طريقة رائعة لإضافة مستوى آخر من الأمان. إذا قمنا بتكوين مدير كلمات المرور لطلب إمّا بصمة إصبع أو مسح ضوئيّ للوجه، فإنّ فُرص اختراق شخص ما لخزنتنا تصبح ضئيلة. وكما أنّه من الأسهل بالنسبة لنا لمس الماسح الضوئيّ لبصمات الأصابع عوضا عن إدخال كلمة مرور رئيسيّة.

• مدير كلمات المرور ضعيف. إذا كان التطبيق الّذي نستخدمه يحتوي على تشفير ضعيف، ويقدّم ميزات قليلة، ومراجعات سيّئة، فلا يجب علينا استخدامه. عندما يتعلّق الأمر بتأمين بياناتنا، فإنّ توفير بضعة دولارات شهريًّا لا ينبغي أن يكون من أولويّتنا الرئيسيّة.

• نسيان كلمة مرورك الرئيسيّة. تجدر الإشارة إلى أنّ مدير كلمات المرور لا يمتلك ميزة إعادة تعيين، ففي حال نسيان الكلمة الرئيسيّة، قد نبدأ بالفعل في استعادة كلّ تسجيل دخول واحدًا تلو الآخر. عوضا عن ذلك، من الأفضل تخزين كلمة مرورنا الرئيسيّة (أو تلميح) في مكان آمن مادّيًّا، مثل خزنة.

كما لاحظنا، أنّ بعض المخاطر قد تكون بسبب تطبيقات إدارة كلمات المرور، لكنّ أغلب هذه المخاطر موجود فقط بسبب سلوك المستخدمين. وهذا يوضّح أنّه لا توجد مخاطر كثيرة لاستخدام مدير كلمات المرور.

ما هي أنواع تطبيقات إدارة كلمات المرور؟

هناك ثلاثة أنواع معروفة من تطبيقات إدارة كلمات المرور، ويأتي كلّ منها بمجموعة من الإيجابيّات والسلبيّات، وبما في ذلك الفرق في الأمان

مديرو كلمات المرور المتضمّنة في متصفّح الإنترنت

الأمان: آمن

الإيجابيات: سهل الاستخدام، مجاني

السلبيّات: لا توجد مزامنة عبر المستعرضات، ولا تقوم جميعها بإنشاء كلمات مرور.

أمثلة: إدارة كلمات مرور المتضمّنة للمتصفّحات التالية: (Chrome و Firefox و Safari)

فيما يخصّ قوّة الأمان في التشفير والمصادقة الثنائيّة، فإنّ مديري كلمات المرور ضمن المتصفّح آمنون جدًّا. ورغم ذلك هو الأقلّ أمانًا بين الثلاثة أنواع.

يعمل مديرو كلمات المرور ضمن المتصفّح على متصفّح واحد معيّن. في حال قرّرنا الانتقال من Safari إلى Chrome أو Firefox، فقد نواجه مشكلة في التصدير والاستيراد. بالإضافة أنّه لا توجد طريقة يمكّننا من خلالها مزامنة المخزن الخاصّ بنا على متصفّحات مختلفة. ويؤدّي كلّ هذا غالبًا إلى تخزين كلمات المرور الخاصّة بنا في مكان غير آمن.

ومن العيوب أخرى، أنّه ليس لدى مديري كلمات المرور ضمن المتصفّح منشئ كلمات المرور. وسيضطرّ المستخدم إلى إنشائها يدويًّا.

كما لا يمكن لمديري كلمات مرور المتصفّح اكتشاف كلمات المرور الضعيفة أو المعاد استخدامها. وفي حال أردنا معرفة ما إذا كانت عمليّات تسجيل الدخول الخاصّة بنا غير متوفّرة على الويب المظلم، فسيكون علينا التحقّق من ذلك يدويًّا على أداة منفصلة.

مديرو كلمات المرور السحابيّة

الأمان: مرتفع

الإيجابيّات: ملائم للغاية، وصول سهل من أيّ مكان، نسخ احتياطيّ سحابيّ.

السلبيّات: لا يوجد تحكّم في أمان المخزن الخاصّ بنا، تقوم خوادم الطرف الثالث بتخزين بياناتنا، يتطلّب اتّصالًا بالإنترنت.

أمثلة: Zoho Vault، LastPass

عند مقارنتها بأدوات إدارة كلمات المرور ضمن المتصفّحات، فإنّ مديري كلمات المرور السحابيّة أكثر أمانًا، نظرًا لأنّ لديهم المزيد من الميزات الّتي تعزّز الأمان.

توفّر معظم تطبيقات إدارة كلمات المرور السحابيّة نسخة احتياطيّة لمخزننا. في حالة حدوث شيء ما للخادم، يمكنك استعادة إصدار حديث من قاعدة بياناتنا.

كما وتتيح لنا تطبيقات إدارة كلمات المرور السحابيّة تخزين ليس فقط كلمات المرور ولكن أيضًا الملاحظات الآمنة وتفاصيل بطاقة الائتمان. وبهذه الطريقة يمكنك حماية جميع المعلومات الحسّاسة.

بالإضافة إلى أنّ تطبيقات إدارة كلمات المرور السحابيّة تكشف كلمات المرور المعاد استخدامها والضعيفة، وينشئون كلمات مرور قويّة، ويتحقّقون ممّا إذا لم يتمّ تسريب حساباتنا. كما أنّها تتيح لنا مشاركة إدخالات المخزن بسهولة، حتّى مع أولئك الّذين لا يستخدمون نفس الخدمة.

يعمل مديرو كلمات المرور السحابيّة على متصفّحات وأنظمة تشغيل متعدّدة. هذا يعني أنّنا لن نضطرّ إلى التفكير في كيفيّة نسخ شيء ما ولصقه من قاعدة البيانات الخاصّة بنا على نحو آمن.

مديرو كلمات المرور سطح المكتب

الأمان: مرتفع جدًّا

الإيجابيّات: الخيار الأكثر أمانًا، لا يتطلّب اتّصالًا بالإنترنت.

السلبيّات: ممنوع الوصول من الأجهزة الأخرى، مشاركة كلمات المرور المعقّدة، النسخ الاحتياطيّة يدويّة

أمثلة: Bitwarden و KeePass و 1Password و Dashlane

إنّ مديري كلمات المرور المستندة إلى سطح المكتب يمكن أن يكونوا الأكثر أمانًا، لكنّ هذا يعتمد فقط على المستخدم.

يقوم مديرو كلمات المرور بتخزين بياناتنا محلّيًّا، على أحد أجهزتنا. ليس من الضروريّ أن يكون هذا الجهاز متّصلًا بالإنترنت، ومن هنا قد تكون فرص اختراقه معدومة تقريبًا. السيناريو الأكثر احتمالًا، هو قيامنا عن غير قصد بتثبيت أداة ضارّة تقوم بتسجيل لوحة مفاتيح وكتابة كلمة مرورنا الرئيسيّة. ولكن يمكن تجنّب ذلك باستخدام المصادقة البيومتريّة.

إن من سلبيّات مدير كلمات المرور المستند إلى سطح المكتب. هو أنه سيتعيّن علينا الاهتمام بالنسخ الاحتياطيّة بشكل منتظم ودوريّ. وفي حال تعطّل جهازنا، حينًا لم نعد قادرين من الوصول إلى كلمات المرور الخاصّة بنا من الأجهزة الأخرى، ولن تكون مشاركتها سهلة أيضًا.

ماذا لو تمّ اختراق تطبيق إدارة كلمات المرور؟

إن كلمات مرورنا مشفّرة محلّيًّا. وليس لدى مديري كلمات المرور طريقة لفكّ تشفير بياناتنا لأنّهم يطبّقون سياسة عدم المعرفة. لذلك إذا اخترق أحد المتطفّلين خزينتنا، فلن يرى سوى المعلومات المشفّرة.

وهناك احتمال ضئيل أن يتمكّن المهاجم من اقتحام جهازنا، عن طريق سرقته أو استخدام برامج ضارّة أو تسجيل ضغطات المفاتيح. وحينها سيحتاج إلى كلمة مرورنا الرئيسيّة. وفي حال كنّا نستخدم بيانات المقاييس الحيويّة، مثل بصمة الإصبع أو معرّف الوجه، فإنّ أيّ فرصة هجوم ناجح تصبح منخفضة للغاية.

إذا قام المهاجم بتثبيت برامج ضارّة على جهازنا، فإنّ أفضل خطوة هي إعادة تثبيت نظام التشغيل وتغيير جميع كلمات المرور في خزنتنا. والتأكّد أيضًا من تشغيل المصادقة الثنائيّة (2FA) حيثما أمكننا ذلك. بهذه الطريقة سنلاحظ عندما يأتي طلب غير عاديّ إلى تطبيق المصادقة.

اختراق مدير كلمة المرور

إنّ قائمة الاختراقات لإدارة كلمات المرور قصيرة جدًّا. لهذا هي تتمتّع بثقة المستخدمين بشكل كبير.

• ففي عام 2015 اكتشف LastPass اختراقًا لخوادمه. أخذ المتسلّلون عناوين البريد الإلكترونيّ للمستخدمين وتذكيرات كلمة المرور، ومن بين معلومات أخرى. لم ينتج عن ذلك أيّة أضرار معروفة لأنّه حتّى إذا استخدمت كلمة مرور رئيسيّة ضعيفة وقام المهاجمون باختراقها، فسيظلّون بحاجة إلى التحقّق من الوصول عن طريق البريد الإلكترونيّ.

• في عام 2016 تمّ الإبلاغ عن الكثير من الثغرات الأمنيّة من قبل قراصنة القبّعة البيضاء وخبراء أمنيّين. من بين مديري كلمات المرور المتأثّرين LastPass و Dashlane و 1Password و Keeper. في معظم الحالات لا يزال يتعيّن على المهاجم استخدام التصيّد الاحتياليّ لخداع المستخدم للكشف عن بعض البيانات.

• في عام 2017، أبلغ LastPass عن وجود ثغرة خطيرة في الوظائف الإضافيّة للمتصفّح وطلب من المشتركين الامتناع عن استخدامه. تمّ إصلاحه في أقلّ من 24 ساعة. واجه Keeper و OneLogin أيضًا مشكلات لم تسفر عن وقوع إصابات.

• في عام 2019 تمّ العثور على ثغرات خطيرة في كود Dashlane و LastPass و 1Password و KeePass. وينطبق هذا على مستخدمي ويندوز 10، وذلك بسبب بعض البرامج الضارّة الّتي تمّ تثبيتها على النظام. مجدّدا لم يتعرّض المستخدمون لأيّ إصابات تمّ الإبلاغ عنها.

• في عام 2021 تلقّى عدد من مستخدمي LastPass تحذيرات بالبريد الإلكترونيّ تذكّر محاولات تسجيل الدخول إلى حساباتهم من مواقع غير مألوفة في جميع أنحاء العالم مؤخّرًا، وكما أبلغ العديد من المستخدمين أنّه لا يمكنهم تعطيل وحذف حسابات LastPass الخاصّة بهم بعد تلقّي التحذيرات بسبب خطأ ما. وفي المقابل نفت LastPass حدوث خرق أمنيّ وأشارت إلى أنّ رسائل البريد الإلكترونيّ الأمنيّة “تمّ تشغيلها” من أنظمتها، وتواصل الشركة معرفة سبب إرسال رسائل البريد الإلكترونيّ هذه.

لاحظنا جميعًا أنّ عمليّات اختراق إدارة كلمات المرور ليست بهذه الخطورة. وتمّ الكشف عن نقاط الضعف بسرعة، وتمّ إصلاحها في الوقت الملائم. وفي معظم الحالات كان يتعيّن على المهاجم إمّا الحصول على مزيد من البيانات من المستخدم أو تجاوز أجهزته تمامًا قبل الوصول إلى الخزنة.

رأي المحرّر:

في أغلب الأحيان نبحث عن الراحة والسلاسة في الاستخدام اليوميّ للإنترنت، وهذا بكل أسف على حساب أمن بياناتنا الشخصيّة، فمن الجيّد أن نشاهد أداة تجمع بين المرونة في الاستخدام والسرعة وبين قوّة الأمن والحماية، فبرامج إدارة كلمات المرور هذه تسمح لنا بتتبّع كلمات المرور الخاصّة بنا دون الحاجة إلى حفظها. ويمكن لبعضها أيضًا إنشاء كلمات مرور وتغييرها بنقرة واحدة، بالإضافة إلى تخزين أنواع أخرى من البيانات على نحو آمن مثل معلومات بطاقة الائتمان. وتجعل مشاركة بياناتك مع العائلة والأصدقاء أكثر أمانًا. إنّها طريقة أفضل بكثير من تدوين تفاصيل تسجيل الدخول الخاصّة بنا في رسالة بريد إلكترونيّ أو برنامج مراسلة غير مشفّر.

قد يكون لدى هذا البرامج بعض العيوب ونقاط الضعف. ولكن في نهاية الأمر، لا يجوز أن نعتمد بشكل كلّيّ على برامج إدارة كلمات المرور في حماية معلوماتك الأكثر قيمة. يجب علينا أيضًا استخدام برنامج مكافحة فيروسات موثوق به لمنع البرامج الضارّة من إصابة أجهزتنا. وأيضًا الحفاظ على تحديث برامجنا، وبالطبع علينا اختيار برنامج موثوق تابع لشركة موثوقة ومعروفة أيضًا، والتحقّق دائمًا من التطبيقات والإضافات الّتي نوشك على تثبيتها على أجهزتنا.

كاتب المقال نيرودا الحسين ينصح بقراءة ...

معلومات عن تسريب كلمات المرور الرئيسيّة لمستخدمي تطبيق LastPass… والشركة تنفي ذلك