في منشور جديد على مدونتها، اعترفت شركة جوجل Google مؤخراً بأنها خزّنت كلمات المرور الخاصة ببعض حسابات G Suite بشكل غير مشفّر نتيجة ثغرة أمنية في أنظمة الشركة.
والغريب في الأمر أن هذه الثغرة كانت متواجدة منذ عام 2005 أي منذ 14
عاماً، وعلى الرغم من ذلك فإن الشركة لم تجد دليلاً على أن هنالك إساءة استخدام
لكلمات المرور غير المشفّرة.
ويبدو أن تلك الثغرة قد حدثت نتيجة وجود ميزة تمنح مسؤول الشركة الذي
يستعمل حزمة G Suite
إمكانية تعديل كلمات مرور المستخدمين يدوياً، الأمر الذي تسبب بقيام وحدة تحكم
المشرف بتخزين كلمات المرور الجديدة على شكل نص عادي غير مشفّر.
لحسن الحظ فإن تخزين كلمات المرور بشكل غير مشفّر قد جرى خلال هذه المدة الطويلة على خوادم الشركة الداخلية، وبالتالي فإن تلك المعلومات كانت غير قابلة للوصول من خارج الشركة على الإنترنت.
ومع ذلك، فقد واجهت الشركة خلال تلك السنوات مخاطرة كبيرة بتسريب هذه
الكلمات من داخل الخوادم أو حدوث هجوم أمني كبير يؤدي إلى الوصول لتلك الكلمات
بشكلها غير المشفّر.
ولم تكن جوجل الشركة الوحيدة التي عانت من مشكلة تخزين كلمات المرور بشكل غير مشفر نتيجة حدوث خطأ أو ثغرة، فقد نصحت شبكة تويتر Twitter في آذار العام الماضي جميع مستخدميها البالغ عددهم 330 مليون بتغيير كلمات المرور.
وكان السبب في ذلك هو ثغرة أمنية سبّبت تخزين كلمات المرور المستخدمين بشكل غير مشفر، لتعود نفس المشكلة للظهور بعد عام كامل في فيسبوك Facebook عندما تبيّن أن كلمات مرور المستخدمين تم تخزينها دون تشفير.
وبعد أسابيع قليلة من فضيحة فيسبوك، تبيّن أن شبكة إنستغرام Instagram قد تأثرت بما حدث مع فيسبوك، وكانت كلمات مرور مستخدميها تعاني من نفس المشكلة.
من جانبها، لم تحدد جوجل عدد المستخدمين
الذين ربما تأثروا بهذا الخطأ إلى جانب تأكيد الشركة بأن التأثير كان على مجموعة فرعية
من عملاء G Suite، لكن هذه المجموعة قد تضمّ أي مستخدم للحزمة
منذ عام 2005.
تم إصلاح المشكلة في الوقت الحالي وقدّمت جوجل اعتذارها في بيانها الأخير، حيث قالت:
نحن نأخذ أمن عملائنا في المؤسسة على محمل الجد، ونفخر بتقديم أفضل الممارسات في هذا المجال لأمن الحساب، لكن هنا لم نلتزم بمعاييرنا الخاصة ولا بمعايير عملائنا، نعتذر لمستخدمينا وسوف نفعل ما هو أفضل.
يستخدم معظم الأشخاص كلمات مرور ضعيفة للغاية ويعيدون استخدامها على مواقع ويب مختلفة.
كيف يفترض بك أن تستخدم كلمات مرور قوية وفريدة من نوعها على جميع المواقع التي تستخدمها؟ الحل هو مدير كلمة المرور.
يقوم مدير كلمات المرورPassword Manager بتخزين معلومات تسجيل الدخول لجميع مواقع الويب التي تستخدمها ويساعدك على تسجيل الدخول إليها تلقائياً.
يقوم بتشفير قاعدة بيانات كلمة المرور بكلمة مرور رئيسية – كلمة المرور الرئيسية هي الوحيدة التي يجب عليك تذكرها.
لا تُعِد استخدام كلمات المرور!
لمعرفة كيفية اختيار كلمة مرور قوية صعبة الاختراق، وبنفس الوقت سهلة التذكر بالمسبة لك، اقرأ دليلنا من خلال هذا الرابط، ثم عد لإكمال هذا المقال.
لكن كنصائح سريعة وأساسية تُعَدّ إعادة استخدام كلمة المرور مشكلة خطيرة نظراً لوجود العديد من عمليات تسرب كلمة المرور التي تحدث كل عام، حتى في مواقع الويب الكبيرة.
عندما تتسرب كلمة المرور، يكون لدى المخترقين عنوان بريد إلكتروني واسم مستخدم وكلمة مرور يمكنهم تجربتها على مواقع ويب أخرى.
إذا كنت تستخدم نفس معلومات تسجيل الدخول في كل مكان، فقد يؤدي التسرب في أحد مواقع الويب إلى منح الأشخاص حق الوصول إلى جميع حساباتك.
إذا تمكن شخص ما من الوصول إلى حساب بريدك الإلكتروني بهذه الطريقة، فيمكنه استخدام روابط إعادة تعيين كلمة المرور للوصول إلى مواقع ويب أخرى، مثل حسابك المصرفي عبر الإنترنت أو حساب PayPal.
لمنع أن يكون تسرب كلمة المرور من أحد حساباتك ضاراً للغاية، تحتاج إلى استخدام كلمات مرور فريدة على كل موقع.
يجب أن تكون كلمات المرور هذه قوية – كلمات مرور طويلة وغير متوقعة تحتوي على أرقام ورموز.
لدى لصوص الويب مئات الحسابات لتتبعها، في حين أن الشخص العادي على الأرجح لديه عشرات كلمات المرور المختلفة.
إن تذكر كلمات المرور القوية هذه يكاد يكون مستحيلاً دون اللجوء إلى نوع من الحيلة. الخدعة المثالية هي استخدام ما يسمى مدير كلمات المرورPassword Manager الذي ينشئ كلمات مرور آمنة وعشوائية لك ويتذكرها حتى لا تضطر إلى حفظها وتذكرها بشكل متكرر.
ما هو استخدام مدير كلمة المرور:
سيأخذ مدير كلمات المرورPassword Manager عبئاً من عقلك، ليحرر قوة الدماغ للقيام بالأعمال الإنتاجية بدلاً من تذكر قائمة طويلة من كلمات المرور.
عندما تستخدم مدير كلمات المرورPassword Manager وتحتاج إلى تسجيل الدخول إلى موقع ويب، فستقوم أولاً بزيارة هذا الموقع بشكل طبيعي.
بدلاً من كتابة كلمة المرور في موقع الويب، تكتب كلمة المرور الرئيسية في مدير كلمات المرورPassword Manager ، ثم يتكفل مدير كلمات المرورPassword Manager بملء معلومات تسجيل الدخول المناسبة تلقائياً في موقع الويب.
إذا كنت مسجلاً بالفعل في مدير كلمات المرورPassword Manager ، فسيتم تلقائياً ملء البيانات نيابةً عنك.
لا يتعين عليك التفكير في عنوان البريد الإلكتروني واسم المستخدم وكلمة المرور اللذين استخدمتهما لموقع الويب – حيث يقوم مدير كلمات المرورPassword Manager بهذا العمل المتعب نيابة عنك.
إذا قمت بإنشاء حساب جديد، فسيعرض مدير كلمات المرورPassword Manager كلمة مرور عشوائية آمنة لك، حتى لا تضطر إلى التفكير في ذلك أيضاً.
ويمكن أيضاً تهيئتها لملء المعلومات تلقائياً مثل عنوانك واسمك وعنوان بريدك الإلكتروني في نماذج الويب.
لماذا يعتبر مدير كلمات المرور المستند إلى المتصفح ليس مثالياً:
متصفحات الويب – مثل كروم Chrome ، و فايرفوكس Firefox ، و إنترنت إكسبلورر Internet Explorer ، وغيرها – تحتوي جميعها على مدير كلمات المرورPassword Manager مدمجة.
لا يمكن مدير كلمات المرورPassword Manager المدمج في كل متصفح التنافس مع مديري كلمات المرور المخصصة.
أولاً، يقوم كروم Chrome و إنترنت إكسبلورر Internet Explorer بتخزين كلمات المرور على جهاز الكمبيوتر في نموذج غير مشفر.
يمكن للأشخاص الوصول إلى ملفات كلمة المرور على جهاز الكمبيوتر وعرضها، ما لم تقم بتشفير محرك الأقراص الثابت للكمبيوتر يدوياً.
لدى موزيلا فايرفوكس Mozilla Firefox ميزة كلمة مرور رئيسية Master password تتيح لك تشفير كلمات المرور المحفوظة بكلمة مرور رئيسية واحدة، وتخزينها على جهاز الكمبيوتر بتنسيق مشفر.
مع ذلك، لا يعد مدير كلمات مرور فايرفوكس Firefox الحل المثالي أيضاً. لا تساعدك الواجهة في إنشاء كلمات مرور عشوائية وتفتقر إلى ميزات متنوعة، مثل المزامنة عبر الأنظمة الأساسية (لا يمكن مزامنة فايرفوكس Firefox مع أجهزة iOS).
سيعمل مدير كلمات المرورPassword Manager المخصص على تخزين كلمات المرور بشكل مشفر، ومساعدتك على إنشاء كلمات مرور عشوائية آمنة، وتقديم واجهة أكثر قوة، والسماح لك بالوصول بسهولة إلى كلمات المرور عبر جميع أجهزة الكمبيوتر المختلفة، والهواتف الذكية، والأجهزة اللوحية التي تستخدمها.
كيفية استخدام مدير كلمات المرور:
تتوفر مجموعة متنوعة من مدير كلمات المرورPassword Managers ، لكن ثلاثة منها هي أفضل الخيارات. يمثل كل خيار من هذه الخيارات حلاً ثابتاً، وتعتمد تفضيلاته على ما هو أكثر أهمية بالنسبة إليك:
Dashlane: مدير كلمات المرور هذا هو أحدث قليلاً من غيره، ولكن ما ينقصه هو التعرف على الأسماء ولكن تم تعويض هذا الشيء مع ميزات رائعة وتطبيقات رائعة لكل الأنظمة الأساسية تقريباً – مثل ويندوز Windows و OS X و آيفون iPhone و آيباد iPad و آندرويد Android.
لديه إضافات لكل متصفح، وميزات مثل لوحة معلومات الأمان التي تحلل كلمات المرور خاصتك، ولديهم أيضاً مُبدل كلمات المرور التلقائي الذي يمكنه تغيير كلمات المرور التي تريدها دون الاضطرار إلى التعامل معها بنفسك.
من أفضل ميزات Dashlane أنه مجاني تماماً للاستخدام على جهاز واحد. إذا كنت ترغب في مزامنة كلمات المرور بين الأجهزة جميعها التي تمتلكها، فستحتاج إلى الترقية إلى الإصدار المميز. ولكن يمكنك اختباره مجاناً بكل الأحوال لفترة محدودة.
عندما يتعلق الأمر بالأمان، يتمتع Dashlane بميزة أخرى، لأن لديك خيار الاحتفاظ بكل كلمات المرور محلياً على جهاز الكمبيوتر، وليس في التخزين السحابي.
لذلك لديك ميزة شيء مثل KeePass ، ولكن مع واجهة أفضل. إذا اخترت مزامنة كلمات المرور باستخدام التخزين السحابي، فيسمى ذلك تشفير AES.
LastPass: هو مدير كلمات المرور المستندة إلى السحاب مع الإضافات، وتطبيقات الجوال، وحتى تطبيقات سطح المكتب لجميع المتصفحات وأنظمة التشغيل التي قد تريدها.
إنه قوي للغاية ويقدم أيضاً مجموعة متنوعة من خيارات المصادقة الثنائية لكي تضمن أنه لا يمكن لأي شخص آخر تسجيل الدخول إلى خزينة كلمة المرور.
لقد غطينا خيارات أمان عديدة لـ LastPass بتفصيل كبير. تقوم LastPass بتخزين كلمات المرور على خوادم LastPass بنموذج مشفر – يقوم ملحق أو تطبيق LastPass بفك تشفيره وتشفيره محلياً عند تسجيل الدخول، لذلك لن يتمكن LastPass من رؤية كلمات المرور إذا أراد ذلك.
KeePass : إن LastPass ليس للجميع. بعض الأشخاص ليسوا مرتاحين مع مدير كلمات المرور المستندة إلى مجموعة النظراء، وهذا أمر جيد.
KeePass هو تطبيق سطح مكتب شائع لإدارة كلمات المرور، ولكن هناك أيضاً ملحقات المستعرض وتطبيقات الجوال لـ KeePass.
يقوم KeePass بتخزين كلمات المرور على جهاز الكمبيوتر بحيث تظل متحكماً بها – بل إنها مفتوحة المصدر، لذا يمكنك تدوين كودها إذا أردت ذلك.
الجانب السلبي هو أنك مسؤول عن كلمات المرور، وستضطر إلى مزامنتها بين أجهزتك يدوياً.
يستخدم بعض الأشخاص حل مزامنة مثل Dropbox لمزامنة قاعدة بيانات KeePass بين أجهزتهم.
الشروع في العمل مع مدير كلمات المرور:
أول قرار كبير يجب عليك إجراؤه باستخدام مدير كلمات المرورPassword Manager هو اختيار كلمة المرور الرئيسية.
تتحكم كلمة المرور الرئيسية هذه في الوصول إلى قاعدة بيانات مدير كلمات المرور بالكامل، لذا يجب أن تكون قوية بشكل خاص – إنها كلمة المرور الوحيدة التي ستحتاج إلى تذكرها، وهذا كل شيء.
قد ترغب في كتابة كلمة المرور وتخزينها في مكان آمن بعد اختيارها، فقط في حالة – على سبيل المثال، إذا كنت جاداً حقاً، يمكنك تخزين كلمة مرورك الرئيسية في البنك.
يمكنك تغيير كلمة المرور هذه لاحقاً، ولكن فقط إذا كنت تتذكرها – إذا فقدت كلمة المرور الرئيسية، فلن تتمكن من عرض كلمات المرور المحفوظة.
هذا أمر ضروري، لأنه يضمن أنه لا يمكن لأي شخص آخر عرض قاعدة بيانات كلمة المرور الآمنة بدون كلمة المرور الرئيسية.
بعد تثبيت مدير كلمات المرور، ستحتاج على الأرجح إلى بدء تغيير كلمات مرور موقعك على الويب إلى كلمات مرور أكثر أماناً.
يقدم LastPass تحدي أمان LastPass ، الذي يحدد كلمات المرور الضعيفة والمكررة التي يجب أن تركز عليها.
يحتوي Dashlane على لوحة تحكم أمان مدمجة في المكان، والتي ستساعدك على معرفة أي كلمات المرور قد تحتاج إلى التغيير.
يسمح لك أيضاً مديرو كلمات المرور بتخزين أنواع أخرى من البيانات في نموذج آمن – كل شيء بدءً من أرقام بطاقات الائتمان وحتى الملاحظات الآمنة.
يتم تشفير جميع البيانات التي تخزنها في مدير كلمات المرور بكلمة مرورك الرئيسية.
يمكن لمديري كلمات المرورPassword Managers المساعدة حتى في مواجهة التصيد الاحتيالي، حيث يقومون بملء معلومات الحساب في مواقع الويب استناداً إلى عنوان الويب الخاص بهم (URL).
إذا كنت تعتقد أنك في موقع الويب للمصرف الذي تتعامل معه ولا يملئ مدير كلمات المرور تلقائياً معلومات تسجيل الدخول، فمن المحتمل أنك موجود على موقع تصيد احتيالي له عنوان URL مختلف.