حماية الحسابات: أنت عدو نفسك

قبل خمسة سنوات كتبت في مدونتي القديمة تدوينة عن حماية الحسابات والأرقام السرية ضد الاختراق، هذه التدوينة لاقت اعجاب الكثير ابتداء من المستخدم العادي إلى مختصي أمن المعلومات. ولأن الزمن يتغير، والخبرات تتغير، وتقنيات الاختراق تتطور، قررت إعادة كتابة التدوينة هنا لتواكب هذه التغييرات.

كثرت في الأونة الأخيرة إختراقات حسابات المشاهير في شبكات التواصل الاجتماعي، حسابات البريد الإلكتروني، وغيرها. وكثرت أيضا شكاوى المستخدمين من هذا الشئ. لكن من هو السبب؟ لماذا أصبحت الإختراقات بهذه الكثرة والسهولة؟ الجواب: المستخدم، نعم المستخدم هو السبب الرئيسي خلف هذه الإختراقات بسبب جهله بأساسيات حماية حساباته.

هناك إجراءات يجب على المستخدم الحرص على اتخاذها لتقليل إمكانية إختراق حساباته بنسبة كبيرة. ممكن أن تكون هذه الإجراءات مملة، معقدة أو مكلفة نوع ما، ولكن لا شئ أغلى عند البعض من بريده الإلكتروني الملئ برسائل مهمة، أو حساب تويتر الرسمي لشركة كبيرة، أو موقع تخزين ملفات ملئ بالصور الخاصة.

 

من أين أبدأ؟

البداية التي يمكن ألا يتوقعها البعض تكون من جهاز الحاسب الآلي الخاص بك، تأمين هذا الجهاز يكون هو الخطوة الأولى لتأمين حساباتك على الإنترنت، ولكن لماذا؟ الجواب، إذا كان الجهاز ملئ بالثغرات والفيروسات فإن حساباتك ستكون في خطر أثناء عملية تسجيل الدخول. الكثير من البرمجيات الخبيثة لا تضر الجهاز بشكل مباشر، ولكن تكون خامدة تسجل وتراقب تحركاتك والمواقع التي تزورها وأرقامك السرية ومن ثم ترسلها بكل هدوء إلى المخترق. هنا يطرح سؤال آخر، كيف أحمي جهازي؟ الجواب سيكون في النقاط التالية:

– إحرص على إستخدام أنظمة التشغيل الأصلية أو الأنظمة مفتوحة المصدر المعروفة من مواقعها الرسمية

– إحرص على تحديث نظام التشغيل بشكل دوري، والأفضل جعل التحديثات تتم بشكل آلي

– إحرص على شراء وتركيب البرامج الأصلية من موقعها الرسمي، أو استخدم البدائل مفتوحة المصدر الموثوقة ولكن أيضا مع تحميلها من المواقع الموثوقة

– إحرص على شراء وتركيب تطبيقات الحماية من الفيروسات والبرمجيات الخبيثة وتطبيقات الجدران النارية المعروفة، مع الحرص على تحديثها بشكل دوري

– يجب عمل مسح scan دوري للبحث عن الملفات الضارة في جهازك وتعطيلها

– قم بمسح scan الأقراص الخارجية وذاكرات الفلاش باستخدام مضاد الفيروسات قبل التعامل معها

– استخدم متصفحات متطورة مثل كروم، وفايرفوكس مع الحرص على تحديثها بشكل دوري وتركيب إضافات الحماية من الدعايات وإضافات استخدام المواقع المشفرة وغيرها من الإضافات

– لا تقبل أي ملف من الانترنت أو من البريد الإلكتروني إلا إذا كنت متأكد من سلامته، مع الحرص على مسحه scan باستخدام مضاد الفيروسات قبل فتحه

– انتبه إلى رسائل البريد الالكتروني الغريبة، مثل رسائل الربح السريع، رسائل الاستثمار، الرسائل الجنسية … إلخ

 الأرقام السرية:

الأرقام السرية هي الهدف الرئيسي من كتابتي لهذا الموضوع، فهي طريقة المواقع في التأكد من أنك المستخدم الأصلي وأنه مصرح لك بالدخول. تأمين الأرقام السرية وإختيار القوي منها أمر مهم جدا وذلك لأن تطور تقنيات الحاسب زادت من إمكانيات تخمينها من قبل المخترقين. فيما يلي شروط أساسية لحماية رقمك السري:

– لا تستخدم معلوماتك الخاصة كرقم سري، مثل تاريخ ميلادك ، إسمك، أو إسم المستخدم الخاص بك

– لا تستخدم كلمات من القاموس أو الأرقام العامة، مثل book أو 1234

– يجب أن يتكون الرقم السري من عشرة خانات على الأقل

– يجب ألا يحتوي الرقم السري على حروف أو أرقام مكررة، مثل bb أو 11

– يجب أن يحتوى الرقم السري على حروف كبيرة، مثل A و B

– يجب أن يحتوى الرقم السري على حروف صغيرة، مثل a و b

– يجب أن يحتوي الرقم السري على رموز، مثل & *

– يجب ألا تعيد إستخدام رقمك السري في مواقع أخرى.

– تغيير الرقم السري بشكل دوري

– عدم مشاركة الأرقام السرية مع أي كان.

هناك طرق لإنشاء أرقام سرية قوية ولكن يمكن تذكرها، وذلك بإستخدام جمل معروفة لك والتلاعب فيها لتحويلها لرقم سري قوي، مثال:

الجملة: My son’s birthday is 12 December, 2004

الرقم السري: Msbi12/Dec,4

أمثلة على الأرقام السرية:

رقم سري ضعيف: 1234567

رقم سري قوي: dR-Kama+_aG#9rE

 

 أدوات إنشاء الأرقام السرية القوية:

يمكنك إستخدام أدوات إنشاء أرقام سرية عشوائية قوية والتي يمكن أن تجدها على الإنترنت، وتكون موجودة عادة في برامج حفظ الأرقام السرية. هذا الموقع التابع لشركة سيمانتك المتخصصة ببرامج الحماية يوفر أداة تقدم هذه الخدمة.

“أنصح بالتعديل اليدوي على الرقم السري المُخرَج سواء بالاضافة له أو الحذف منه وذلك لمزيد من الأمان”

 

التحقق بخطوتين:

هي طريقة للتحقق من هوية المستخدم أثناء قيامه بتسجيل الدخول لخدمة ما، ولها عدة مسميات:

• Two Factor Authentication 2FA
• Two Step Authentication 2SA
• Multi-factor Authentication MFA

تعتمد هذه الطريقة على أمرين، (1) شئ تعرفه، (2) شئ تمتلكه.

1. شئ تعرفه: هو بكل بساطة اسم المستخدم والرقم السري الخاص بك.
2. شء تمتلكه: هو مصدر تحقق إضافي سواء هاتف ذكي (رسائل SMS – تطبيقات التحقق) أو جهاز تحقق Token.

 

أقرب مثال على طريقة التحقق بخطوتين هو رسائل الرقم السري المؤقت (شء تمتلكه) التي تصل لهاتفنا المحمول عند تسجيل الدخول لحساباتنا البنكية على الانترنت. يميز هذه الطريقة أنه حتى لو استطاع المخترق سرقة اسم المستخدم والرقم السري لن يستطيع الدخول لحسابك إلا إذا أخذ منك هاتفك الذكي على سبيل المثال. هذه الطريقة قديمة ولكن بدأت تأخذ أهميتها في السنوات القليلة الماضية، حيث بدأ الكثير من مقدمي الخدمات على الانترنت بتوفيرها كميزة اضافية، وبعضهم أصبح يلزم المستخدم على تفعيلها.

أنصح الجميع بتفعيلها في جميع حساباتهم أي كانت أهميتها، قد تكون العملية مملة وصعبة في البداية لكن مع الوقت ستكون روتينية تقليدية يتعود عليها.

لمزيد من المعلومات أرجو زيارة الصفحة الرسمية في Google و Microsoft.

 

أنظمة حفظ الأرقام السرية:

الشروط التي ذكرتها لحماية الأرقام السرية لها جانب سلبي وهو صعوبة تذكر الأرقام السرية القوية خصوصا عند احتوائها على خليط من الأرقام والحروف والرموز. يوجد حل لهذه المشكلة وذلك باستخدام أنظمة حفظ الأرقام السرية، والتي تقوم بتشفيرها قبل رفعها على أجهزة مقدم الخدمة وذلك يجعل إمكانية الاطلاع عليها “شبه” مستحيلة. كتبت كلمة شبه بين علامتي تنصيص وذلك لأنه من المستحيل حماية أي شئ بنسبة 100%، لا بد من وجود نسبة مخاطرة بسيطة يمكن تحملها، هذه النسبة أقل بكثير من المخاطرة التي نواجهها عند استخدام أرقام سرية ضعيفة أو مكررة.

من ضمن الأنظمة المشهورة الموثوقة لحفظ الأرقام السرية:

• خدمة LastPass
• خدمة 1Password

 

الختام:

تأمين الحاسب الآلي مهم جدا لتأمين حساباتك على الانترنت حتى لو كنت تستخدم أرقام سرية قوية. فما فائدة إستخدام رقم سري قوي في وجود جهاز حاسب آلي ملئ ببرمجيات قراءة الأرقام السرية الخبيثة؟ كذلك ما فائدة تأمين جهاز الحاسب الآلي وحمايته مع استخدام أرقام سرية سهلة يمكن تخمينها باستخدام أدوات اكتشاف وتخمين الأرقام السرية التي يستخدمها المخترقون؟

إن لم تكن جاد في حماية حساباتك، فأنت عدو نفسك الأول.