ما مدى أمان مدير كلمات المرور الخاص بك ؟

شهدنا العام الماضي موجة من التقارير الإخبارية حول تسريبات البيانات الشخصية من مختلف الخدمات عبر الإنترنت وحتى من مديري كلمات المرور المشهورين. إذا كنت تستخدم مخزنًا رقميًا، فعندما تقرأ عن مثل هذا التسرب للبيانات، فمن المحتمل أن تبدأ في تخيل سيناريو مرعب: قام المهاجمون بالوصول إلى جميع حساباتك التي يتم تخزين كلمات المرور الخاصة بها في مدير كلمات المرور الخاص بك.

فما مدى صحة هذه المخاوف ؟ باستخدام مثال Kaspersky Password Manager ،سنخبرك بكيفية عمل طبقات الدفاع المتعددة لمديري كلمات المرور، وما يمكنك القيام به لجعلها أقوى.

المبادئ العامة

للبدء، لنراجع سبب كون أدوات إدارة كلمات المرور فكرة جيدة. يتزايد عدد خدمات الإنترنت التي نستخدمها باستمرار، وهذا يعني أننا ندخل الكثير من أسماء المستخدمين وكلمات المرور. من الصعب تذكرها، لكن كتابتها في أماكن عشوائية أمر محفوف بالمخاطر. الحل الجلي هو حفظ جميع بيانات اعتماد تسجيل الدخول الخاصة بك في مكان آمن واحد، ثم قفل هذا المخزن بمفتاح واحد. ثم ستحتاج فقط إلى تذكر كلمة مرور رئيسية واحدة.

عندما تقوم بتنشيط Kaspersky Password Manager لأول مرة، فإنه يطالبك بإنشاء كلمة مرور رئيسية ستستخدمها لفتح خزنتك الرقمية.ثم يمكنك إدخال بيانات كل خدمة إنترنت تستخدمها في هذا المخزن URL واسم المستخدم وكلمة المرور يمكنك القيام بذلك يدويًا، أو يمكنك إعداد ملحق متصفح مدير كلمات المرور واستخدام أمر خاص لنقل جميع كلمات المرور المحفوظة في المتصفح إلى المخزن وإلى جانب كلمات المرور، يمكنك إضافة مستندات شخصية أخرى في المخزن، على سبيل المثال، مسح ضوئي للمعرّف وبيانات التأمين وبيانات البطاقة المصرفية والصور المهمة.

وعندما تحتاج إلى زيارة موقع ويب، تفتح المخزن، ثم يمكنك إما نسخ البيانات التي تحتاجها يدويًا في نموذج تسجيل الدخول، أو السماح لمدير كلمات المرور بالملء التلقائي لبيانات اعتماد تسجيل الدخول المحفوظة لموقع الويب. بعد ذلك، كل ما عليك القيام به هو قفل المخزن.

مخزن رقمي وقفل ذاتي

الآن دعونا نلقِ نظرة على آليات الحماية. يتم تشفير ملف المخزن باستخدام التشفير بالمفتاح المتناظر يستند إلى معيار التشفير المتقدم (AES -256)، والذي يستخدم عادة في جميع أنحاء العالم لحماية البيانات السرية. للوصول إلى المخزن، يمكنك استخدام مفتاح استنادًا إلى كلمة المرور الرئيسية. إذا كانت كلمة المرور قوية، فسيحتاج المهاجمون إلى الكثير من الوقت لكسر الشفرة بدون المفتاح.

أيضًا، يقوم مدير كلمات المرور الخاص بنا تلقائيًا بغلق المخزن بعد أن يكون المستخدم غير نشط لفترة زمنية معينة. إذا حدث أن حصل أحد المهاجمين على جهازك وتمكن من تجاوز حماية نظام التشغيل والوصول إلى ملف المخزن، فلن يتمكن من قراءة ما هو موجود فيها إذا لم يكن لديه كلمة المرور الرئيسية.

ولكن الأمر متروك لك لتكوين القفل الذاتي. قد لا يؤدي الإعداد الافتراضي في التطبيق إلى قفل المخزن إلا بعد فترة طويلة من عدم النشاط. ولكن إذا كنت معتادًا على استخدام جهاز كمبيوتر محمول أو هاتف ذكي في مكان قد لا يكون آمنًا تمامًا، فيمكنك تكوين القفل الذاتي لبدء التشغيل بعد دقيقة.

هناك ثغرة أخرى محتملة على الرغم من ذلك: إذا قام أحد المهاجمين بزرع حصان طروادة أو استخدم طريقة أخرى لتثبيت بروتوكول الوصول عن بعد على جهاز الكمبيوتر الخاص بك، فقد يحاول استخراج كلمات المرور من المخزن أثناء تسجيل الدخول إليه. في عام 2015، تم إنشاء أداة القرصنة هذه لمدير كلمات المرور KeePass. حيث قام بفك تشفير أرشيف كامل وتخزينه كملف منفصل مع كلمات المرور التي كانت تعمل على جهاز كمبيوتر مع مثيل مفتوح من KeePass.

ومع ذلك، فإن Kaspersky Password Manager يستخدم عادة جنبًا إلى جنب مع حلول مكافحة الفيروسات  من قبل Kaspersky، وهذا يجعل من غير المرجح أن يعمل مدير كلمات المرور على جهاز كمبيوتر مصاب.

المعرفة الصفرية

يمكن حفظ الملف المشفر بكلمات مرور ليس فقط على جهازك ولكن أيضًا في  البنية التحتية السحابية لـ Kaspersky — وهذا يسمح لك باستخدام المخزن من أجهزة مختلفة، بما في ذلك أجهزة الكمبيوتر المنزلية والهواتف المحمولة. يتيح خيار خاص في الإعدادات مزامنة البيانات عبر جميع أجهزتك باستخدام Kaspersky Password Manager. يمكنك أيضًا استخدام إصدار الويب من مدير كلمات المرور من أي جهاز من خلال الموقع الإلكتروني My Kaspersky.

ما مدى احتمال تسرب البيانات إذا كنت تستخدم التخزين السحابي ؟ أولاً، من المهم أن نفهم أننا نعمل على مبدأ المعرفة الصفرية. وهذا يعني أن مخزن كلمة المرور الخاصة بك مشفرة بالنسبة إلى Kaspersky كما هو الحال بالنسبة لأي شخص آخر. لن يتمكن مطورو Kaspersky من قراءة الملف — يمكن للشخص الذي يعرف كلمة المرور الرئيسية فقط أن يفتحه.

وتلتزم العديد من خدمات اليوم — ولكن ليست جميعها — التي تخزن كلمات المرور والأسرار الأخرى بمبدأ مماثل. لذلك، إذا رأيت تقريرًا إخباريًا عن تسرب بيانات من خدمة تخزين سحابية، فلا داعي للذعر على الفور: فهذا لا يعني بالضرورة أن المهاجمين كانوا قادرين على فك تشفير البيانات المسروقة. هذا النوع من الاختراق هو مثل سرقة خزنة مسلحة من أحد البنوك دون الحصول على التركيب الخاص بالقفل.

وفي هذه الحالة، يكون التركيب هو كلمة المرور الرئيسية الخاصة بك. إليك مبدأ أمني مهم آخر: لا يحفظ Kaspersky Password Manager  كلمة المرور الرئيسية على أجهزتك أو في السحابة. حتى إذا قام أحد المتسللين بالوصول إلى جهاز الكمبيوتر الخاص بك أو خدمة التخزين السحابي، فلن يتمكن من سرقة كلمة المرور الرئيسية الخاصة بك من المنتج نفسه. لا أحد سواك يعلم كلمة المرور تلك.

كلمة مرور رئيسية قوية

ومع ذلك، يمكن أن يؤدي تسرب ملف مشفر بكلمات مرور أيضًا إلى وقوع المشاكل. فبمجرد أن يمرر مخزنًا، فإنهم قد يحاولون اختراقه.

هناك طريقتان رئيسيتان للهجوم. الأولى هي القوة الغاشمة. وبشكل عام، قد يستغرق ذلك وقتا طويلًا للغاية. إذا كانت كلمة مرورك مكونة من دستة من الأحرف العشوائية وتتضمن أحرفًا صغيرة وكبيرة وأرقامًا وأحرفًا خاصة، فإن الاختراق بالقوة الغاشمة لجميع المجموعات يستغرق أكثر من سيكستليون عملية – وهذا رقم هائل به 21 صفرًا أمام رقم 1!

ولكن إذا كنت قد قررت أن تجعل حياتك أسهل واستخدمت كلمة مرور ضعيفة — مثل كلمة واحدة أو مجموعة بسيطة من الأرقام مثل “123456” — فإن الماسح الضوئي التلقائي سوف يعثر عليها في أقل من ثانية لأنه في هذه الحالة لا يعتمد التأثير الغاشم على الرموز الفردية ولكن على قاموس من المجموعات الشعبية. وعلى الرغم من ذلك، حتى يومنا هذا، يختار العديد من المستخدمين كلمات مرور من القاموس (مجموعات من الرموز التي كانت موجودة منذ فترة طويلة في قواميس الماسحات الضوئية للقراصنة).

وقد تم تحذير مستخدمي مدير كلمات المرور LastPass من هذه المشكلة المحتملة في ديسمبر 2022. وعندما تم اختراق حساب مطور LastPass، وتمكن المهاجمون من الوصول إلى الاستضافة السحابية التي تستخدمها الشركة. فمن بين البيانات الأخرى، حصل المهاجمون على نسخ احتياطية من كلمات مرور خزائن المستخدمين. أخبرت الشركة المستخدمين أنهم إذا اتبعوا جميع التوصيات لإنشاء كلمة مرور رئيسية قوية وفريدة من نوعها، فلن يكون لديهم ما يدعو للقلق لأن “الأمر سيستغرق ملايين السنين” لاكتشاف كلمة المرور هذه بالقوة الغاشمة. وقد نُصح الأشخاص الذين استخدموا كلمات مرور أضعف بتغييرها على الفور.

ولحسن الحظ، يقوم العديد من مديري كلمات المرور، بما في ذلك Kaspersky Password Manager، بالتحقق تلقائيًا من قوة كلمة المرور الرئيسية. إذا كانت ضعيفة أو متوسط القوة فقط، فإن مدير كلمات المرور يعطيك تحذيرًا ويجب عليك بالتأكيد الانتباه إليه.

كلمة مرور رئيسية فريدة

وتعتمد طريقة القرصنة الثانية على حقيقة أن الناس غالبا ما يستخدمون نفس بيانات اعتماد تسجيل الدخول لخدمات الإنترنت المختلفة. إذا تم اختراق إحدى الخدمات، فسيعلم المهاجمون تلقائيًا مجموعات اسم المستخدم وكلمة المرور في خدمات أخرى باستخدام القوة الغاشمة في هجوم يُعرف باسم “حشو الاعتماد”. وغالبًا ما يكون هذا النوع من الهجوم ناجحًا.

تم تحذير مستخدمي Norton Password Manager من هذا النوع من الهجمات في الأسابيع الأولى من هذا العام. أعلنت شركة NortonLifeLock (المعروفة سابقًا باسم Symantec) أنه لم تكن هناك خروقات لبنيتها التحتية. ولكن في أوائل ديسمبر 2022، تم توثيق محاولات جماعية لدخول حسابات Norton Password Manager باستخدام كلمات المرور التي سرقها المتسللون بسبب اختراق خدمة أخرى. ووجدت التحقيقات التي أجرتها NortonLifeLock أن المتسللين تمكنوا من استخدام هذا الهجوم للوصول إلى حسابات بعض عملائها.

ويعتبر الدرس الواضح المستفاد من هذه القصة هو أنه يجب عليك عدم استخدام نفس كلمة المرور لحسابات مختلفة. أما بالنسبة للطرق التقنية لحماية نفسك من هذه الأنواع من الهجمات، يمكن لـ Kaspersky Password Manager  إجراء فحصين مهمين لقاعدة بيانات كلمات المرور الخاصة بك…

أولاً، يتحقق من التفرد: يحذرك التطبيق إذا تم استخدام إحدى كلمات المرور المحفوظة في حسابات متعددة.

ثانياً، يتحقق مدير كلمات المرور لدينا مما إذا كانت كلمات المرور الخاصة بك موجودة في قاعدة بيانات الخروقات. لإجراء التحقق من كلمة المرور هذه بشكل آمن، فإنه يستخدم خوارزمية تجزئة التشفير SHA -256. وهذا يعني أن التطبيق لا يرسل كلمات المرور نفسها ليتم التحقق منها؛ بل يحسب المجموع الاختباري لكل كلمة مرور ويقارن هذه التجزئة بالمجموعات الاختبارية في قاعدة بيانات كلمات المرور المخترقة. وإذا تطابقت المجاميع الاختبارية، يحذرك التطبيق من أن كلمة المرور قد تم اختراقها، ويجب عليك تغييرها.

ولكن تذكر أن عمليات التحقق هذه لا تتم إلا مع كلمات المرور التي يتم حفظها في المخزن. الأمر متروك لك للتأكد من أن كلمة المرور الرئيسية فريدة من نوعها: أنت الوحيد الذي يعرفها ويجب أن تكون مختلفة عن كلمات المرور الأخرى الخاصة بك.

كلمة مرور رئيسية يسهل تذكرها

هناك طرق أخرى لتسريب كلمات المرور الرئيسية — وهنا يأتي دور العامل البشري اللعين. على سبيل المثال، يلاحظ بعض الأشخاص كلمة المرور الرئيسية الخاصة بهم في مكان يمكن سرقتها فيه، كما هو الحال في ملف غير مشفر على سطح المكتب أو على ملصق بجدار مكتبهم.

بدلاً من تدوينها، حاول أن تتذكرها. صحيح أن قواعد الأمان تنص على أن كلمة المرور يجب أن تكون طويلة ومعقدة — في بعض الأحيان يُطلب منا إنشاء مجموعة عشوائية من 12 إلى 16 حرفًا. من الصعب تذكر كلمة مرور كهذه. لهذا السبب يحاول العديد من الأشخاص استخدام كلمات مرور أبسط، ثم يصبحون أهدافًا للاختراق.

كيف تجعل كلمة المرور الرئيسية الخاصة بك قوية ولا تنسى ؟ الاستراتيجية الجيدة هي التوصل إلى كلمة مرور تستند إلى ثلاث أو أربع كلمات سرية. على سبيل المثال، يمكنك أن تأخذ اسم المدينة حيث حظيت بأفضل عطلة في حياتك، اسم أفضل بار ذهبت إليه في تلك العطلة، ثم قم بإضافة أسماء وعدد الكوكتيلات التي شربتها. ستكون كلمة المرور هذه طويلة وفريدة من نوعها، بالإضافة إلى سهولة تذكرها — وهذا بالطبع إذا لم تشرب الكثير من الكوكتيلات و كنت تتذكر كل هذه الحقائق بشكل منفصل.