بسم الله الرحمن الرحيم
الحمد لله رب العالمين، وصلى الله وسلم وبارك على عبده ورسوله نبينا محمد وعلى آله وصحبه أجمعين
الجزء 6. كلمات سر
تشكل كلمات المرور أو الكلمات الرئيسية ، جنبًا إلى جنب مع معرف المستخدم أو اسم المستخدم ، بيانات اعتماد المصادقة ، أي جهاز المصادقة المستخدم عالميًا للوصول إلى جميع الخدمات عبر الإنترنت. كما نعلم ، يكون اسم المستخدم ثابتًا عادةً ، بينما يجب أن تختلف الكلمة الرئيسية كثيرًا. الآن ، دعنا نركز على كلمات المرور للحظة .
لماذا هي نعمة؟
حسنًا ، لأن مواجهة كلمات المرور هي حرب نقاتلها كلما احتجنا إلى التحرك في العالم الرقمي المعقد. هناك نوعان من الأشخاص: أولئك الذين لا يأبهون ويستخدمون نفس كلمة المرور على جميع مواقع الويب التي تم تسجيلهم بها ومن ثم هناك من يأخذ هذا الأمر على محمل الجد ويتباهى بميلنا الطبيعي إلى تعقد حياتنا. يتم إجراء الحالة الأولى من قبل أولئك الأشخاص الذين لا يريدون أن يزعجوا أنفسهم ويعتقدون أن استخدام كلمات مرور مختلفة لمواقع مختلفة هو مجرد مضيعة للوقت. بشكل عام ، ترتبط كلمات المرور التي يستخدمونها باسمهم أو تواريخ ميلاد أطفالهم أو بتسلسل رقمي مثل 12345 أو ، حتى ، بسلسلة من الأحرف مثل مربع القوة. تدفعهم طبيعتهم العملية إلى الاعتقاد بأنه: "على أي حال ، إذا أراد شخص ما الدخول إلى صندوق البريد الخاص بي ، فلن تكون كلمة مرور لإيقافه" ومن ثم ، من الأفضل إبقائها بسيطة وتجنب المتاعب.
ثم هناك أولئك الذين ينتمون إلى المجموعة الثانية. هؤلاء السادة على وعي كبير لدرجة أنهم لا يستخدمون فقط كلمة مرور مختلفة لكل موقع تم تسجيلهم فيه ، ولكن ، حيثما أمكن ، يقومون بتنشيط عامل المصادقة الثاني ، وأخيراً وليس آخراً ، يسجلون بيانات اعتمادهم بدقة في مدير كلمات المرور.، وهي إحدى تلك الأدوات التي تحمي كلمات المرور الخاصة بك باستخدام خوارزميات تشفير متقدمة للبيانات الموجودة فيها. بشكل عام ، تعد مديري كلمات المرور أدوات موثوقة ومحمية جيدًا وتجعل من الصعب للغاية سرقة أي بيانات اعتماد. عادة ما تتطلب (أيضًا) إعداد كلمة مرور طويلة ومعقدة إلى حد ما ودبوس إضافي. باختصار ، إنها نوع من الأمان يفتح بمزيج معقد للغاية مما يجعل الوصول الاحتيالي غير محتمل ولكنه يجعل الحياة معقدة للغاية بالنسبة للمالك الشرعي لكلمات المرور الموجودة فيها. عادة كل شيء يسير بسلاسة ، ولكن إذا نسيت المفتاح الرئيسي(مفتاح الأمان) تتخذ المأساة أبعادًا كتابية. حتى عامل المصادقة الثاني (الذي يزيد بشكل كبير من مستوى حماية الوصول إلى الخدمات عبر الإنترنت) يمكن أن يشكل مشاكل مختلفة ، على سبيل المثال في حالة تغيير هاتفك الذكي وإذا كانت هناك حاجة لإعادة تكوين وضع التوليد بشكل صحيح. الرموز الرقمية التي تم إنتاجها بواسطة أحد تطبيقات المصادقة المتنوعة المخصصة لذلك المتوفرة في السوق (مثل Google Authenticator و MS Authenticator).
هدف مجرمي الإنترنت هو سرقة بيانات الاعتماد للوصول إلى مواقع الويب أو أنظمة المعالجة من أصحابها الشرعيين ، وللقيام بذلك ، يحاولون خداع الأهداف لتنزيل برامج ضارة على أجهزة الكمبيوتر الخاصة بهم. هذه حقيقة مهمة: أوراق الاعتماد هي المفتاح الذي يسمح بالوصول إلى البيانات التي تعد المورد الثمين للاقتصاد الرقمي ، والعنصر الذي يجب حمايته وتقييمه في نفس الوقت ، الوقود الذي يجعل كل شيء يعمل.
وفقًا لتقرير أكتوبر 2020 ، فإن الزيادة في الهجمات التي تم تنفيذها باستخدام تقنيات التصيد الاحتيالي والهندسة الاجتماعية في العام الماضي قد ارتفعت بنسبة 26٪ ، في حين كانت القطاعات الأكثر تضررًا هي الرعاية الصحية معًا. للتوزيع على نطاق واسع وقطاع الخدمات عبر الإنترنت والسحابة.
الآن ، دعنا نصل إلى لب المشكلة. تعتبر بيانات الاعتماد ضرورية لأن التطبيقات والأنظمة تحتاج إلى التعرف على من يحاول الاتصال معًا للتحقق من حق الوصول ، وإذا لزم الأمر ، للسماح لهم باستخدام مجموعة محددة من الوظائف. لقد رأينا أن إدارة مصادقة كلمة المرور بشكل آمن بشكل معقول أمر معقد بالفعل ، ومن ناحية أخرى ، فإن إنشاء كلمة مرور قوية بدرجة كافية ليس بالأمر السهل على الإطلاق. إن الجمع بين هاتين الحقيقتين يجعل من الصعب حقًا إدارة القضية.
لقد توصلنا إلى بناء كلمة مرور آمنة. تعد كلمة المرور أكثر أمانًا لأنها مرنة في مواجهة محاولات هجوم القوة ، أي تلك الهجمات التي تحاول تخمين محتوياتها من خلال أدوات آلية تم تصميمه خصيصًا لفحص جميع التركيبات الممكنة نظريًا. تعتمد قوة كلمة المرور على تكوينها ، أي على نوع الأحرف المكونة من (أحرف كبيرة وصغيرة ، وأرقام ، وأحرف خاصة) وطولها. كلما كانت كلمة المرور أطول ، زادت تعقيد مجموعة الأحرف التي تتكون منها وكلما طال الوقت للعثور على المجموعة الصحيحة. يمكن التعرف على كلمة مرور قصيرة تتكون من مجموعة محدودة جدًا من الأحرف في بضع أجزاء من الثانية ؛ يمكن التعرف على كلمة مرور طويلة تتكون من مجموعة كبيرة من الأحرف في السنوات (حتى بترتيب الآلاف). يجب أن نأخذ في الاعتبار أن الأوقات التي تحدثنا عنها تعتمد أيضًا على عامل إضافي ثالث: قوة أدوات المعالجة المستخدمة لتنفيذ خوارزمية القوة والتي ، كما نعلم ، تتزايد باستمرار. هذا يعني أن كلمات المرور الخاصة بنا تصبح أقل أمانًا مع مرور الوقت وأنه للحفاظ على مستوى قوتها دون تغيير ، من الضروري زيادة تعقيدها تدريجياً.
أحد أشكال هجوم القوة هو هجوم "القاموس" الذي يسمح لك بمحاولة فك تشفير كلمة مرور من خلال فحص عدد محدود من المصطلحات الموجودة ، في الواقع ، في القاموس المضمن في المجموعة المستخدمة لتنفيذ الهجوم. الهدف هو تقليل أوقات البحث من خلال الاعتماد على حقيقة أن معظم الأشخاص يميلون إلى استخدام كلمات مرور يسهل تذكرها: كما رأينا ، الاسم الأول أو اسم الأحباء أو تواريخ الميلاد. هناك قواميس تحتوي على الملايين من كلمات المرور شائعة الاستخدام ومن الممارسات الجيدة إدراج هذه القواميس نفسها في أنظمة تسجيل مواقع الويب أو أنظمة تغيير كلمة المرور لتجنب ذلك ، في تكوين كلمة المرور الجديدة ، تسلسل الأحرف التي يمكن التعرف عليها بسهولة من خلال الهجمات إلى قاموس.
باختصار ، نحن نواجه جهاز مصادقة ضعيف جوهريًا ما لم يزداد مستوى تعقيده بشكل كبير ، مما يزيد من تعقيد إدارته بشكل كبير. في الآونة الأخيرة ، إذن ، كان هناك إدخال في العديد من المجالات لعامل المصادقة الثاني ، وبالتأكيد في القطاع المصرفي حيث أصبح إلزاميًا وفقًا للوائح PSD2 3 . لقد رأينا أيضًا أن إدارتها ليست بسيطة جدًا وفي بعض الحالات تنطوي أيضًا على تكاليف إضافية.
سيأتي مخرج محتمل من تطور التكنولوجيا التي ستسمح بالتنفيذ الكامل لنموذج المصادقة الكلاسيكي الذي يوفر ثلاثة مستويات من التعقيد المتزايد ، والتي تستند إلى:
"شيء واحد تعرفه" ، وهو كلمة المرور أو PIN ؛
"شيء واحد لديك" ، على سبيل المثال ، هاتف ذكي أو مفاتيح لإنشاء رموز مستخدمة حتى وقت قريب للأنظمة المصرفية عن بُعد ؛
"شيء ما أنت عليه" ، على سبيل المثال ، أي بيانات بيومترية (بصمة الإصبع ، الوجه ، قزحية العين ، ختم الصوت) يمكن معالجتها ضمن إجراء المصادقة.
على وجه الخصوص ، اليوم ، في بعض الهواتف الذكية ، من الممكن استبدال المستويين الأول والثاني من النموذج الموصوف للتو ، مباشرة بتطبيق المستوى الثالث: التعرف على الوجوه. ربما تكون قد شاهدته أو استخدمته بالفعل: مع أحدث جيل وهواتف ذكية متطورة ، من الممكن استبدال النوع التقليدي 1) و 2) الوصول بنوع 3) على أساس التعرف على الرؤية. إنه إجراء يتم تفعيله على جميع تطبيقات الخدمات المصرفية عن بُعد تقريبًا وعلى العديد من التطبيقات التي تخزن البيانات الشخصية وبيانات بطاقة الائتمان. دعونا نرى كيف يعمل ولماذا ، في الوقت الحالي ، لا يمكن استخدامه إلا على الهواتف الذكية المتطورة.
أولاً ، لا يحل الوصول البيومتري محل الوصول بكلمة المرور والعامل الثاني للمصادقة. عادةً ما تتم المصادقة الأولى من خلال هاتين الطريقتين ، وبعد ذلك ، عندما يتم التحقق من هوية المستخدم ، يتيح لك التطبيق استبدال هاتين الطريقتين بطريقتين ثالثتين ، في الواقع ، التعرف على الوجوه. من الآن فصاعدًا ، للوصول إلى التطبيق أو لتأكيد أهم ميزاته (مثل إجراء تحويل في أحد تطبيقات الخدمات المصرفية عبر الهاتف المحمول) ، ما عليك سوى تأطير وجهك وبذلك تكون قد انتهيت.
من يدير البيانات البيومترية؟ في الواقع ، الكود المشتق من التعرف على الوجوه مرتبط بهاتفك الذكي وليس بالتطبيقات الفردية التي تستخدمه. تحتاج أولاً إلى تمكين التعرف على الوجوه على هاتفك الذكي ومن ثم ستتمكن التطبيقات التي قمت بتثبيتها من استخدامه. النتيجة الأولية لفحص الوجه ، أي العنصر الذي سيتم استخدامه للمقارنة في كل مرة يطلب فيها التطبيق التحقق من شرعية الوصول موجود في شريحة جهاز داخل الهاتف الذكي. لذلك ، ترتبط هويتنا بالهاتف الذكي ، أي "شيء تمتلكه" وبالتالي النوع 2) ، وتستند إلى التعرف على الوجوه ، أي على "الشيء الذي أنت عليه" وبالتالي النوع 3). التطبيقات ، بمجرد إجراء المصادقة الأولى باستخدام إجراءات من النوع 1) و 2) ، يمكنهم ربط التعرف على الوجوه بهذه الهوية. من تلك اللحظة فصاعدًا ، كلما كان من الضروري التحقق من هوية المستخدم ، سيطلب التطبيق من الهاتف الذكي التعرف على الوجه واستجابة لذلك سيحصل على موافقة (إذا كان الأمر كذلك) أو ko إذا لم يكن الوجه كذلك معروف.
يمكن تنشيط هذا الوضع فقط على الهواتف الذكية المزودة بشريحة قادرة على تخزين الهوية بأمان داخل ولديها كاميرا مناسبة للتعرف على الوجوه ، وبالتالي ، فقط على الهواتف الذكية المتطورة. ينطبق نفس المنطق على أجهزة الكمبيوتر.
كل هذا أثناء انتظار تطوير هذه التقنية لإتاحة طرق آمنة جديدة لاعتماد وضع المصادقة من النوع 3 حتى على الهواتف الذكية وأجهزة الكمبيوتر ذات المستوى الأدنى من تلك التي يمكن تنشيطها حاليًا.
تطبيق المصادقة. تطبيق يسمح لك بإنشاء رموز صالحة كعامل مصادقة ثانٍ لموقع ويب معين. يتطلب إجراء تكوين موقع الويب في التطبيق والذي يتم تنفيذه عادةً عن طريق تأطير باستخدام كاميرا الهاتف الذكي رمز الاستجابة السريعة الذي يوفره موقع الويب الذي يحتوي بداخله على المفتاح المستخدم لإنشاء الرموز.
باستخدام طريقة القوة (أو حتى البحث الشامل) ، فإنه يشير إلى خوارزمية قادرة على التحقق من جميع الحلول الممكنة نظريًا حتى يتم العثور على الحل الصحيح بالفعل. العامل الإيجابي الرئيسي هو أنه يسمح لك نظريًا بالعثور دائمًا على الحل الصحيح ، ولكن من ناحية أخرى فهو دائمًا الحل الأبطأ أو الأكثر تكلفة.
كود المستخدم (معرف المستخدم). هو الرمز الذي يسمح للتطبيق أو موقع الويب بالتعرف بشكل فريد على المستخدم المتصل. عادةً ما ترتبط أنظمة المصادقة بكود المستخدم بسلسلة من الخصائص الوظيفية (التنميط) التي تسمح لموقع الويب بإظهار للمستخدم سلسلة من الصفحات المخصصة.
بيانات اعتماد المصادقة. تتكون من رمز مستخدم وكلمة مرور وتشكل الحد الأدنى من المعلومات المطلوبة للوصول إلى موقع ويب.
تجزئة. تسمح وظائف التجزئة بالبدء من أي سلسلة إدخال أ ، لإنتاج سلسلة ب (بصمة) لها طول ثابت ، بغض النظر عن حجم أ. في الممارسة العملية ، تكتشف دالة التجزئة "بصمة" نص ، ولكن من هذه البصمة من المستحيل العودة إلى النص الأولي.
هشكات . ربما يكون "أسرع برنامج لاستعادة كلمة المرور في العالم". كان لديه كود احتكاري حتى عام 2015 ، ولكن يتم إصداره الآن باسم "البرمجيات الحرة". الإصدارات متوفرة لأنظمة Linux و OS X و Windows. تكمن خصوصيته في حقيقة أنه يسمح لك للهجمات بالاستفادة من القوة الحاسوبية لمعالجات الرسومات (GPU) ، بالإضافة إلى وحدة المعالجة المركزية الأكثر كلاسيكية.
العدار. إنها الأداة المفضلة عندما يتعلق الأمر بهجمات القوة ، خاصة إذا كانت هناك خدمة مصادقة عن بُعد في الشعارات المتقاطعة. إنه قوي جدًا ويدعم أكثر من خمسين بروتوكولًا ، بما في ذلك telnet و ftp و http و https و smb.
الهوية الرقمية. بشكل عام ، يتم تشكيلها من خلال مجموعة المعلومات الموجودة على الإنترنت فيما يتعلق بموضوع معين. بالمعنى الدقيق للكلمة ، تنقسم الهوية الرقمية إلى جزأين: الهوية الحقيقية وبيانات الاعتماد التي يمتلكها كل واحد (سمات تلك الهوية). الهوية (اسم المستخدم) وبيانات الاعتماد ( كلمة المرور أو الأجهزة الأكثر تعقيدًا) هي المفتاح للوصول إلى جميع المعلومات المتعلقة بنا والتي يتم تخزينها عبر الإنترنت.
جوني ذا ريبر (جيه تي آر). إنه برنامج مفتوح المصدر يسمح لك بتنفيذ هجمات القاموس أو القوة . علاوة على ذلك ، يكتشف تلقائيًا نوع التشفير المستخدم من خلال التجزئة. إنه متاح لكل نظام تشغيل ، Windows و Linux و Mac Os ، ويمكن تنزيله مجانًا من موقع OpenWall ، على الرغم من وجود إصدار احترافي مدفوع.
PSD2
(توجيه خدمات الدفع 2). هو توجيه أوروبي ينظم خدمات الدفع ومقدمي خدمات الدفع داخل الاتحاد الأوروبي.
عامل المصادقة الثاني. يتكون عادةً من رمز رقمي مكون من ستة أرقام مطلوب من مواقع الويب التي تدعم هذا الوضع بعد إدخال بيانات اعتماد المصادقة بشكل صحيح. في هذه الحالة ، يتطلب موقع الويب الذي تقوم بالوصول إليه إدخال رمز رقمي لإكمال المصادقة. يمكن إرسال الرمز الرقمي إلى المستخدم عبر الرسائل القصيرة أو إنشاؤه بواسطة المستخدم نفسه من خلال أداة مصادقة APP تم تكوينها بشكل مناسب لإنشاء رموز لموقع الويب المحدد. يعمل هذا الوضع على زيادة الأمان أثناء المصادقة لأنه ، حتى إذا تمت سرقة بيانات اعتماد المصادقة دون علم المالك الشرعي ،
وحدة النظام الأساسي الموثوقة (TPM). إنها شريحة موجودة داخل أحدث جيل من الهواتف الذكية (ولكن أيضًا أجهزة الكمبيوتر) قادرة على الحفاظ بشكل آمن على المعلومات الحيوية المستخدمة لمصادقة المستخدم.
اسم المستخدم. اسم تعريف المستخدم الذي يظهر عادة ، على عكس كلمة المرور.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))