كلمات السر – خط دفاع في مواجهة التهديدات السيبرانية

441 مشاهدة
7 دقائق

تعتبر كلمات السر أو المرور “Passwords” أحد أكثر المواضيع أهمية في مجال الحماية والاختراق. لكلمات المرورالدور الأساسي في عملية حماية الأنظمة تلعب كلمات المرورالدور الأساسي في عملية حماية الأنظمة. لذلك فإن اختراق تلك الكلمات هو أسهل طريقة للدخول إلى النظام وفي بعض الأحيان هو الطريقة الوحيدة للقيام بذلك. كانت كلمات المرورلفترة طويلة من الزمن تعتبر الطريقة الأكثر استخداماً في عملية المصادقة بسبب سهولة استخدامها. لكن هذا النوع من المصادقة يعتبر الأضعف بسبب وجود العنصر البشري بالإضافة لأمور تقنية أخرى. لذلك يمكننا الافتراض أننا نشهد نهاية عصر كلمة المرور بشكلها الذي نعرفه.

  •  معظم الأشخاص عادةً يستخدمون نفس كلمة المرورفي كل الأنظمة وكل الحسابات
  • بعض الأشخاص يحفظونها بشكل مكتوب ضمن ملفات أو قصاصات ورقية
  •  معظم الأشخاص يستخدمون كلمات مروربسيطة وسهلة الحفظ
  •  معظم الأشخاص لا يقومون بتغير كلمات السر الافتراضية

الهجمات على كلمات المرور:

التالي هو بعض التقنيات المستخدمة في كسر كلمات المرورضمن عمليات اختبار الاختراق:

1-  الهجمات الغير تقنية

 هذا النوع من الهجمات لا يتطلب أي معرفة او مهارات تقنية ويمكن أن تتم من خلال ما يلي:

 الهندسة الاجتماعية: خداع الأشخاص ليقوموا بكشف معلوماتهم السرية. يتم ذلك من خلال الحصول على ثقة الهدف أو خداعه ليقوم بكشف كلمة السر الخاصة به.

التخمين:  معظم الناس يستخدمون كلمات مرور سهلة التذكر مثل رقم هاتف المستخدم أو تاريخ ميلاده . مما يسهل تخمينها من المهاجمين.

استراق النظر أو التجسس: مراقبة الهدف عندما يقوم بكتابة كلمة المرور. وهذا الأسلوب يكون ناجح في المناطق المزدحمة مثل المقاهي حيث لا يهتم الناس لما يجري من حولهم.

2- هجمات تقنية

Active Online Attacks: تعتبر اسهل طريقة للحصول على وصول غير مصرح به للنظام. وتتم من خلال أما تخمين كلمات المرورأو تجربة استخدام كلمات السر الافتراضية. أو استخدام ملف يحوي على عدد كبير من كلمات السر مع هجوم القوة الغاشمة brute forcing

Passive Online Attacks: في هذا النوع من الهجمات لا يتم أي محاولة لتغير أي شي في النظام. ولا يتم الاتصال مع الهدف بشكل مباشر. ولكن يتم التنصت على قناة الاتصال واستخراج كلمات السر المرسلة عبرها ويتم ذلك من خلال هجوم رجل في المنتصف.

Offline Attacks: أبسط مثال على هذا النوع من الهجمات هو الحصول على الهاش الخاص بكلمة السر ومن ثم محاولة كسر هذا الهاش.

5-هجوم القوة الغاشمة:  يقوم الهاكر بتجربة قائمة طويلة من الكلمات للدخول حتى يحدث تطابق بين إحدى تلك الكلمات وكلمة السر المخزنة. يمكن لهذه التقنية اختراق الـ Passwords التي تحتوي على كلمات واضحة وصحيحة ويمكن إيجادها في القواميس. على العموم فنجاح تقنية هجوم القاموس يرجع لنزعة الأشخاص وميلهم لاستخدام كلمات يسهل استخدامها. ومن ثم توفر إمكانية يمكن إيجاد تلك الكلمات في القاموس. إن استخدام تركيبات لكلمات السر تحتوي على تشكيلة من الحروف الهجائية والأرقام أو تغيير تهجئة كلمة السر يجعل نجاح هجوم القاموس مستحيلاً.

إدارة كلمات السر:

 تتضمن كل العمليات والسياسات والتقنيات التي تساعد الشركات والأشخاص على تحسين الحماية الخاصة بكلمات السر.وهذه السياسات والتقنيات تتضمن آلية توليد أو خلق كلمة السر وقوتها وآلية إعادة تعين الكلمات المنسية.

إنشاء كلمات السر:

أهم خطوة في إدارة كلمات المرورهو وضع سياسة لخلق كلمات سر قوية وتطبيقه على كامل الشركة ولكل الأنظمة والأشخاص وهذا المعيار يجب أن يعنى بالأمور التالية:

القوة: قوة كلمة المرور يقلل من مخاطر تخمينها أو الوصول لكلمة السر من خلال هجمات التخمين أو القوة الغاشمة brute force attack ، قوة كلمة السر تكمن بالتعقيد والطول الخاص بهذه الكلمة ويتم الحصول على ذلك من خلال استخدام أحرف وأرقام ورموز وكلما كان طول كلمة السر أكبر كلما زادت صعوبة كسر هذه الكلمة، كلمات السر القصير خطيرة جداُ لسهولة وسرعة تخمينا

فترة الصلاحية : طول الفترة التي ستبقى فيها كلمة المروربدون تغيير هو أمر مهم. تغيير كلمة السر يجب أن يتم بشكل دوري ويجب أن يكون لكلمة السر مدة محددة ويكون بعدها التغيير هو أمر اجباري

إعادة الاستخدام: إعادة استخدام نفس كلمة السر أو جزء منها يزيد من خطورة كسر كلمة السر أو الوصول لها. من الشائع جداً استخدام نفس كلمة السر مع تغيير أخر حرف أو أخر رقم ضمن أكثر من حساب أو استخدام نفس كلمة السر ضمن كل الحسابات وضمن السياسة الخاصة بكلمات السر يجب التأكد من عدم استخدام كلمة السر ضمن حسابات ثانية.

طرق توليد كلمات السر

يجب أن تحدد فيما اذا كان توليد كلمة السر يتم من قبل المستخدم أو من قبل النظام أو بشكل مشترك.

1- من قبل المستخدم:

تعتبر اسهل طريقة ولكن لها مخاطر كبيرة كون المستخدم يميل إلى استخدام كلمة سر سهلة ويعيد استخدام نفس كلمة السر ضمن أكثر من مكان

 2- من قبل النظام:

تعتبر هذه الطريقة قوية كونها تلبي المتطلبات الخاصة بقوة الكلمة. توليد الكلمة من قبل النظام يكون بشكل عشوائي، لذلك من الصعب تخمين أو كسر هذا النوع من الكلمات. الأمر الغير محبب بهذه الكلمات هو صعوبة تذكرها. لذلك يضطر المستخدم لحفظها ضمن مكان ثاني مما يضعف سرية هذه الكلمة.

3- كلمات السر لمرة واحدة OTP:

تعرف باسم one time password ويتم توليدها بشكل عشوائي وصالحة للاستخدام لمرة واحدة فقط

نقل كلمات السر:

عملية إدارة كلمات المرور يجب أن تؤكد على السياسات والضوابط الخاصة بعملية ارسال أو نقل كلمات السرأو حفظها ضمن قواعد البيانات. وهنا تكمن أهمية تشفير الملف أو قاعدة البيانات التي تحوي على تلك الكلمات باستخدام خوارزمية هاش قوية بدل من حفظها بشكل نص صريح. و في حال كون كلمة السر تستخدم بعملية المصادقة مع الأنظمة البعيدة وبالتالي سيتم إرسالها عبر الشبكة (أو عبر الانترنت) وفيجب التأكد من عدم ادخالها ضمن المواقع التي تعمل باستخدام http والتأكد من تطبيق https الذي يقوم بعملية تشفير تؤمن طبقة من الحماية.

إعادة تعيين كلمات المرور:

عملية إدارة كلمات المروريجب أن تتضمن سياسات أو تقنيات تسمح بإعادة تعين كلمة المروربطريقة آمنة، في حال تمكن المهاجم من إعادة تعين كلمة المرورفيمكنه الوصول لكامل المعلومات ضمن النظام وهذه العملية يجب أن لا تكون سهلة ويجب أن تكون مرهقة وتطلب معلومات إضافية أو آلية مصادقة ثانية كاستخدام رمز يرسل عبر رسالة sms أو رمز يرسل عبر البريد الالكتروني

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أنظمة كشف التسلل
أنظمة كشف التسلل IDS
أنظمة منع التسلل IPS
أنظمة منع التسلل IPS
DeepFake - التزييف العميق
DeepFake – تطبيق يتلاعب بالوجوه بطريقة مبتكرة و لكن خطيرة
حصان طروادة
حصان طروادة – عندما تحاول التهديدات السيبرانية إظهار نفسها كبرامج مفيدة
حماية البيانات
سرية البيانات و حمايتها من مخاطر أمن المعلومات
أمن الشبكات-تجهيزات شبكة
أمن الشبكات – أنواعه و دوره في الحماية من التهديدات السيبرانية
الهجوم الإلكتروني
الهجوم الإلكتروني “انتحال DNS” وطرق الحماية منه
أولويات الحماية
أهم 10 تحديات للأمن السيبراني يجب الاستعداد لها في عام 2022