برغم أن الموضوع هندسي وبه من الفنيات والمصطلحات الهندسية الكثير إلا أنني سأكتبه هنا بصورة مقالة أدبية أقرب منها للصورة الفنية. وقد قيل إن خير الكلام ما قل ودل ولذلك فالموضوع حول كلمات المرور "كلمات السر" (Passwords).
كلمات المرور والتي نتعامل معها يوميا في مواضع كثيرة، منها علي سبيل المثال –البريد الإلكتروني– الشراء / البيع الإلكتروني– برامج المحادثة عبر شبكة الإنترنت –الحسابات البنكية على شبكة الإنترنت –ماكينات الصرف النقدي الآلية (ATM Auto Teller Machine) - وغيرها الكثير وكل له أهميته وخصوصيته.
قد لاحظت من خلال عملي أنه برغم أهمية وخطورة التعامل بكلمات المرور إلا أن الكثيرين لا يعطونها حقها من الاهتمام بل على العكس أجد الكثيرين يهملون في التعامل معها. قمت بتسجيل بعض نماذج هذا الإهمال وسوف أذكر لكم خطورته علماً بأن أيسر طريق للدخول على نظام ما، هو معرفة كلمة المرور الخاصة به ويتم معرفتها أو كسرها (Crack) إما بالتخمين المباشر (عادة يستخدم إذا كان الكاسر Cracker يعرف الشخص المراد كسر كلمة مروره معرفة شخصية ويستطيع جمع بيانات حوله) أو بالتخمين العشوائي والمعروف باسم Brute- Force (بروت فورس) وهذا الأخير يتم بواسطة برامج خاصة تقوم بتجربة وتوليد عدد ضخم من كلمات المرور بسرعة كبيرة حتى تتطابق إحدى الكلمات المولدة بواسطة البرنامج مع الكلمة الأصلية والمحفوظة في النظام.
دعونا نرى بعض نماذج الإهمال الواقعي وماهية خطورته:
1- اختيار كلمة المرور على أن تكون أحد أسماء أفراد العائلة ( الزوجة- الزوج – الابنة – الابن – الأب – الأم – إلخ ) – هذا النوع من الاختيار يعرض صاحب كلمة المرور لفجوة أمنية من المحيطين به والقادرين على تخمينها بحصر تلك البيانات وعمل قائمة صغيرة يمكن استخدمها لفتح النظام المحمي بواسطة تلك الكلمة.
2- اختيار كلمة المرور على أن تكون تاريخ أو رقم هام لصاحبها مثال (تاريخ ميلاد الزوجة / الزوج – تواريخ ميلاد الأبناء – سنة التخرج – رقم السيارة – رقم هاتف الخطيبة – إلخ) _ هذا النوع من الاختيار يعرض صاحبه لنفس الفجوة الأمنية ومن السهولة تخمين كلمة المرور الخاصة به.
3- اختيار كلمة مرور أقل من ستة أحرف. تكمن الخطورة في سهولة التخمين بواسطة برامج التخمين العشوائي Brute-Force وعدم استحالة تخمينها لقصر طولها. فهذه البرامج تقوم بالتخمين بتمرير كل الكلمات الممكن إنشاؤها بواسطة حروف وأرقام اللغة أو بواسطة قائمة مصغرة إذا كان النظام المراد كسره يحتمل أن تكون كلمة المرور له ضمن تلك القائمة المصغرة كما في الحالتين السابقتين. وبالتالي كلما كانت كلمة المرور طويلة وتحتوي على خليط من الأرقام والحروف والرموز أصبحت احتمالية كسرها ضعيفة.
4- أن تكون كلمة المرور كلها تحتوي على عدد من الأخطاء السابقة مثل أن تكون قصيرة ومكونة من اسم لأحد أفراد العائلة مضافا إليه رقم السيارة أو خلافه (ظناً من المستخدم وصاحب كلمة المرور بأن هذا يكون كلمة مرور صعبة الكسر).
5- أكاد أجزم بأن الكثيرين ممن يقرؤون الآن يعلمون أنهم يحتفظون ببطاقات الدفع النقدي ATM وبطاقات الائتمان VISA وغيرها في نفس المكان يحتفظون بكلمات أو أرقام مرور هذه البطاقات مما يجعل الخطر مضاعفا حيث لا يوجد مجال للتخمين فإنه إذا ضاعت الحافظة لكلٍّ من البطاقة والرقم السري. أصبح المحظوظ فقط هو من لن يصله شكر ممن وجدها وسحب الرصيد!!!
6- مرة أخرى أكاد أجزم بأن الكثيرون ممن يستخدمون أكثر من بريد إلكتروني أو لهم نشاطات في المنتديات الإلكترونية وغير ذلك، يستخدمون نفس كلمة المرور مما يعني إذا تم كسر هذه الكلمة يمكن استخدامها مع الأنظمة الأخرى التي يتعاملون معها.
ما سبق كان نبذة بسيطة من الأخطاء التي يقع بها كثير من مستخدمي الكمبيوتر وبالطبع أول ما يمكن عمله هو تجنب تلكم الأخطاء وما شابَهَا.
- أسمع هناك من يقول أنه يستخدم 50 خدمة ما بين مواقع وبريد إلكتروني ومواقع حسابات فهل عليه اختيار 50 كلمة مرور مختلفة؟
- أسمع هناك من يقول "لما كل اللي فات غلط .. حجيب منين كلمة مرور صح؟"
- أسمع هناك من يقول "إيه التعقيد ده، ما هي ماشية وتمام ولو جبت كلمة صعبة مش حعرف أحفظها"
- أسمع هناك من يتعجب على صبي أو طالب كسر كلمة المرور لهيئة أو مؤسسة كبيرة يعتقد أنها لا تكسر "هل تعتقد معي الآن أنها لا تكسر؟!!!!!!!" من يختار كلمة المرور لأي مؤسسة كبرت أم صغرت، إنسان قد يقع في نفس الأخطاء المذكورة سابقا.
الآن.. وجب علي الرد على ما سمعت وعلى رأي المصريين "من عيوني" وعلى قول أهل الخليج "على خشمي"
هل تعلم أن كلا من "من عيوني" و"على خشمي" تصلح كلمات مرور أفضل من كلمات المرور التي تحتوي على الأخطاء السابق ذكرها.
بديهي أن يكون السؤال المطروح هو كيف يتم اختيار كلمة مرور عالية الأمان وسهلة التذكر. وقبل إعطائي أمثلة عن اختيار كلمة تمتاز بسهولة التذكر وصعوبة التخمين يجب التنويه بوجوب مراعاة الآتي:
1- يجب تجنب الأخطاء المذكورة سابقا.
2- أن تكون كلمة المرور مكونة من حروف وأرقام وليست حروف فقط أو أرقام فقط ويفضل استخدام بعض العلامات الخاصة إذا كان النظام يسمح باستخدامها .
3- أن تكون خليطا بين الحروف الكبيرة والصغيرة AbCd .
4- أن لا تمت لصاحبها بأي صلة يمكن التخمين عن طريقها فقط هو وهو فقط الذي يعلم الصلة (كيف يتذكرها)
دعونا نقترح بعض الأمثلة لاختيار كلمات مرور تجمع بين سهولة التذكر وصعوبة التخمين..
مثلا: يمكن تذكر الجملة الآتية
This is Egypt , where I live ونجعل كلمة المرور لمن يستطيع تذكرها أول حرف من كل كلمة TiEwIl
This is Africa which I love >>> TiAwIl
وبالطبع يمكن إضافة رقم للحروف لزيادة الصعوبة والتوائم مع الإرشادات السابقة فتكون مثلا كلمة المرور TiEwIl1970 ويتضح جدا صعوبة حفظها أو سرقتها أو تخمينها فقط من يحفظ الجملة الأصلية وكذلك فهو لا يحتاج لكتابة الجملة أو شيء من هذا القبيل فهو فقط يكتب الحرف الأول وهو يتذكر كلمات الجملة.
من الممكن أن نبتكر طريقة أخرى لزيادة سهولة التذكر وأيضا زيادة صعوبة التخمين ومثال ذلك أن تستخدم الكلمات العربية للتذكر واستخدامها كما هي "عربية" وتكون كلمة المرور المكتوبة هي المقابل اللاتيني (الإنجليزي) للحروف المطبوعة على لوحة المفاتيح المقابلة للحروف العربية .
مثال: اختيار كلمة "منعيوني" ككلمة مرور ستكون lkud,kd
ربما هناك من يحب أغنية "جبار" للمطرب عبد الحليم حافظ. وأراد استخدام كلمة "جبار" ستكون [fhv ،بالطبع يمكن أن يقوم بزيادة التعقيد بإضافة رقم لزيادة طول الكلمة وكما يمكنه تغير الحرف الكبير والصغير بترتيب يعلمه لتأخذ كلمة "جبار1990" شكل [FhV1990 أو {fHv1990 .
كما ترى من السهل أن تحفظ الكلمة العربية وكذلك تذكرها وكتابتها عند السؤال لإدخال كلمة المرور وفي نفس الوقت الكلمة المدخلة فعلا بواسطة لوحة المفاتيح والمحفوظة داخل النظام سوف تكون بالغة التعقيد.
وبهذه الطرق والتي يمكن للقارئ ابتكار طرق أيسر منها للتذكر وأصعب للتخمين يمكنه إنتاج الكثير من كلمات المرور الخاصة به دون عناء، كما أحب أن أذكر بعدم تكرار نفس كلمة المرور في كثير من المواقع إلا بعد تقسيمها من حيث أهميتها للمستخدم. وبالتالي يمكنك استخدام عدة كلمات مرور محدودة وطبقاً للتوزيع التكراري الإحصائي الطبيعي Normal Distribution فإن العدد الأكبر من المواقع تكون ليست ذات حساسية عالية وبالتالي يمكنك استخدام عدد قليل من كلمات المرور لها وتستخدم كلمات مرور مختلفة لكل موقع هام.
لا تنسوا أن تفصلوا بين الأرقام السرية لبطاقات الائتمان والبطاقات نفسها فلا يصح وضعهم في مكان واحد!!.
ملاحظات:
1- جميع حقوق الملكية والملكية الفكرية للعلامات التجارية والمسجلة التي ذكرت في المقال ملك لأصحابها.
2- الصورة المستخدمة ملك لموقع www.maganin.com
* ويضيف الدكتور وائل أبو هندي أهلا يا "باش مهندس" محمد، أهلا بك على مجانين، أسعدتني بحقًّ قراءة مقالتك هذه ولَكَم أستبشرُ بها خيرا، أجمل ما فيها أنها كلام من قلبك وبلسانك بالعربي...، فكلامك ليس مترجما ما شاء الله يعني هندسة كومبيوتر بالعربي... وأتمنى من القلب بأن تتوالى مقالاتك حتى والله ننشئ لك قسما نسميه مجانين بالكومبيوتر أو مجانين بالحاسب.... وأنت تعلم أن الأرض تتكلم عربي وكذلك مجانين... أهلا بك.
مهندس / محمد علي حشيش – عضو IEEE
واقرأ أيضًا:
لغتنا الجميلة... واحد / صفر / الديكتاتورية الرقمية والحرية..