ممارسات كلمات السر
مقدمة
كلمات السر هي الطريقة الأساسية في تأمين الحسابات والأجهزة في عالمنا اليوم، بالتالي يجب علينا أن نقوم بالحفاظ على قوة وأمان كلمات السر لأنها الطريق الأول لاختراق الحسابات والأجهزة المختلفة. حاليًا توجد طرق مختلفة للولوج إلى الحسابات والأجهزة غير كلمات السر مثل بصمات الإصبع أو الوجه أو الرموز المختلفة.
في كل الأحوال من الضروري الحفاظ على سرية كلمات السر معنا فقط وأن أي شخص يعرف كلمات السر الخاصة قد يستخدمها في مراقبة نشاط حسابات التواصل الإجتماعي أو الرسائل الخاصة أو بريد إليكتروني العمل، حيث أن حياتنا الرقمية تحتوي على معلومات مختلفة عن حياتنا تتعلق بكل من الحياة الشخصية والعملية وأماكن تواجدنا وصورنا وغيرها.
كذلك من المهم إضافة طبقة حماية أخرى فوق كلمات السر في حالة سقوط كلمات السر في يد طرف خبيث ما، لذلك نستخدم التوثق من خطوتين Two-factor Authentication عن طرق أحد البرامج أو عن طريق الرسائل النصية على الهاتف المحمول، حيث أن كلمات السر من الممكن أن يتم كشفها عن طريق التخمين مثلًا أو عن طريق أحد المواقع المخترقة.
عند اختيار كلمة سر إذا تم اختيار كلمة سر بها يوم ميلادك على سبيل المثال فيمكن معرفة كلمة السر عن طريق أحد الأشخاص الذي يعرف يوم مولدك، ربما يكون شخص يمتلك صورة من نسخة بطاقتك أو زميلك في الدراسة أو العمل او حتى أحد الأشخاص الذي قاموا بعمل بحث مكثف عنك على مواقع التواصل الإجتماعي ووجد يوم ميلادك.
لذا من الموصى ألّا تستخدم معلومات شخصية من الممكن معرفتها من أي شخص لإنه من الممكن تخمين كلمة السر عن طريقها.
المواقع المختلفة معرضة للاختراق ورفع المعلومات على الإنترنت، حيث أن الكثير من المواقع تم نشر معلومات عديدة منها على شبكة الإنترنت من قبل ومنها كلمات سر مختلفة، أو أن الموقع الذي تستخدمه نفسه ليس موثوقًا، لذا من المهم عدم استخدام نفس كلمة السر على أكثر من موقع في أي حال من الأحوال، ولا استخدام كلمات سر متشابها في أجزاء منها على المواقع المختلفة لأنها من الممكن أن تخترق ويتم تخمين الجزء المختلف عن طريقها.
لكن حفظ كلمات السر المختلفة على عدد كبير من المواقع والأجهزة التي نستخدمها اليوم ليس بالأمر الهين، لذا ينصح باستخدام مدير لكلمات السر Password Manager يقوم بحفظ كلمات السر التي نستخدمها، أو حتى كتابة كلمات السر على ورقة محفوظة في مكان مؤمن تمامًا وبعيد عن الأعين قد يكون هو الحل الأمثل لبعض الأشخاص.
إذا أردت كلمة سر صعبة التخمين والاختراق تمامًا يمكنك استخدام أحد المحركات التي تقوم بإنشاء كلمات سر لك، تتكون من رموز وأرقام وحروف مختلفة، لكنها يجب أن تحفظ في مكان ما حيث أنها تكون صعبة الحفظ في معظم الأحوال.
الممارسات الموصى بها
- استخدام كلمات سر مختلفة وعدم استخدام كلمة السر أكثر من مرة
- استخدام كلمة سر قوية تحتوي على رموز وأرقام وحروف استهلالية، أو استخدام عبارة مرور passphrase
- يفضل استخدام برامج توليد كلمات السر لإنشاء عبارات سر قوية
- عدم مشاركة كلمة السر مع أي طرف تحت أي ظرف من الظروف
- استخدام برنامج لحفظ كلمات السر (مدير كلمات السر)
- استخدام التحقق بخطوتين Two-factor Authentication
برامج إدارة كلمات السر
استخدام برامج إدارة كلمات السر قد يكون الأنسب لمعظم المستخدمين لأنه يمكن أن يحفظ كلمات السر وإنشاء كلمات سر قوية وإخبارك بالمواقع التي تمتلك كلمات سر ضعيفة وغيرها، لكن من المهم أيضًا اختيار برنامج موثوق لهذه المهمة.
ينصح باستخدام KeePassXC أو Bitwarden المتاحين على أنظمة لينكس وماك وويندوز وأندرويد، يتيح كل برنامج وجود كلمات السر على كل الأجهزة التي تستخدمها.
لكل برنامج طرق تشغيل واحدة ومبدأ عمل واحد وإن اختلفت بعض الإعدادات بين البرنامجين.
التحقق بخطوتين
استخدام التحقق بخطوتين يضاعف من حماية الحسابات والأجهزة التي تستخدمه ويجعلها من الصعب للغاية اختراقها، يمكن استخدام التحقق بخطوتين على معظم المنصات والحسابات المختلفة.
توجد بإعدادات تلك الحسابات خاصية التحقق بخطوتين إما عن طريق رسالة نصية على الهاتف المحمول أو عن طريق الإيميل المسجل أو عن طريق برنامج للتحقق والطريقة الأخيرة هي الأكثر فاعلية وأمان، ولإستخدامها يجب استخدام برنامج على الكمبيوتر أو تطبيق على الهاتف يقوم بالتحقق.
الولوج بدون كلمات سر
يمكن أن تقوم عمليات الولوج بدون كلمات سر في بعض الأجهزة أو المواقع، وذلك عن طريق إنشاء رمز تأكيد هوية المستخدم وإرساله على أحد الأجهزة أو حسابات البريد الإليكتروني التي يمتلكها المستخدم، هذه العملية قد تكون جزءًا من عملية إستيثاق من خطوتين Two-factor authentication أو عملية منفردة.
الكثير من المواقع تعطي القدرة على الولوج بدون كلمة سر إما عن طريق إرسال رمز التأكيد على الهاتف المحمول أو بريد إليكتروني مسجل مسبقًا أو حتى عن طريق أحد الأجهزة الشخصية المصممة لذلك مثل اليوبي كيز YubiKeys فهي تسمح للمستخدم بتأكيد هويته بدون إدخال أي معلومات محفوظة مثل كلمات السر.