مقدمة:

في عصرنا هذا كثرت المواقع والخدمات المتنوعة منها التواصل الاجتماعية ومنها البنكية ومنها التي نحتاجها لشراء الاكل والملابس وجميع الاحتياجات. كلم موقع يطلب منك اسم المستخدم وكلمة السر. وبالرغم من تطور أنظمة الحماية لدى المواقع الكبرى الا ان العصر الضعيف الذي يواجه الحماية هو انت كمستخدم بسيط.

انت سيدي القارئ إذا كنت تستعمل كلمة سر ضعيفة او قوية لذا عدة خدمات. فانت تعرض نفسك ومن حولك الذين يعتمدون عليك للخطر. فكيف ذلك ستطرح السؤال علما ان كلمة السر الخاصة بك قد تكون معقدة؟

سأحاول بناء الموضوع من وجهة نظر مسير موقع ومن وجهة نظر مستخدم عادي، لكي نصل لخلاصة لماذا علنا استخدام مدير كلمات المرور.

أين تخزن كلمات السر عند التسجيل في موقع ما وكيف ذلك؟

عندما تبعث طلب التسجيل لخدمة او موقع ما فان اسم المستخدم وكلمة السر تعتبران معلومات حساسة. تحفظ في قاعدة البيانات ولكيلا يستطيع عملاء الشركة معرفة كلمة السر فان مطور قاعدة البيانات يحفظها على شكل هاش (Hash) عبر تطبيق دالة رياضة معرفة بدالة التجزئة (Hash function) والتي تأخد المدخل بطبيعته وتحوله الى رقم لا يمكن من خلاله الرجوع الى الأصل.

هذه العملية مختلفة عن التشفير لان الهاش الذي نحصل عليه وبالرغم من انه فريد من نوعه ولا يمكن الحصول علية الا بتوفر نفس المدخل، الا انه لا يحمل في حد ذاته أي معلومة او ملف يمكن استخلاصه منه.

كلمة سر ضعيفة او متداولة لا تعتبر كلمة سر

شيء بديهي صديقي الذكي ان كل شيء متداول ومعروف يعتبر معلومة عامة، أي لا يعتبر سري. فلماذا ترغب باستعمال كلمة سر بسيطة استعملها اشخاص غيرك ويمكن التعرف عليها بالتخمين او بالهندسة الاجتماعية.

الأخطر هنا ان هناك أدوات يستعملها المخترقون لتخمين كلمات السر بشكل آلي وبسرعة فائقة.

تسريب في قاعدة البيانان للمواقع

هنا يبدأ الخطر، عندما تسرب قاعدة البيانات فان اول الأشخاص الذين سيعانون هم من لديهم كلمات سر ضعيفة أو مستخدمة من قبل شخص آخر. كيف ذلك؟ هل تتذكر الهاش؟ نعم صديقي ان ذلك الرقم السحري اذا كشف فيمن التعرف على كلمة السر المرتبطة باسم المستخدم انطلاقا من مقارنة كلمة السر بالأخرى المعروفة التي سبق و لان طبقت عليها الدالة و نعرف كل المعطيات عنها المدخل و المخرج.

استعمال نفس كلمة السر في جميع الخدمات والمواقع

هل حقنا تتق في جميع المواقع؟ هل تعلم ان لهم إمكانية الوصول لمعلوماتك؟ ببساطة الخادم مجرد حاسوب! ماذا لو تسربت قاعدة بيانات موقع انت تستخدمه؟ صديقي في هذه الحالة فانت تعرض جميع الحسابات التي تمتلكها لخطر مجهول العواقب. فمجرد موقع استعملته للعب الثعبان قد يلدغك ويدمر حياتك المادية والاجتماعية. المخترقون لطالما استغلوا هذه الهفوة للسيطرة على الحسابات وجمع أكثر قدر ممكن من المعلومات.

خطر تخزين كلمات السر بشكل مكشوف او على المتصفح

إذا كنت تخزن كلمات المرور على سطح المكتب او في ملف مكشوف يمكن فتحه دون تقديم أي تسجيل الدخول فأنت للأسف تدخل ضمن الفئة الأكثر عرضة للخطر. فأنت تتجول في ظلام وبرد دون أدني وسائل البقاء. فخطأ بسيط من جهتك او من جهة نظام التشغيل الذي تستعمله او أي برنامج به ثغرات سيؤدي الى الوصول الغير المصرح له لمعلوماتك الشخصية ومن بينها كلمات المرور.

هناك أيضا فئة تعتمد على تخزين كلمات السر في متصفح الانترنت. بالرغم من انها مفيدة وتسرع تسجيل الدخول الا ان الوصول لكلمات السر يكون بشكل بسيط وغير آمن فهي جد مكشوفة ومعرضة للسرقة.

ومع ذلك، حتى في أنظمة التشغيل Windows وmacOS، هناك طرق للتغلب على مطالبة كلمة المرور. على سبيل المثال، باستخدام نافذة Inspect Element في المستعرض، يمكنك تحرير رمز الصفحة بطريقة تؤدي إلى إلغاء تجزئة كلمة مرور المستخدم. لفعل هذا:

    1. انقر بزر الماوس الأيمن فوق حقل كلمة المرور على موقع الويب.
    2. حدد فحص العنصر.
    3. انقر نقرًا مزدوجًا فوق type = “password”، واستبدل كلمة المرور بالنص.
    4. اضغط على Enter، وأغلق مفتش العناصر.
    5. ستكون كلمة المرور غير مجزأة un-hashed، وسيتم الكشف عنها للجميع.

تعمل الخطوات المذكورة أعلاه، بغض النظر عن المتصفح أو النظام الأساسي.

اسمحوا لي أن أوضح طريقة أخرى لعرض كلمات المرور المحفوظة على المتصفحات الثلاثة المذكورة. تذكر أن هذا يعمل فقط على كلمات المرور المخزنة بواسطة المتصفح. أولاً، سنلقي نظرة على Chrome.

لعرض كلمات المرور المحفوظة في Chrome، قم بما يلي:

  1. افتح Chrome.
  2. انقر فوق زر القائمة، وحدد الإعدادات.
  3. قم بالتمرير إلى الملء التلقائي، وانقر فوق كلمات المرور.
  4. حدد كلمة المرور التي تريد عرضها، وانقر فوق رمز “العين” (الشكل أسفله).
  5. في نظام التشغيل Linux، لن تتم مطالبتك بكلمة مرور المستخدم. في نظامي macOS وWindows، سيُطلب منك مصادقة المستخدم قبل إدراج كلمات المرور.
  6. استمتع بكلمة المرور هذه.

للقيام بنفس الحيلة في Firefox، قم بما يلي:

  1. افتح متصفح فايرفوكس.
  2. افتح القائمة وحدد التفضيلات.
  3. انقر فوق الخصوصية والأمان (من الجزء الأيمن).
  4. توجه إلى Logins & Passwords.
  5. انقر فوق عمليات تسجيل الدخول المحفوظة.
  6. انقر فوق إظهار كلمات المرور (الشكل أسفله).
  7. أو توجه مباشرة الى العنوان (about:logins)
  8. استمتع بكلمات مرورك.

التحذير الوحيد للخطوات في Firefox هو ما إذا كانت كلمة المرور الرئيسية قيد الاستخدام. إذا كان الأمر كذلك، فستتم مطالبتك بكلمة المرور هذه بعد النقر فوق إظهار كلمات المرور. بدون كلمة المرور الرئيسية، لا يمكنك عرض بيانات الاعتماد المخزنة.

الآن، دعنا نفحص Safari. فيما يلي خطوات عرض كلمات المرور في متصفح Apple.

  1. افتح Safari.
  2. انقر فوق قائمة Safari في الشريط العلوي، وحدد التفضيلات.
  3. انقر فوق علامة التبويب كلمات المرور.
  4. عند المطالبة، اكتب كلمة المرور الخاصة بك أو استخدم مستشعر بصمة الإصبع (إذا كان متاحًا).
  5. انقر فوق موقع الويب الذي تريد عرضه (الشكل أسفله).
  6. استمتع بكلمة المرور.

من الواضح أن Safari يتمتع بالميزة هنا، فقط لأنه يتطلب استخدام كلمة مرور لعرض بيانات الاعتماد المخزنة. إذا تم تأمين بيانات الاعتماد المخزنة في Firefox بواسطة كلمة مرور رئيسية، فإنها تضع متصفح Mozilla على نفس الأرضية. بقدر ما يتعلق الأمر بـ Chrome، فإن كلمات المرور المحفوظة موجودة ليراها الجميع، غير مقيدة وغير محمية

تلخيص ونصائح حماية وتخزين كلمات المرور

لتلخيص ما توصلنا اليه كنتائج ونصائح لحماية حساباتنا الالكترونية لا تنسى الاخذ بعين الاعتبار هذه الاحتياطات الضرورية:

  1. استعمل كلمة مرور عشوائية وقوية
  2. استعمل كلمات مرور مختلفة لجميع الخدمات
  3. لا تخزن كلمات السر في مكان مكشوف غير آمن أو غير مشفر
  4. قم بتغيير كلمات المرور بكل دوري
  5. استعمل مصادقة متعددة العوامل (Two-factor authentication) سنتحدث عن الموضوع في الشرح المقبل

ما هو مدير كلمات المرور

مدير كلمات المرور هو برنامج كمبيوتر يسمح للمستخدمين بتخزين وإنشاء وإدارة كلمات المرور الخاصة بهم للتطبيقات المحلية والخدمات عبر الإنترنت.

يساعد مدير كلمات المرور في إنشاء واسترداد كلمات المرور المعقدة، وتخزين كلمات المرور هذه في قاعدة بيانات مشفرة أو حسابها عند الطلب.

تشمل أنواع مديري كلمات المرور ما يلي:

  1. تطبيقات البرامج المثبتة محليًا
  2. الخدمات عبر الإنترنت التي يتم الوصول إليها من خلال بوابات الموقع
  3. الأجهزة التي يتم الوصول إليها محليًا والتي تعمل كمفاتيح

اعتمادًا على نوع مدير كلمات المرور المستخدم والوظيفة التي يوفرها مطوروها، يتم تخزين قاعدة البيانات المشفرة محليًا على جهاز المستخدم أو تخزينها عن بُعد من خلال خدمة استضافة الملفات عبر الإنترنت. يطلب مديرو كلمات المرور عادةً من المستخدم إنشاء وتذكر كلمة مرور “رئيسية” واحدة لإلغاء تأمين أي معلومات مخزنة في قواعد البيانات الخاصة بهم والوصول إليها. توفر العديد من تطبيقات إدارة كلمات المرور إمكانات إضافية تعزز الراحة والأمان مثل تخزين معلومات بطاقة الائتمان ومعلومات المسافر الدائم ووظيفة الملء التلقائي.

استعمال مدير كلمات السر

في هذا الشرح سنقترح نوعين، الأول برنامج يثبت على سطح المكتب أو الهاتف ولا يحتاج أي اتصال بالأنترنت وقاعدة البيانات المشفرة تخزن محليا. والثاني يعتمد على تخزين قاعدة البيانات بشكل آمن على الخدمة السحابية.

الفرق فقط في المبدأ وسهولة الاستخدام. وذلك لتلبية رغبات جميع الآراء حول موضوع الحماية والتحكم في البيانات الشخصية.

ولا ننسى ان النسخة للسحابية هي خدمة وتوفر جزء كعرض مدفوع. وقد اخترنا فقط الخدمات والبرامج الحرة والمفتوحة المصدر والموثوق بها والتي تعمل على جميع أنظمة التشغيل، بالإضافة الى المزايا المتنوعة التي توفرها.

نسخة سطح المكتب  (KeePassXC)

كي باس إكس سي (بالإنجليزية: KeePassXC)‏ هو مُدير كلمات مُرور حُر، مفتوح المصدر.تم بنائُه باستخدام إطار عمل كيوت، مما جعله تطبيق متعدد المنصات يمكن تشغيله علي لينكس، ويندوز وماك أو إس.

يستخدم كي باس إكس سي تنسيق قاعدة بيانات كي باس الإصدار الثاني (.kdbx) كتنسيق أساسي. يمكنه أيضًا استيراد الإصدار الثاني وتحويل قواعد بيانات الإصدار الأول القديمة ذات تنسيق (.kdb). يدعم كي باس إكس سي وجود ملف مفتاح (بالإنجليزية: Keyfile)‏ والتشفير باستخدام مفتاح أمان (يوبيكي) لإضافة مزيد من الأمان.

تدعم العديد من البرامج استخدام تنسيق قواعد بيانات (.kdbx) مما يُمْكِّن المُستخدمين من فتح قواعد البيانات عينها عن طريق المنصات الأُخرى مثل أي أو إس واندرويد دون الحاجة إلى جهاز كمبيوتر.

ما يُميز كي باس إكس سي أَنَّهُ مُدير كلمات مُرور محلِّيّ أي انه على عكس البرمجيات الأُخرى لا يعتمد على خدمة سحابيَّة لحفظ كلمات المرور وإنما يحفظها كملف قاعدة بيانات مُعماة ومحلِّيَّة على الحاسب الشخصي، مما يعطي الحرية أيضًا في استخدام خدمة تخزين سحابية خاصة لتسهيل الوصول والتعديل على قاعدة البيانات من عدة أجهزة دون القلق لأن قاعدة البيانات مُعماة بالغعل.

ذكرت مؤسسة الحدود الإلكترونية أنَّ كي باس إكس سي ” مثال على مدير كلمات المرور الحُر ومفتوح المصدر.”

أدرج المجتمع التقني لـ PrivacyTools برنامج كي باس إكس سي ضمن قائمة برامج إدارة كلمات المرور الموصى بها بسبب تطويره النشط والمستمر.

لإنشاء قاعدة بيانات على برنامج KeePassXC ما عليك الا اتباع المراحل التالية:

  1. تحميل البرنامج من الموقع الرسمي او باستخدام مدير الحزم إذا كنت تستخدم GNU/Linux
  2. انشاء قاعدة بيانات جديد بالضغط عل (Create new database)
  3. إعطاء اسم لقاعدة البيانات (Database Name) ووصف (Description)
  4. اختيار مدة فك التشفير(Decryption Time) كلما كانت اكثر كلما زاد الأمان على حساب الانتظار ونسخة قاعدة البيانات (Database format)
  5. ادخل كلمة السر الرئيسية والتي يجب ان تكون جد قويا وتحفظ في مكان جد آمن، وإعادة ادخال الرمز مرة أخرى بإمكانك توليد كلمة السر بشكل آمن بالضغط على (CTRL + G)
  6. لإضافة حماية ثانوية اضغط على (Add additional protection) وذلك لإضافة ملف فك تشفير او مفتاح على شكل عتاد صلب
  7. اختر مكان الحفظ والاسم واحفظ ملف kdbx في مكان جد آمن
  8. نضغط على الملف للفتح وندخل كلمة السر الرئيسية
  9. لإضافة كلمة سر لحسابنا نضغط على (Add a new entry) ونملأ المعطيات ونضغط على (OK) للإضافة

نسخة على الخدمة السحابية  (Bitwarden)

بيتواردن (Bitwarden) هي خدمة إدارة كلمات مرور مجانية ومفتوحة المصدر تخزن معلومات حساسة مثل بيانات اعتماد موقع الويب في قبو مشفر. تقدم منصة Bitwarden مجموعة متنوعة من تطبيقات العميل بما في ذلك واجهة الويب وتطبيقات سطح المكتب وملحقات المستعرض وتطبيقات الجوال وCLI. تقدم Bitwarden خدمة مستضافة على السحابة بالإضافة إلى القدرة على استخدامه محليًا.

لإنشاء قاعدة بيانات على خدمة Bitwarden ما عليك الا اتباع المراحل التالية:

  1. التوجه للموقع الرسمي وانشاء حساب
  2. إعطاء البريد الالكتروني وكلمة السر الرئيسية وإعادة إدخالها مع واختياريا ضع تذكير
  3. تأكيد البريد الالكتروني عبر الرابط الذي ستتوصل به
  4. تسجيل الدخول للخدمة بالبريد الإلكتروني وكلمة السر الرئيسية
  5. لإضافة كلمة سر لحسابنا نضغط على إضافة عنصر جديد (Add item)
  6. ندخل معلومات تسجيل الدخول للحساب ويمكن توليد كلمة سر جديدة قوية
  7. نحفظ التغييرات بالضغط على زر الحفظ (Save)

خاتمة:

الحماية هي الوقاية قبل العلاج. فلا أحد يعلم متى سيتعرض لهجوم غير قانوني يخترق فيح خصوصية الشخص، لكن نحن جميعا الآن نعلم كيف نحمي كلمات المرور والمعلومات السرية الخاصة بنا.

مديري كلمات المرور لديهم عيوبهم ونقاط ضعفهم. ولكن في النهاية، لا يقتصر دور مدير كلمات المرور على حماية معلوماتك القيمة. يجب عليك أيضًا استخدام برنامج مكافحة فيروسات موثوق بها لمنع البرامج الضارة من إصابة جهازك. لا تقلل من أهمية الحفاظ على تحديث برامجك، وأيضا تعلم ثقافة الحماية وعدم تثبيت أو الانسياق للبرامج الخبيثة.