اعترفت العديد من الشركات مؤخرًا بتخزين كلمات المرور بتنسيق نص عادي. يشبه تخزين كلمة مرور في المفكرة وحفظها كملف .txt. يجب أن تكون كلمات المرور مملحة ومجزأة للأمن ، فلماذا لا يحدث ذلك في عام 2019؟
لماذا لا ينبغي تخزين كلمات المرور في نص عادي
عندما تقوم شركة بتخزين كلمات المرور بنص عادي ، يمكن لأي شخص لديه قاعدة بيانات كلمة المرور - أو أي ملف آخر يتم تخزين كلمات المرور فيه - قراءتها. إذا تمكن أحد المتطفلين من الوصول إلى الملف ، فيمكنهم رؤية جميع كلمات المرور.
تخزين كلمات المرور في نص عادي هو ممارسة رهيبة. يجب أن تملأ الشركات كلمات المرور وتقطعها ، وهي طريقة أخرى للقول "إضافة بيانات إضافية إلى كلمة المرور ثم التخليط بطريقة لا يمكن عكسها". عادة ما يعني هذا أنه حتى لو قام شخص ما بسرقة كلمات المرور من قاعدة بيانات ، غير صالحة للاستعمال. عند تسجيل الدخول ، يمكن للشركة التحقق من أن كلمة مرورك تتوافق مع النسخة المخزنة المخزنة - لكنها لا تستطيع "العمل للخلف" من قاعدة البيانات وتحديد كلمة مرورك.
فلماذا تخزن الشركات كلمات المرور في نص عادي؟ لسوء الحظ ، في بعض الأحيان لا تأخذ الشركات الأمن على محمل الجد. أو يختارون حل وسط الأمن باسم الراحة. في حالات أخرى ، تفعل الشركة كل شيء بشكل صحيح عند تخزين كلمة المرور الخاصة بك. لكنها قد تضيف قدرات تسجيل مفرطة ، والتي تسجل كلمات المرور بنص عادي.
العديد من الشركات مخزنة كلمات المرور بشكل غير صحيح
قد تتأثر بالفعل بالممارسات السيئة لأن Robinhood و Google و Facebook و GitHub و Twitter وغيرهم قاموا بتخزين كلمات المرور بنص عادي.
في حالة Google ، كانت الشركة تقوم بتجزئة كلمات المرور وتمليحها بشكل كافٍ لمعظم المستخدمين. لكن كلمات مرور حساب G Suite Enterprise تم تخزينها بنص عادي. قالت الشركة أن هذا كان ممارسة متباعدة من عندما أعطت مسؤولي المجال أدوات لاستعادة كلمات المرور. لو قام Google بتخزين كلمات المرور بشكل صحيح ، لما كان ذلك ممكنًا. تعمل عملية إعادة تعيين كلمة المرور فقط عند استرداد كلمات المرور بشكل صحيح.
عندما اعترف Facebook أيضًا بتخزين كلمات المرور بنص عادي ، لم يعط السبب الدقيق للمشكلة. ولكن يمكنك استنتاج المشكلة من تحديث لاحق:
... اكتشفنا سجلات إضافية لكلمات مرور Instagram التي يتم تخزينها بتنسيق قابل للقراءة.
في بعض الأحيان ، ستبذل الشركة كل ما هو صواب عند تخزين كلمة مرورك في البداية. ثم قم بإضافة ميزات جديدة تسبب مشاكل. بالإضافة إلى Facebook و Robinhood و Github و Twitter ، تم تسجيل كلمات مرور نص عادي بطريق الخطأ.
التسجيل مفيد للعثور على مشاكل في التطبيقات والأجهزة وحتى كود النظام. ولكن إذا لم تختبر الشركة قدرة التسجيل بدقة ، فقد تتسبب في حدوث مشكلات أكثر مما تحل.
في حالة Facebook و Robinhood ، عندما يقوم المستخدمون بتقديم اسم المستخدم وكلمة المرور لتسجيل الدخول ، يمكن لوظيفة التسجيل رؤية وتسجيل أسماء المستخدمين وكلمات المرور أثناء كتابتهم. ثم تخزين تلك السجلات في مكان آخر. أي شخص لديه حق الوصول إلى هذه السجلات لديه كل ما يحتاجه لتولي حساب.
في حالات نادرة ، قد تتجاهل شركة مثل T-Mobile Australia أهمية الأمن ، أحيانًا باسم الراحة. في تبادل Twitter الذي تم حذفه منذ ذلك الحين ، أوضح ممثل T-Mobile للمستخدم أن الشركة تخزن كلمات المرور بنص عادي. يتيح تخزين كلمات المرور بهذه الطريقة لممثلي خدمة العملاء رؤية الأحرف الأربعة الأولى من كلمة المرور لأغراض التأكيد. عندما أشار مستخدمو Twitter الآخرون على نحو ملائم إلى أي مدى سيكون ذلك سيئًا إذا قام شخص ما باختراق خوادم الشركة ، فأجاب الممثل:
ماذا لو لم يحدث هذا لأن أمننا جيد بشكل مثير للدهشة؟
قامت الشركة بحذف هذه التغريدات وأعلنت لاحقًا أن جميع كلمات المرور سيتم تمليحها وتجزئتها قريبًا .لكن لم يمض وقت طويل قبل أن ينتهك شخص ما أنظمته . قال T-Mobile أن كلمات المرور المسروقة كانت مشفرة ، لكن هذا ليس جيدًا مثل تجزئة كلمات المرور.
كيف يجب على الشركات تخزين كلمات المرور؟
يجب على الشركات عدم تخزين كلمات مرور النص العادي أبدًا. بدلاً من ذلك ، يجب أن تكون كلمات المرورمملحة ، ثم يتم تجزئتها . من المهم معرفة ماهية التمليح ، والفرق بين التشفير والتجزئة .
يضيف التمليح نصًا إضافيًا إلى كلمة المرور الخاصة بك
كلمات سر التمليح هي مفهوم مستقيم للأمام. تضيف العملية بشكل أساسي نصًا إضافيًا إلى كلمة المرور التي قدمتها.
فكر في الأمر مثل إضافة أرقام وأحرف إلى نهاية كلمة المرور العادية. بدلاً من استخدام "كلمة المرور" لكلمة المرور الخاصة بك ، يمكنك كتابة "Password123" (يرجى عدم استخدام أيٍّ من كلمات المرور هذه مطلقًا). التمليح مفهوم مشابه: قبل أن يقوم النظام بتجميع كلمة المرور الخاصة بك ، فإنه يضيف نصًا إضافيًا إليها.
لذلك حتى لو اقتحم أحد المتطفلين قاعدة بيانات وسرق بيانات المستخدم ، فسيكون من الصعب للغاية التحقق من كلمة المرور الحقيقية. لن يعرف المتسلل أي جزء هو الملح وأي جزء هو كلمة المرور.
لا ينبغي على الشركات إعادة استخدام البيانات المملحة من كلمة المرور إلى كلمة المرور. خلاف ذلك ، يمكن سرقته أو كسره وبالتالي جعله عديم الفائدة. كما أن البيانات المملحة المتنوعة بشكل مناسب تمنع التصادم (المزيد حول ذلك لاحقًا).
التشفير ليس الخيار المناسب لكلمات المرور
الخطوة التالية لتخزين كلمة المرور الخاصة بك بشكل صحيح هي تجزئة ذلك. لا ينبغي الخلط بين التجزئة مع التشفير.
عند تشفير البيانات ، تقوم بتحويلها قليلاً بناءً على مفتاح ما. إذا كان شخص ما يعرف المفتاح ، فيمكنه تغيير البيانات مرة أخرى. إذا كنت قد لعبت مع عصابة فك التشفير التي أخبرك "A = C" ثم قمت بتشفير البيانات. مع العلم أن "A = C" ، يمكنك بعد ذلك معرفة تلك الرسالة كانت مجرد إعلان Ovaltine.
إذا اقتحم أحد المتطفلين نظامًا به بيانات مشفرة وتمكّن من سرقة مفتاح التشفير أيضًا ، فقد تكون كلمات مرورك أيضًا نصًا عاديًا.
تجزئة يحول كلمة المرور الخاصة بك إلى رطانة
تحول كلمة المرور بشكل أساسي يحول كلمة المرور الخاصة بك إلى سلسلة من النص غير المفهوم. أي شخص ينظر إلى التجزئة سوف يرى رطانة. إذا كنت تستخدم "Password123" ، فقد يتسبب التجزئة في تغيير البيانات إلى "873kldk # 49lkdfld # 1.". يجب أن تقوم الشركة بتجزئة كلمة المرور الخاصة بك قبل تخزينها في أي مكان ، وبهذه الطريقة لن يكون لديها سجل بكلمة المرور الفعلية.
تجعل طبيعة التجزئة هذه طريقة أفضل لتخزين كلمة مرورك بدلاً من التشفير. بينما يمكنك فك تشفير البيانات المشفرة ، لا يمكنك "إلغاء" البيانات. لذلك إذا اقتحم أحد المتطفلين قاعدة بيانات ، فلن يعثروا على مفتاح لإلغاء تأمين بيانات التجزئة.
بدلاً من ذلك ، سيتعين عليهم القيام بما تفعله الشركة عند إرسال كلمة المرور الخاصة بك. ملح كلمة تخمين (إذا كان المتسلل يعرف الملح المطلوب استخدامه) ، فعليك تجزئته ، ثم قارنه بالتجزئة الموجودة في الملف لمطابقة. عندما ترسل كلمة مرورك إلى Google أو البنك الذي تتعامل معه ، فإنهم يتبعون نفس الخطوات. قد تأخذ بعض الشركات ، مثل Facebook ، "تخمينات" إضافية لحساب الخطأ المطبعي .
الجانب السلبي الرئيسي للتجزئة هو ، إذا كان لدى شخصين نفس كلمة المرور ، فسوف ينتهي بهما الأمر إلى التجزئة. وتسمى هذه النتيجة تصادم. هذا سبب آخر لإضافة الملح الذي يتغير من كلمة المرور إلى كلمة المرور. لن تحتوي كلمة المرور المملحة والمجزأة بشكل كاف على أية مطابقات.
قد يخترق المتسللون في النهاية بيانات التجزئة ، لكنها في الغالب لعبة لاختبار كل كلمة مرور يمكن تصورها والأمل في الحصول على تطابق. لا تزال العملية تستغرق وقتًا ، مما يمنحك الوقت لحماية نفسك.
ما يمكنك القيام به للحماية من خرق البيانات
لا يمكنك منع الشركات من التعامل بشكل غير صحيح مع كلمات المرور الخاصة بك. ولسوء الحظ ، إنه أكثر شيوعًا مما ينبغي. حتى عندما تقوم الشركات بتخزين كلمة مرورك بشكل صحيح ، فقد يخترق المتسللون أنظمة الشركة وسرقة بيانات التجزئة.
بالنظر إلى هذا الواقع ، يجب ألا تعيد استخدام كلمات المرور مطلقًا. بدلاً من ذلك ، يجب عليك تقديم كلمة مرور معقدة مختلفة لكل خدمة تستخدمها. بهذه الطريقة ، حتى إذا عثر المهاجم على كلمة المرور الخاصة بك على موقع واحد ، فلن يتمكنوا من استخدامها لتسجيل الدخول إلى حساباتك على مواقع الويب الأخرى. تعد كلمات المرور المعقدة مهمة بشكل لا يصدق لأنه كلما كان من السهل تخمين كلمة مرورك ، كلما تمكّن المتسلل من اختراق عملية التجزئة. بجعل كلمة المرور أكثر تعقيدًا ، فأنت تقوم بشراء الوقت لتقليل الضرر.
استخدام كلمات مرور فريدة يقلل أيضًا من هذا الضرر. على الأكثر ، سوف يتمكن المتسلل من الوصول إلى حساب واحد ، ويمكنك تغيير كلمة مرور واحدة بسهولة أكبر من العشرات. يصعب تذكر كلمات المرور المعقدة ، لذلك نوصي باستخدام مدير كلمات المرور . يقوم مديرو كلمات المرور بإنشاء وتذكر كلمات المرور الخاصة بك ، ويمكنك ضبطها لاتباع قواعد كلمة المرور الخاصة بأي موقع تقريبًا.
يقدم البعض ، مثل LastPass و 1Password ، خدمات تتحقق مما إذا كانت كلمات المرور الحالية قد تعرضت للاختراق.
خيار جيد آخر هو تمكين المصادقة من خطوتين . بهذه الطريقة ، حتى لو قام أحد المتطفلين باختراق كلمة المرور الخاصة بك ، فقد لا يزال بإمكانك منع الوصول غير المصرح به إلى حساباتك.
بينما لا يمكنك منع أي شركة من التعامل مع كلمات المرور الخاصة بك ، يمكنك تقليل التداعيات عن طريق تأمين كلمات المرور والحسابات الخاصة بك بشكل صحيح.