كيف تجد السعادة في عالم من الجنون بكلمة سر

في أوائل شهر أغسطس ، Wired مراسلًا ، كان Mat Honan أكثر كلمات المرور التي تم اختراقها عبر سلسلة معقدة من مآثر الهندسة الاجتماعية. وتصدّر الخرق العناوين الرئيسية لأنها كشفت عن عيوب أمنية في سياسات خدمة عملاء Apple و Amazon ؛ ولكن دعونا لا ننسى أن ملحمة هونان توجت صيفًا كاملاً مليئًا بغزوات الخادم التي عرضت ملايين كلمات مرور المستخدمين بشكل جماعي.

في يونيو ، سرق المتسللون نحو 6.5 مليون من كلمات مرور LinkedIn ونشرها على الإنترنت. في نفس الشهر ، دخل المتسللون نحو 1.5 مليون كلمة مرور من eHarmony في خرق أمني ، وفي يوليو قام المتسللون بسحب 450.000 كلمة مرور لـ Yahoo Voice. من بين أكثر كلمات المرور الشائعة المستخدمة من قبل أعضاء Yahoo: "123456" و "welcome" وكلمة المرور "الشائعة".

المشكلة الأساسية ليست أن هذه المواقع كان يجب أن تقوم بعمل أفضل لحماية بيانات المستخدم (على الرغم من أنها يجب أن يكون). ولا يعني ذلك أن المستخدمين اختاروا كلمات المرور التي كانت سهلة للغاية للتكسير ثم أعادوا تدوير كلمات المرور ذاتها في كل موقع قاموا بالتسجيل فيه (على الرغم من أنهم فعلوا ذلك.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

تكمن المشكلة في أن كلمات المرور أصبحت أدوات ذاتية الهزيمة ، وغالبًا ما تكون عاجزة في المخطط الكبير للأمن الرقمي. نحن بحاجة إلى الكثير منها ، والأصعب منها صعب التذكر.

"لاستخدام شبكة الإنترنت هذه الأيام ، يجب أن يكون لديك عشرات كلمات المرور وتسجيلات الدخول" ، كما يقول تيري هارتمان ، نائب رئيس الحلول الأمنية العالمية لشركة Unisys.. "في كل مرة تعود فيها إلى موقع ما ، يبدو وكأنه قد أدخل قواعد جديدة لجعل كلمات المرور أكثر تعقيدًا. في نهاية المطاف ، يعود المستخدمون إلى استخدام كلمة مرور واحدة لكل شيء. "

باختصار: نظام كلمة المرور معطل. جميع كلمات المرور التي تم اختراقها في LinkedIn و eHarmony و Yahoo exploits كانت "مجزأة" ، وهذا هو ، تم استبدال كلمات المرور الفعلية مع رمز تم إنشاؤه خوارزمي. هذا يحول كلمات المرور المخزنة على خوادم (وسرقت من قبل المتسللين) إلى gobbledygook الأبجدية الرقمية. ومع ذلك ، إذا كانت كلمة المرور الخاصة بك بسيطة مثل ، على سبيل المثال ، "officepc" ، يمكن للهاكر أن يكسرها بسهولة حتى في الشكل المجزأ باستخدام القوة الغاشمة أو جدول قوس قزح.

ولكن كل ذلك لا يضيع. كلمات المرور المعقدة المزروعة بالأرقام والحروف الخاصة (ولا تحمل أي تشابه لاسم أو كلمة حقيقية) تمنحك فرصة قتال ضد المتسللين ، ويمكنك تخزين هذه الرموز في تطبيق إدارة كلمات المرور مفيد. وفي الوقت نفسه ، تقوم مواقع الويب بالمزيد من أجل تعزيز الأمن في نهايتها ، الأمر الذي يتطلب مصادقة متعددة العوامل ، ويبدو كما لو أن تكنولوجيا القياسات الحيوية ستستخدم قريبًا في أمان السوق الشامل.

لن تختفي مشكلة كلمة المرور ومع ذلك ، سيتعين علينا في الوقت الحالي الاعتماد على التطبيقات والخدمات والتقنيات الناشئة الموضحة أدناه للبقاء خطوة واحدة للأشرار.

Password vaults

برامج إدارة كلمة المرور تشبه فلاتر البريد المزعج ولكن أدوات أساسية لإدارة حياتك الرقمية. يتذكر مدير كلمات المرور الجيد جميع عمليات تسجيل الدخول الخاصة بك ، ويحل محل كلمات المرور البسيطة التي تختارها مع تلك المعقدة ، ويتيح لك تغيير كلمات المرور هذه بسرعة إذا تم اختراق الموقع أو الخدمة التي تستخدمها.

أفضل جزء: بدلاً من الاضطرار إلى تذكر العشرات من كلمات المرور الفريدة ، عليك فقط أن تتذكر واحدة: كلمة المرور الرئيسية لقبوتك. وما لم تقم بتسجيل الدخول من نفس الجهاز ونفس المستعرض (في هذه الحالة ربما كنت تقرأ هذا على اتصال طلب الاتصال الهاتفي AOL) ، ستحتاج إلى برنامج قائم على السحابة مثل LastPass أو 1Password أو Roboform التي يمكن تطبيقها تسجيل الدخول إلى أي جهاز كمبيوتر أو هاتف أو جهاز لوحي تستخدمه.

الجانب السلبي: لا يزال عليك تذكر كلمة المرور الرئيسية الخاصة بك ، ويجب أن تكون كلمة مرور جيدة ، مليئة بمزيج من الأرقام والأحرف الكبيرة والصغيرة ، والأحرف الخاصة مثل علامات الاستفهام ونقاط التعجب.

بالطبع ، سيتمكن أحد المهاجمين الذين يديرون جهاز keylogger في النظام الخاص بك من كشف كلمة المرور الخاصة بك أثناء كتابتها ، كما يقول روبرت سيسيليانو ، وهو خبير أمني عبر الإنترنت لشركة McAfee يستخدم خزنة كلمة مرور لتخزين أكثر من 700 تسجيل دخول. وبالمثل ، إذا قام المحتالون باختراق كلمة مرور على أساس سحابة ، كما حدث لـ LastPass في مايو 2011 ، فقد تكون اللعبة قد انتهت. لحسن حظ عملاء LastPass ، لم يتم اختراق أي معلومات حساسة في هجوم 2011 ؛ ولكن في المرة القادمة التي يحدث فيها تدخل ناجح (وهذا سيحدث لبعض الشركات الأمنية في مكان ما لا مفر منه) ، قد لا يكون المستخدمون محظوظين للغاية.

الخط السفلي: خزائن إدارة كلمة المرور تقدم قيمة هائلة ، وهي أدوات أساسية لكل من قيم الأمان الرقمي.

المصادقة متعددة العوامل

كلمات المرور المعقدة المخزنة في قبو مشفر ليست سوى خطوة أولى. تعتمد بعض المواقع على مستوى ثانٍ من الأمان لتحديد المستخدمين - وهي عادةً قطعة من الأجهزة التي لا يملكها سوى المستخدم الصحيح. بهذه الطريقة ، حتى المهاجم الذي يعرف كلمة المرور الخاصة بك سوف يحتاج إلى الوصول إلى ، على سبيل المثال ، هاتفك أو حاسوبك من أجل سرقة بياناتك.

يتطلب القانون من المؤسسات المالية استخدام عوامل متعددة عند التعامل مع المعاملات عبر الإنترنت ، ولكن قد تفعل ذلك في الخلفية من خلال مصادقة الجهاز الخاص بك أو موقعه ، يقول Siciliano. لذا ، على سبيل المثال ، إذا كنت تعيش في سان فرانسيسكو وكان شخص ما في شنغهاي يحاول الوصول إلى حسابك المصرفي ، فقد يتم حظر هذه المعاملة ، أو قد يُطلب من ذلك الشخص تقديم مصادقة إضافية عن طريق إدخال رقم تم إرساله إلى جهاز تم توفيره من خلال البنك.

توفر كل من Google و Facebook الآن مصادقة ثنائية: يمكنك جعلهم يرسلون رقم تعريف شخصي مؤقتًا إلى هاتفك الخلوي عندما تسجل دخولك من جهاز غير مألوف (يجب توفير رقم التعريف الشخصي هذا إلى جانب كلمة المرور الخاصة بك في المرة الأولى التي تحاول فيها تسجيل الدخول عبر هذا الجهاز الجديد). كان من شأن هذا الفشل أن يمنع جميع المصاعب التي عانى منها مات هونان في الشهر الماضي.

يضمن نظام المصادقة المكون من جزأين من Google مستوى أعلى من الأمان ، لكن العديد من المستخدمين يجدونه مملًا في الممارسة الواقعية.

للأسف ، مع ذلك ، جانبا من البنوك وحفنة من المواقع الإلكترونية رفيعة المستوى ، فإن معظم الأماكن عبر الإنترنت لا تقدم ببساطة مصادقة متعددة العوامل لأنها ليست مريحة للغاية ، والغالبية العظمى من مستخدمي الإنترنت على استعداد لتداول الأوراق المالية لعمليات تسجيل الدخول الخالية من المتاعب. يقول صقليانو: «المصادقة الثنائية لا تجتاز اختبار الجدة دائمًا. "وهذا يعني المزيد من مكالمات الدعم والمزيد من عمليات إعادة تعيين كلمة المرور وتكاليف أعلى. هذا هو السبب في أنها تستخدم عادة فقط من قبل الشركات التي لديها الكثير لتخسره. "

القياسات الحيوية

جمال القياسات الحيوية هو أنه ليس عليك أن تتذكر أي شيء على الإطلاق ، ناهيك عن كلمة مرور معقدة. بدلاً من ذلك ، يقوم نظام الأمان البيومتري بالتحكم في الخصائص الفريدة للتغليف الفيزيائي الخاص بك لتوثيق هويتك.

يمكن للأنظمة البيومترية مسح بصمات الأصابع والقزحيات والوجوه وحتى الأصوات لتحديد ما إذا كان يجب على الشخص الوصول إلى خدمة أو قطعة من الأجهزة. لم يتم نشرها بعد في الخدمات السحابية الرئيسية ، لكن تيري هارتمان من يونيسيز يقول إن البنوك الكبرى تجرب الآن أنظمة تحديد الهوية البيومترية ، وتتوقع أن تبدأ في العام المقبل. يشير اقتناء شركة Apple مؤخراً بمبلغ 360 مليون دولار لشركة AuthenTec ، وهي شركة لتصنيع تقنية المسح الضوئي لبصمات الأصابع ، إلى أن بعض أشكال التعرف على الهوية الحيوية يمكن أن تبنى في منتجات Apple المستقبلية.

يتوفر الأمان البيومترى البدائي بالفعل على العديد من أجهزة الكمبيوتر الدفترية.

Biometrics are not الكمال ، ومع ذلك. أجرى الباحثون بحثًا عن ماسحات بصمات الأصابع باستخدام أصابع الجيلاتين ، وقد خدعوا أنظمة التعرف على الوجه باستخدام الصور الفوتوغرافية. في مؤتمر BlackHat الأخير في يوليو الماضي ، أظهر باحثون أمنيون طريقة لخداع ماسحات ضوئية عن طريق عكس هندسة بيانات الصورة.

وبطبيعة الحال ، يمكن للقراصنة استهداف البيانات البيومترية المخزنة في قاعدة بيانات مركزية ، وسرقة الهويات عن طريق استبدال البيانات البيومترية الخاصة بهم بدلا من ضحاياهم. وكما هو الحال مع كلمات المرور والمعلومات الشخصية الأخرى ، فإن مستوى الحماية الذي يوفره الأمن البيومتري سيعتمد كليًا على كفاءة كل من يخزن البيانات (كلنا نعرف مدى جودة العمل في LinkedIn).

إن طلب القياسات الحيوية عند تسجيل الدخول قد يجعل أيضًا عدم الكشف عن هويته صعبة (إن لم يكن مستحيلا) للمعارضين السياسيين ، والمبلغين عن المخالفات ، والأشخاص الذين يسكنون هويات متعددة لأسباب شخصية أو مهنية. المخاوف بشأن

تقرير الأقلية

يمكن أن تؤدي المراقبة الحكومية على النمط الحكومي إلى توقف العديد من المستهلكين. على الرغم من كل هذا ، جوزيف بريتيكين ، مدير تسويق المنتجات في شركة AOptix Technologies ، وهي شركة لتصنيع ماسحات قزحية العين المنتشرة في المطارات والمعابر الحدودية ويتوقع أن تكون الهواتف الذكية التي تستخدم القياسات الحيوية أحد أجهزة تحديد الهوية الرئيسية للمستقبل ، ويرجع ذلك جزئيًا إلى أنه يمكن تخزين البيانات بأمان على الجهاز نفسه. "سيكون مزيجًا من شيء أكون وشيء لدي ، على الأرجح الهاتف الذكي ، "يقول Pritikin. "سيكون من الصعب اختراق التشفير القائم على الأجهزة."

معرف واحد لحكمهم جميعًا

في نهاية المطاف ، الحل المثالي لكلمة مرور كلمة المرور هو توحيد جميع عمليات تسجيل الدخول والهويات عبر الإنترنت. ادخل إلى إدارة أوباما ، التي أطلقت في أبريل 2011 مبادرة بين القطاعين العام والخاص ، وهي الاستراتيجية الوطنية للهويات الموثوقة في الفضاء السيبراني ، من أجل تطوير نظام إيكولوجي خاص بالهوية يتيح للمستهلكين استخدام أي نظام تحقق والعمل على نحو سلس عبر أي موقع.

سيكون هذا النظام قادراً على التحقق من أنك تبلغ من العمر ما يكفي لشراء النبيذ عبر الإنترنت أو أنك مؤهل للحصول على خصم للطلاب ، دون الحاجة بالضرورة إلى مشاركة جميع معلوماتك الشخصية مع كل موقع ، كما يقول جيم فينتون ، كبير خبراء الأمن في OneID ، نظام إدارة هوية الإنترنت. سيسمح لك النظام أيضًا بالعمل تحت اسم مستعار ، إذا كنت ترغب في ذلك.

لكن عجلات الحكومة تتجه ببطء. في الشهر الماضي ، عقدت اللجنة التوجيهية لـ NTSIC اجتماعها الأول. من بين القضايا التي سيتعين معالجتها في نهاية المطاف هي مقدار المعلومات التي يجب أن يتم تبادلها بين الأطراف ، ومدى سيطرة المستهلكين على هذه المعلومات ، كما يقول فنتون ، وهو عضو في مجموعة خصوصية لجنة التوجيه.

وبعبارة أخرى: Help في الطريق ، لكنه لن يصل إلى هنا قريبًا. في الوقت الحالي ، نحن ملتزمون بكلمات المرور. قم بإنشاء بعض الأشياء الجيدة ، وتأكد من أنها تحت قفل ومفتاح.