الباحثون العراقيون Iraqi Researchers
كلماتُ السرِ سيئةٌ؛ إنها صعبةُ التذكر، ونحن نملك الملايين منها، ويجب عليها أَلّا تكون سهلةً أو يمكن تذكرها بسرعةٍ – مثل إسم قطتك (Sorry Furball1).
وما يزيدُ الطين بلةً؛ حين يحصل إختراقٌ كبيرٌ لبيانات الشركات التي نأتمنها على بطاقات إعتمادنا فإن أسمائنا وكلمات سرنا يمكن أن تكون مكشوفةً تمامًا. ولكن لحسن الحظ هنالك طريقة بسيطة لمعرفة فيما إذا كانت بياناتك قد كشفت أم لا.
تروي هانت (Troy Hunt) باحثٌ إسترالي في أمنية المعلومات وصاحب موقع HIBP وهو موقعٌ يتيح للعامة معرفة فيما إذا كانت عناوين بريدهم الإلكتروني وأسمائهم منخرطةً في أكبر عمليات إختراقٍ للبيانات. متضمنة شركات مثل الدروب بوكس (Dropbox)، وأدوب (Adobe)، و لينكد ان (Linkedln)، و MySpace ومئات المواقع الأخرى للأسف.
في الوقت الحالي.. إقترب هانت من نفس المشكلة ولكن من منظورٍ معاكسٍ مخترعًا أداة جديدة تدعى Pwned Passwords والّتي تعمل على المبدأ ذاته أعلاه. ولكن هذهِ الأداة تمكنك من إدخال كلمات سرّك لمعرفة فيما إذا كانت قد تسربت في عمليات الإختراق المذكورة آنفًا.
هنالك ما يقرب حوالي 320 مليون كلمة سر مخزونة في قاعدة البيانات هذه وإذا كنت تعتقد بأن جمع هذا العدد من كلمات السر في مكان واحد قد يكون أمرًا لا مسؤولًا.. حسنًا، هنالك بعض الأمور التي يجب أن تؤخذ بعين الإعتبار:
أولًا: كلمات المرور التي يتم تخزينها هنا لاتقترن جنبًا إلى جنب مع عناوين البريد الإلكتروني وأسماء المستخدمين، لذا في حال إذا كان أي شخص لايزال يستخدم كلمات المرور المكشوفة هذه فقوائمهم المجهولة المصدر لن تجعل الأمر أسهل على القراصنة.
ثانيًا: إن فكرة هانت بإستخدام موقع Pwned Passwords هي للفت الإنتباه حول مشكلة الكم الهائل من كلمات السر المكشوفة لدى المخترقين حتى الآن، وذلك بالسماح للناس بمعرفة فيما إذا كانت كلمة سرهم مكشوفةً في عالم الإنترنت العميق السيء.
مرة أخرى، إن كلمات السر هذه قد إنكشفت بالفعل -منذ مدة طويلة- لذا دعونا نأمل بأن المستخدمين قد غيروا كلمات سرهم الآن.
أما بالنسبة لـ Pwned Passwords فهنالك طريقتين لإستخدامه:
بإستخدام أداة البحث على الموقع ذاته، أو بتحميل القائمة الكاملة للـ 320 مليون كلمة سر مكشوفة والتي تم تخزينها عبر ثلاث ملفات نصية (مع وجوب ملاحظة أنك تنظر الى 5GB ككل، لكون هذه القائمة قد تكون طويلةً جدًا).
قبل أن نذهب أبعد من ذلك، نرى إن هانت يحذر في مدونته قائلًا “لا أعتقد إنني بحاجةٍ لإخبارك ولكن يجب عليك ألَّا تدخل كلمة سرك الحالية في مواقع خدمات الطرف الثالث كهذا الموقع! أنا لا أقوم بسرقة كلمات السر الخاصة بك كما وأنني رجلٌ جدير بالثقة ولكن.. لا تفعل!” وذلك لتعارض هذا مع مبدأ عدم مشاركة كلمات المرور أو توزيعها مطلقًا حتى لو كان ذلك بإستخدام موقع ويب تم إعداده من قبل باحث أمن محترف مثل Pwned Password.
مايعنيه هذا هو أنه إذا كنت تريد معرفة إذا كانت أي من كلمات السر الحالية الخاصة بك قد كُشِفَتْ، يجب عليك تحميل القائمة بأكملها والبحث من خلالها وذلك عبر جهازك الخاص والآمن. إنها خطوةٌ إضافيةٌ من المتاعب، بالتأكيد..! لكن الأمر يستحق العناء، وبالإضافة لذلك فإن الأمر لايزال شيئًا بسيطًا جدًا للقيام به.
لمزيد من الأمن -ولحماية أي شخص لايزال يستخدم كلمات السر المسربة هذه- تم تشفير كلمات المرور في ملفات القائمة بإستخدام SHA-1 hashes، لذلك سوف تحتاج إلى توليد تجزئة خاصة بك قبل أن تبحث عنها في القائمة (تعليمات توليد SHA-1 hashes يمكن العثور عليها بسهولةٍ في الإنترنت).
لحسن الحظ.. أيَّاً كانت الطريقة التي تختارها لإستخدام هذه الخدمة، لن تجد أي تسريبٍ لكلمات السر الخاصة بك.
ولكن إن كانت قد تسربت؛ الآن هو الوقت المناسب لتغييرها وإذا لم تكن قد غيرتها بالفعل، يجب عليك حقًا النظر في إستخدام مدير كلمات السر لتخزين وتوليد كلمات السر الخاصة بك.
لمزيد من المعلومات حول كيفية تحقيق أقصى إستفادة من موقع Pwned Passwords، راجع التعليمات الموجودة على الموقع، وإحرص على قراءة مشاركات هانت في المدونة الخاصة به وهو يقوم بشرح الخدمة.
وأخيرًا.. ملاحظة سريعة، على ميزة البحث هذه يقول هانت: “غياب الأدلة ليس دليلًا على الغياب”.
أو بعبارةٍ أخرى إذا كان البحث في الخدمة لا يذكر أي من كلمات السر الخاصة بك، وهذا خبرٌ سارٌ بالتأكيد ولكن هذا لايعني بالضرورة عدم تسريب كلمة المرور الخاصة بك -قد تكون مُسربة في مرحلةٍ سابقةٍ غير مُضَمنة في قاعدة البيانات الحالية.
فَلتبقوا متيقظين ياأصحاب!
ترجمة: Abd-Aljaleel Thamer
تدقيق لغوي: Aya Sameer
