بعد أن انقشع غبار الأخبار والتصريحات الصحفية والسبق الصحفي، ربما الوقت أصبح مناسباً للتحدث بشكل تحليلي و متأني عن اختراق برنامج إدارة كلمات السر LastPass، و فهم الموضوع بشكل جذري، حتى يمكننا حماية أنفسنا بشكل أفضل بالمستقبل.
جاهزين؟
جاهزين؟
بداية الموضوع ماهي برامج إدارة كلمات السر؟ هي برامج تعمل بفكرة "قطها براس عالم واطلع سالم" بس بطريقة تقنية. بدل من أن تتعب نفسك بحفظ الكثير من كلمات السر (امر صعب) او جعلها مكررة وسهلة الحفظ (امر خطير)، لم لا تستخدم برنامج يحفظها لك، كأنه أمين سر إلكتروني لك؟
لكن هنا تناقض:
لكن هنا تناقض:
الآن أصبح لازم انك تحفظ كلمة السر الخاصة ببرنامج إدارة كلمات السر، مع ان مشكلتك الاصلية كانت حفظ كلمات السر.
وفيه مشكلة ثانية: ليش أثق ببرنامج حفظ كلمة السر أصلا؟ إذا وضعت فيه كلمات السر أصبحت مثل اللي يضع البيض بسلة وحدة.
هل هذه التساؤلات صحيحة؟
وفيه مشكلة ثانية: ليش أثق ببرنامج حفظ كلمة السر أصلا؟ إذا وضعت فيه كلمات السر أصبحت مثل اللي يضع البيض بسلة وحدة.
هل هذه التساؤلات صحيحة؟
نعم صحيحة، وبرامج إدارة كلمات السر فعلاً خطيرة ⛔ و فعلاً قد تكون سلة فيها كل البيض والحلال، وهذه المخاطرة ليست بالسهلة...
.... لكنها أفضل من استخدام كلمات سر مكررة او سهلة التخمين (كلمة سر وحدة لكل المواقع، كلمة سر مبنية على معلومة معروفة عنك، كلمة سر ممكن تنساها بسهولة).
.... لكنها أفضل من استخدام كلمات سر مكررة او سهلة التخمين (كلمة سر وحدة لكل المواقع، كلمة سر مبنية على معلومة معروفة عنك، كلمة سر ممكن تنساها بسهولة).
ولذلك فهي ليست "حل" أمني بمعنى يحل مشكلة معينة، هي فقط تخفيف لكارثة التعامل الخاطئ مع كلمات السر.
يبقى هناك دور تقوم به انت ودور يقوم به برنامج كلمات السر، وهني يبين معانا فشل برنامج LastPass.
انت مطلوب منك: استخدام كلمة سر محترمة وصعبة التخمين للبرنامج، لأنه بوابة الكنز
يبقى هناك دور تقوم به انت ودور يقوم به برنامج كلمات السر، وهني يبين معانا فشل برنامج LastPass.
انت مطلوب منك: استخدام كلمة سر محترمة وصعبة التخمين للبرنامج، لأنه بوابة الكنز
وهو مطلوب منه أن يستخدم كلمة السر مالتك (المفروض تكون قوية) علشان يصنع منها مفتاح تشفير يشفر فيه بقية كلمات السر المحفوظة داخله.
وهذا سر ميزة البرامج هذي:
هو لا يعرف باسورداتك أصلا، ولو اخترقوا سيرفرات البرنامج يفترض ان يجدوا كل شي مشفر (مثل خاصية تشفير محادثات signal و غيره)
وهذا سر ميزة البرامج هذي:
هو لا يعرف باسورداتك أصلا، ولو اخترقوا سيرفرات البرنامج يفترض ان يجدوا كل شي مشفر (مثل خاصية تشفير محادثات signal و غيره)
برامج كلمات السر الحديثة أصلا مبنية على أساس أنها آمنة حتى لو كان سيرفر البرنامج مفتوح و "وكالة من دون بواب" لأنه فقط مخزن لحفظ كلمات سر مشفرة مسبقا أصلا بكلمات سر لا يعرفها إلا أصحابها.
الفكرة من التشفير هو انك مفروض تقدر تنشر النص المشفر للعالم كله ولا تبالي، لأن محد يقدر يفكه
الفكرة من التشفير هو انك مفروض تقدر تنشر النص المشفر للعالم كله ولا تبالي، لأن محد يقدر يفكه
نعم، الطبيعي بطريقة بناء برامج كلمات السر هو أنها مبنية على هذا النموذج من الأخطار بالأساس، أنها محصنة تلقائياً من اختراق قواعد بياناتها، لأن قواعد البيانات لكل يوزر مشفرة بباسورد اليوزر.
وهذا السبب فيه إنه ماله معنى انك تخاف من برنامج إدارة كلمات سر اذا فيه تخزين بالكلاود.
وهذا السبب فيه إنه ماله معنى انك تخاف من برنامج إدارة كلمات سر اذا فيه تخزين بالكلاود.
أصلاً، ماله معنى تستخدم برنامج إدارة كلمة سر محلي (ماله تخزين بالكلاود)، لأنك تقدر تستخدم جهازك التقليدي لحفظ كلمات السر بأي ملف دام جهازك باسورده قوية ومحدث، او تستخدم ملف اكسل مشفر لحفظ كلمات السر.
الميزة من برامج إدارة كلمات السر هي التزامن sync بين كل أجهزتك.
الميزة من برامج إدارة كلمات السر هي التزامن sync بين كل أجهزتك.
تحميل برنامج إدارة كلمة سر محلي محمي بباسورد لا يختلف أبدا عن وضع ملف excel مشفر الا بمميزات جمالية وتسهيلات مني مناك مثل الربط بالمتصفح وغيره.
استخدم برامج كلمات سر مربوطة بالكلاود وانت مرتاح دام كلمة السر مالتك له قوية.
طيب ليش LastPass صارت فيه هالمشكلة؟
استخدم برامج كلمات سر مربوطة بالكلاود وانت مرتاح دام كلمة السر مالتك له قوية.
طيب ليش LastPass صارت فيه هالمشكلة؟
الاختراق مال LastPass اول شي تم تهويله بشكل مبالغ فيه.
مستخدمي البرنامج نوعين:
1- نوع يستخدم باسورد للبرنامج طايح حظها، وهذا مستخدم اللوم والخطأ عليه لأنه هو اللي ما استخدمه بشكل صحيح، مثل اللي اشترى فيراري ويطعس فيها 🤦🏻.
2- نوع مستخدم قديم للبرنامج من ايام ما كان تشفيره اضعف
مستخدمي البرنامج نوعين:
1- نوع يستخدم باسورد للبرنامج طايح حظها، وهذا مستخدم اللوم والخطأ عليه لأنه هو اللي ما استخدمه بشكل صحيح، مثل اللي اشترى فيراري ويطعس فيها 🤦🏻.
2- نوع مستخدم قديم للبرنامج من ايام ما كان تشفيره اضعف
النوع الأول ذنبه على جنبه، اما النوع الثاني فهو لا يزال آمن اذا كانت باسورده قوية (مثلا +20 حرف)، لكن وضعه أضعف شوي مقارنة مع النسخ الحديثة للبرنامج.
البرنامج طريقة عمله ياخذ hash من الباسورد كمفتاح لعملية تشفير يكررها آلاف المرات، قديماً كان يكررها 5000 مرة والحين 100000 مرة
البرنامج طريقة عمله ياخذ hash من الباسورد كمفتاح لعملية تشفير يكررها آلاف المرات، قديماً كان يكررها 5000 مرة والحين 100000 مرة
عدد مرات تشفيرها على نفسها ما يفيد اذا باسوردك 12345،حتى لو تشفر مليون مرة، وأيضا ما يضرك لو كان التشفير بدورة وحدة فقط إذا كانت باسوردك قوية جدا. هي فقط احتياطات أمنية لتصعيب العملية على كلمات السر العادية.
لذلك أغلب حسابات LastPass اللي باسورداتها طويلة و زينة راح تتم آمنة
لذلك أغلب حسابات LastPass اللي باسورداتها طويلة و زينة راح تتم آمنة
أكبر مشكلة تواجه LastPass هو امر آخر:
وهي ان مو كل شي محفوظ بالبرنامج كان مشفر!! كلمات السر كانت مشفرة (مشفرة بكلمة السر الرئيسية)، لكن هناك بعض الحقول مثل عناوين الانترنت URLs غير مشفرة وهذي مشكلة كبيرة من طرف LastPass لأن معناته الهاكر بيعرف المواقع اللي حفظت عناوينها.
وهي ان مو كل شي محفوظ بالبرنامج كان مشفر!! كلمات السر كانت مشفرة (مشفرة بكلمة السر الرئيسية)، لكن هناك بعض الحقول مثل عناوين الانترنت URLs غير مشفرة وهذي مشكلة كبيرة من طرف LastPass لأن معناته الهاكر بيعرف المواقع اللي حفظت عناوينها.
زائد ان بعض هالروابط قد تحتوي على اشياء حساسة بالمدخلات مالتها Get parameters او ربما تكون روابط لمواقع داخلية خاصة بالعمل مثلا، و الهاكر اذا عرف انت اي مواقع مشترك فيها يسهل عليه يخدعك بالphishing.
بس اغلب المواقع بتكون مكررة: أمازون، مواقع تواصل، خدمات ايميل...
بس اغلب المواقع بتكون مكررة: أمازون، مواقع تواصل، خدمات ايميل...
إذاً باختصار شديد هليلة وصيحة على موضوع اخذ اكبر من حجمه.
أخطر شي تواجهه ببرامج كلمات السر هو خداعك لكشف كلمة السر الرئيسية، ومن ثم الدخول على حساباتك.
الحل؟ فعّل التحقق الثنائي لكل حساباتك، و ضع كود التحقق الثنائي ببرنامج آخر مختلف غير عن البرنامج الأول، حتى تكون حماية إضافية
أخطر شي تواجهه ببرامج كلمات السر هو خداعك لكشف كلمة السر الرئيسية، ومن ثم الدخول على حساباتك.
الحل؟ فعّل التحقق الثنائي لكل حساباتك، و ضع كود التحقق الثنائي ببرنامج آخر مختلف غير عن البرنامج الأول، حتى تكون حماية إضافية
احد التوجهات المفيدة هي انه للحسابات الحساسة، لا تضع كلمة السر كاملة ببرنامج إدارة كلمات السر ،بل جزء منها، والجزء الباقي تكمله بنفسك بشكل يدوي، وهذه مفيدة بحمايتك حتى لو تم اختراق البرنامج وكشف كلمة السر الرئيسية لك.
أيضاً لا تضع كل الحسابات. حساب ايميلك مثلا احفظه عن ظهر الغيب
أيضاً لا تضع كل الحسابات. حساب ايميلك مثلا احفظه عن ظهر الغيب
اذا اتبعت هذه التعليمات والنصائح يمكنك استخدام هذه البرامج مع الربط او التزامن بالكلاود مثل 1Password وغيرها وانت مرتاح و سعيد وآمن، ولا تسمع للتهويل المبالغ فيه، ولا للأفكار التشاؤمية العدمية. لا توسوس واستمتع بانترنت آمن بشكل مريح باتباع سلوكيات منضبطة أمنياً.
وسلامتكم
وسلامتكم
جاري تحميل الاقتراحات...