أسلوب جديد لحل مشكلة سرقة وتخمين كلمات السر

المجد- خاص

في ظل تواصل عمليات الاختراق وسرقة كل ما يخص مستخدمي الانترنت باتت الحاجة ملحة لحل مشكلة سرقة وتخمين كلمات السر, وهنا وفرت التكنولوجيا المتعددة الطريقة المناسبة عبر شيء يسمى "التحقق الثنائي".

و التحقق من الهوية "Authentication" هي عملية تأكد من كون الشخص الذي يطلب التصريح بالدخول إلى النظام بأنه هو بالفعل الشخص المخول بذلك.

كما يتم التحقق غالباً باستخدام كلمة مرور يعرفها المستخدم المصرح له الدخول ويفترض أن يكون هو الوحيد الذي يعرفها فقط ! وعليه أصبحت بعض المؤسسات تضع بعض السياسات لموظفيها، بحيث تجبرهم على استخدام كلمات مرور قوية، وأن يتم تغييرها باستمرار.

 لكن، مع ازدياد البرمجيات الخبيثة فإن الاعتماد على كلمات المرور لم يُعد أمراً كافٍ، حيث تفيد أحد البحوث المنشورة، وُجد أنه يمكن تخمين عدد كبير من كلمات المرور التي تستخدم في عملية التحقق ، وذلك في فترة زمنية أقل من 5 دقائق!

من عيوب التحقق وحيد العامل:

أشهر الوسائل المستخدمة في هذا التحقق هي كلمات المرور، لذا سنتطرق لعيوب هذا العامل:

1.     يمكن الوصول لـ 50% من كلمات المرور باستخدام البرامج المتطورة التي تتعرف على كلمات المرور الضعيفة والمتوسطة وذلك باستخدام برامج تقوم بتجريب عدد هائل من كلمات المرور خلال فترة زمنية قصيرة جداً، كلمات المرور يتم توليدها آلياً بطريقة تسمى الهجوم التخيمي "brute force"، أو استيرادها من قواميس dictionaries تشمل عدد كبير من الكلمات الدارج استخدامها ككلمات مرور.

2.     يمكن للبرمجيات الخبية مثل برامج مراقبة لوحة المفاتيح key loggers معرفة كلمة المرور التي قام المستخدم بكتابتها.

3.     يمكن أيضا أن يتم خداع المستخدم عن طريق الهندسة الاجتماعية social engineering والحصول على كلمة المرور منه.

4.     يمكن التعرف على كلمة المرور عن طريق مراقبة الشبكة network monitoring  حيث توجد برامج تقوم بالتقاط حزم البيانات التي ترسل من خلال الشبكة.

5.      

6.     يمكن لأشخاص مسئولين في قسم تقنية المعلومات في الشركة الحصول على جميع كلمات المرور الخاصة بالموظفين وذلك في تطبيقات معينة داخل الشركة، وبالتالي هم قادرون على إساءة استخدام هذه الصلاحية للحصول على كلمة مرور موظف معين.

7.     قد يكون المستخدم يستعمل نفس كلمة المرور في العديد من الحسابات الخاصة به (مثلاً : حسابات البريد الالكتروني ، الدخول على نظام التشغيل ، … الخ ). وبالتالي فإن التعرف على كلمة المرور لحساب واحد للمستخدم قد يؤدي إلى التعرف على كلمة المرور لجميع حساباته الأخرى!

*من هنا، نلحظ قصور استخدام كلمات المرور كحل وحيد لعملية التحقق، وهذا ما يدفع الشركات والمنظمات إلى البحث عن طريقة أفضل من الاعتماد فقط على كلمات المرور.

التحقق ثنائي العوامل "Two Factor Authentication":

8.     عبارة عن عاملين مرتبطين ببعضها يتم بهما التحقق من هوية المستخدم في سبيل إضافة حماية لحسابه وبياناته.

9.     أول من استخدم هذا النظام ثنائي التحقق هي البنوك وذلك في التحقق من هوية المستخدم في المعاملات البنكية.

10.كما انه يمكن استخدام طرق مختلفة في التحقق، حيث أطلق موقع فيس بوك نهاية عام 2011 ميزة تسجيل الدخول بنظام التحقق الثنائي من خلال رسائل الجوال، كما أنه تم استخدام نفس هذه الميزة في قوقل.

* يمكن تفعيل هذه الميزة في الفيس بوك من خلال الذهاب إلى اعدادات الحماية في حسابه في الفيس بوك ومن ثم تفعيل خيار موافقة تسجيل الدخول "Login Approvals"، وبعد ذلك تتطلب منه الخدمة اضافة رقم الهاتف الخلوي وسيتم إرسال كود تفعيل الخدمة اليه، وعندما تسجيل الدخول من مكان آخر فأن الفيس بوك يرسل كود تفعيل تسجيل الدخول الى الجوال مباشرة.

فوائد التحقق الثنائي:

11.التخلص من المشاكل والعيوب الموجودة في التحقق ذو العامل الواحد.

12.التقليل من إمكانية الاحتيال أو الدخول غير المصرح به للنظام.

13.حماية المستخدمين من مخاطر التصيد "Phishing" (وهو عمل صفحة انترنت مشابهة لموقع حقيقي يدخله المستخدمون، ومحاولة خداع المستخدمين للحصول على كلمة المرور الخاصة بهم لهذا الموقع).

14.صعوبة إنكار قيام المستخدمين أنفسهم بعملية معينة داخل النظام بعد دخولهم إليه, (في حالة الاعتماد فقط على كلمة المرور، قد يدعي المستخدم أنه لم يقم بهذه العملية وأن أحداً قد تمكن من معرفة كلمة المرور ودخل إلى النظام ونفذ العملية!).