تعد كلمات السر جزءًا أساسيًا من حياتنا الرقمية اليومية. نستخدمها لحماية حساباتنا وأجهزتنا وأسرارنا. على الرغم من كوننا في كثير من الأحيان الشيء الوحيد بيننا وبين الخصم الذي يسعى للحصول على معلوماتنا الخاصة، إلا أنه لا يتم التفكير فيها كثيرًا، مما يؤدي غالبًا إلى استخدام الأشخاص لكلمات سر يمكن تخمينها بسهولة أو فرضها بطريقة وحشية.
أفضل الممارسات
استخدم كلمات سر فريدة لكل خدمة
تخيل هذا؛ قمت بالتسجيل للحصول على حساب بنفس البريد الإلكتروني وكلمة السر على خدمات متعددة عبر الإنترنت. إذا كان أحد موفري الخدمة هؤلاء ضارًا، أو كانت خدمتهم تعاني من اختراق بيانات يكشف كلمة السر الخاصة بك بتنسيق غير مشفر، فكل ما يتعين على الممثل السيئ فعله هو تجربة مجموعة البريد الإلكتروني وكلمة السر عبر العديد من الخدمات الشائعة حتى يحصل على يضرب. لا يهم مدى قوة كلمة السر هذه، لأنهم يمتلكونها بالفعل.
وهذا ما يسمى حشو بيانات الاعتماد، وهو أحد أكثر الطرق شيوعًا التي يمكن من خلالها اختراق حساباتك من قبل جهات فاعلة سيئة. لتجنب ذلك، تأكد من عدم إعادة استخدام كلمات السر الخاصة بك مطلقًا.
استخدم كلمات السر التي تم إنشاؤها بشكل عشوائي
يجب ألا تعتمد أبدًا على نفسك للتوصل إلى كلمة سر جيدة. اوصي باستخدام كلمات سر تم إنشاؤها عشوائيًا أو عبارات سر diceware ذات إنتروبيا كافية لحماية حساباتك وأجهزتك.
تشتمل جميع برامج إدارة كلمات السر الموصى بها على منشئ كلمات سر مدمج يمكنك استخدامه.
كلمات السر الدوارة
يجب عليك تجنب تغيير كلمات السر التي يتعين عليك تذكرها (مثل كلمة السر الرئيسية لمدير كلمات السر) كثيرًا ما لم يكن لديك سبب للاعتقاد بأنها قد تم اختراقها، لأن تغييرها كثيرًا يعرضك لخطر نسيانها.
عندما يتعلق الأمر بكلمات السر التي لا يتعين عليك تذكرها (مثل كلمات السر المخزنة داخل مدير كلمات السر الخاص بك)، إذا كان نموذج التهديد الخاص بك يتطلب ذلك، فإنني اوصي بالسر عبر الحسابات المهمة (خاصة الحسابات التي لا تستخدم المصادقة متعددة العوامل ) وتغيير كلمة السر الخاصة بهم كل شهرين، في حالة تعرضهم للاختراق في عملية اختراق للبيانات لم يتم الإعلان عنها بعد. تسمح لك معظم برامج إدارة كلمات السر بتعيين تاريخ انتهاء لكلمة السر الخاصة بك لتسهيل إدارتها.
التحقق من خروقات البيانات: إذا كان مدير كلمات السر الخاص بك يسمح لك بالتحقق من كلمات السر المخترقة، فتأكد من القيام بذلك وقم على الفور بتغيير أي كلمة سر ربما تم الكشف عنها في عملية اختراق البيانات. وبدلاً من ذلك، يمكنك متابعة موجز أحدث خروقات موقع Have I Been Pwned بمساعدة مجمع الأخبار.
إنشاء كلمات سر قوية
كلمات السر
تفرض الكثير من الخدمات معايير معينة عندما يتعلق الأمر بكلمات السر، بما في ذلك الحد الأدنى أو الأقصى للطول، بالإضافة إلى الأحرف الخاصة، إن وجدت، التي يمكن استخدامها. يجب عليك استخدام منشئ كلمات السر المدمج في مدير كلمات السر الخاص بك لإنشاء كلمات سر طويلة ومعقدة بالقدر الذي تسمح به الخدمة من خلال تضمين الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة.
إذا كنت بحاجة إلى كلمة سر يمكنك حفظها، فإنني اوصي باستخدام عبارة سر diceware.
عبارات سر Diceware
هي طريقة لإنشاء عبارات سر يسهل تذكرها، ولكن يصعب تخمينها.
تعد عبارات سر Diceware خيارًا رائعًا عندما تحتاج إلى حفظ بيانات الاعتماد الخاصة بك أو إدخالها يدويًا، مثل كلمة السر الرئيسية لمدير كلمات السر أو كلمة سر تشفير جهازك.
مثال على عبارة سر diceware هو ثبات قابل للعرض متردد اسفنجي سبعة عشر قلم رصاص معروض.
لإنشاء عبارة سر لبرنامج diceware باستخدام حجر النرد الحقيقي، اتبع الخطوات التالية:
ملاحظة: تفترض هذه التعليمات أنك تستخدم قائمة الكلمات الكبيرة الخاصة بـEFF لإنشاء عبارة السر، الأمر الذي يتطلب خمس لفات من النرد لكل كلمة. قد تتطلب قوائم الكلمات الأخرى عددًا أكبر أو أقل من اللفات لكل كلمة، وقد تتطلب عددًا مختلفًا من الكلمات لتحقيق نفس الإنتروبيا.
-
قم برمي حجر نرد ذي ستة جوانب خمس مرات، مع تدوين الرقم بعد كل رمية.
-
على سبيل المثال، لنفترض أنك رميت
6-6-2-5-2. ابحث في قائمة الكلمات الكبيرة لـEFF عن الكلمة التي تتوافق مع الرقم25266. -
ستجد كلمة
encrypt. اكتب تلك الكلمة. -
كرر هذه العملية حتى تحتوي عبارة السر الخاصة بك على العدد الذي تحتاجه من الكلمات، والتي يجب عليك فصلها بمسافة.
مهم: لا يجب عليك إعادة الكلمات حتى تحصل على مجموعة من الكلمات التي تعجبك. يجب أن تكون العملية عشوائية تمامًا.
إذا لم يكن لديك إمكانية الوصول إلى النرد الحقيقي أو كنت تفضل عدم استخدامه، فيمكنك استخدام منشئ كلمات السر المدمج في مدير كلمات السر، حيث أن معظمها لديه خيار إنشاء عبارات سر برامج diceware بالإضافة إلى كلمات السر العادية.
اوصي باستخدام قائمة الكلمات الكبيرة الخاصة بـEFF لإنشاء عبارات سر برنامج diceware، لأنها توفر نفس الأمان تمامًا مثل القائمة الأصلية، بينما تحتوي على كلمات يسهل حفظها. هناك أيضًا قوائم كلمات أخرى بلغات مختلفة، إذا كنت لا تريد أن تكون عبارة السر الخاصة بك باللغة الإنجليزية.
لتلخيص ذلك، تعد عبارات سر diceware هي خيارك الأفضل عندما تحتاج إلى شيء يسهل تذكره وقوي بشكل استثنائي.
تخزين كلمات السر
مديرو كلمات السر
أفضل طريقة لتخزين كلمات السر الخاصة بك هي استخدام مدير كلمات السر. إنها تسمح لك بتخزين كلمات السر الخاصة بك في ملف أو في السحابة وحمايتها بكلمة سر رئيسية واحدة. بهذه الطريقة، سيكون عليك فقط أن تتذكر كلمة سر واحدة قوية، مما يتيح لك الوصول إلى الباقي.
هناك العديد من الخيارات الجيدة للاختيار من بينها، سواء السحابية أو المحلية. اختر أحد برامج إدارة كلمات السر الموصى بها واستخدمه لإنشاء كلمات سر قوية عبر جميع حساباتك. اوصي بتأمين مدير كلمات السر الخاص بك باستخدام عبارة سر diceware تتكون من سبع كلمات على الأقل.
قائمة مديري كلمات السر الموصى بها
مهم: لا تضع كلمات السر الخاصة بك ورموز TOTP داخل مدير كلمات السر نفسه
عند استخدام رموز TOTP كمصادقة متعددة العوامل، فإن أفضل الممارسات الأمنية هي الاحتفاظ بأكواد TOTP الخاصة بك في تطبيق منفصل.
إن تخزين رموز TOTP الخاصة بك في نفس مكان كلمات السر الخاصة بك، على الرغم من أنه مناسب، يقلل من الحسابات إلى عامل واحد في حالة تمكن الخصم من الوصول إلى مدير كلمات السر الخاصة بك.
علاوة على ذلك، لا ننصح بتخزين رموز الاسترداد ذات الاستخدام الواحد في مدير كلمات السر لديك. ويجب تخزينها بشكل منفصل كما هو الحال في حاوية مشفرة على جهاز تخزين غير متصل بالإنترنت.
النسخ الاحتياطية
يجب عليك تخزين نسخة احتياطية مشفرة من كلمات السر الخاصة بك على أجهزة تخزين متعددة أو مزود تخزين سحابي. يمكن أن يساعدك هذا في الوصول إلى كلمات السر الخاصة بك إذا حدث شيء ما لجهازك الأساسي أو الخدمة التي تستخدمها.
المصدر
إذا لديك أي سؤال أو تستفسار.
إنضم إلى مجموعة أسس لأمن المعلومات والخصوصية الرقمية على: