بِسْمِ اللَّـهِ الرَّحْمَـٰنِ الرَّحِيمِ
غالبًا ما يشترك الأشخاص في الخدمات دون تفكير. ربما تكون خدمة بث حتى تتمكن من مشاهدة ذلك العرض الجديد الذي يتحدث عنه الجميع، أو حساب يمنحك خصمًا في مطعم الوجبات السريعة المفضل لديك. أياً كان الأمر، يجب أن تفكر في العواقب المترتبة على بياناتك الآن وفي وقت لاحق.
هناك مخاطر مرتبطة بكل خدمة جديدة تستخدمها. خروقات البيانات؛ الكشف عن معلومات العملاء لأطراف ثالثة؛ وصول الموظفين المارقين إلى البيانات؛ كلها احتمالات يجب مراعاتها عند إعطاء معلوماتك. يجب أن تكون واثقًا من أنه يمكنك الوثوق بالخدمة، ولهذا السبب لا أوصي بتخزين البيانات القيمة على أي شيء سوى المنتجات الأكثر نضجًا واختبارًا. وهذا يعني عادةً الخدمات التي توفر التعمية بين الطرفين وخضعت لتدقيق تعموي. يزيد التدقيق من التأكيد على أن المنتج تم تصميمه دون مشكلات أمنية صارخة ناجمة عن مطور عديم الخبرة.
قد يكون من الصعب أيضًا حذف الحسابات على بعض الخدمات. في بعض الأحيان قد يكون من الممكن الكتابة فوق البيانات المرتبطة بحساب، ولكن في حالات أخرى ستحتفظ الخدمة بسجل كامل للتغييرات التي طرأت على الحساب.
شروط الخدمة وسياسة الخصوصية
شروط الخدمة هي القواعد التي توافق على اتباعها عند استخدام الخدمة. مع الخدمات الأكبر حجمًا، غالبًا ما يتم فرض هذه القواعد بواسطة أنظمة آلية. في بعض الأحيان، قد ترتكب هذه الأنظمة الآلية أخطاء. على سبيل المثال، قد يتم حظرك أو إغلاق حسابك على بعض الخدمات لاستخدام رقمVOIP أو VPN. غالبًا ما يكون استئناف مثل هذه الحظر صعبًا، وينطوي أيضًا على عملية آلية، والتي لا تنجح دائمًا. قد يكون هذا أحد الأسباب التي تجعلني لا اقترح استخدام Gmail للبريد الإلكتروني كمثال. يعد البريد الإلكتروني أمرًا بالغ الأهمية للوصول إلى الخدمات الأخرى التي ربما اشتركت فيها.
سياسة الخصوصية هي الطريقة التي تقول بها الخدمة إنها ستستخدم بياناتك، وهي تستحق القراءة حتى تفهم كيف سيتم استخدام بياناتك. قد لا تكون الشركة أو المنظمة ملزمة قانونًا باتباع كل ما هو موجود في السياسة (يعتمد ذلك على الولاية القضائية). أوصيك بالحصول على فكرة عن القوانين المحلية الخاصة بك وما تسمح به لمزود الخدمة بجمعه.
أوصي بالبحث عن مصطلحات معينة مثل “جمع البيانات/data collection” أو “تحليل البيانات/data analysis” أو “ملفات تعريف الارتباط/cookies” أو “الإعلانات/ads” أو “خدمات طرف ثالث/3rd-party”. في بعض الأحيان، قد تتمكن من إلغاء الاشتراك في جمع البيانات أو مشاركة بياناتك، ولكن من الأفضل اختيار خدمة تحترم خصوصيتك منذ البداية.
ضع في اعتبارك أنك تضع ثقتك أيضًا في الشركة أو المنظمة وأنها ستلتزم بسياسة الخصوصية الخاصة بها.
طُرق الاستيثاق
عادةً ما توجد طرق متعددة للتسجيل للحصول على حساب، ولكل منها مزاياها وعيوبها.
البريد الإلكتروني وكلمة المرور
الطريقة الأكثر شيوعًا لإنشاء حساب جديد هي عنوان البريد الإلكتروني وكلمة المرور. عند استخدام هذه الطريقة، يجب عليك استخدام مدير كلمات المرور واتباع أفضل الممارسات فيما يتعلق بكلمات المرور.
نصيحة: يمكنك استخدام مدير كلمات المرور لتنظيم طُرق الاستيثاق الأخرى أيضًا! ما عليك سوى إضافة الإدخال الجديد وملء الحقول المناسبة، ويمكنك إضافة ملاحظات لأشياء مثل أسئلة الأمان أو مفتاح النسخ الاحتياطي.
ستكون مسؤولاً عن إدارة بيانات اعتماد تسجيل الدخول الخاصة بك. لمزيد من الأمان، يمكنك إعداد الاستيثاق الثنائي على حساباتك.
مُدراء كلمات المرور التي أنصح بها
بريد إلكتروني مستعار
إذا كنت لا تريد إعطاء عنوان بريدك الإلكتروني الحقيقي إلى إحدى الخدمات، فلديك خيار استخدام بريد مستعار. تتيح لك خدمات البريد المستعارة بشكل أساسي إنشاء عناوين بريد إلكتروني جديدة لإعادة توجيه جميع رسائل البريد الإلكتروني إلى عنوانك الرئيسي. ويمكن أن يساعد هذا في منع التتبع عبر الخدمات ويساعدك في إدارة رسائل البريد الإلكتروني التسويقية التي تأتي أحيانًا مع عملية التسجيل. ويمكن تصفية هذه الرسائل تلقائيًا استنادًا إلى الاسم المستعار الذي يتم إرسالها إليه.
إذا تعرضت إحدى الخدمات للاختراق، فقد تبدأ في تلقي رسائل بريد إلكتروني احتيالية أو غير مرغوب فيها إلى العنوان الذي استخدمته للتسجيل. ويمكن أن يساعد استخدام بريد مستعار فريد لكل خدمة في تحديد الخدمة التي تعرضت للاختراق على وجه التحديد.
عناوين بريد إلكتروني مستعار التي أنصح بها
“تسجيل الدخول باستخدام…” (OAuth)
بروتوكول استيثاق OAuth يسمح لك بالتسجيل في خدمة دون مشاركة الكثير من المعلومات مع مزود الخدمة، إن وجد، وذلك باستخدام حساب موجود لديك مع خدمة أخرى بدلاً من ذلك. كلما رأيت شيئًا مثل “تسجيل الدخول باستخدام اسم المزود” في نموذج التسجيل، فهذا يعني عادةً أنه يستخدم OAuth.
عندما تسجل الدخول باستخدام OAuth، فسوف تفتح صفحة تسجيل دخول مع المزود الذي تختاره، وسيتم ربط حسابك الحالي والحساب الجديد. لن تتم مشاركة كلمة مرورك، ولكن عادةً ما تتم مشاركة بعض المعلومات الأساسية (يمكنك مراجعتها أثناء طلب تسجيل الدخول). هذه العملية مطلوبة في كل مرة تريد فيها تسجيل الدخول إلى نفس الحساب.
المزايا الرئيسية هي:
-
الأمان: لست مضطرًا إلى الوثوق بممارسات الأمان الخاصة بالخدمة التي تسجل الدخول إليها عندما يتعلق الأمر بتخزين بيانات اعتماد تسجيل الدخول، لأنها مخزنة لدى موفر OAuth الخارجي، والذي يتبع عادةً أفضل ممارسات الأمان عندما يتعلق الأمر بخدمات مثل Apple وGoogle، ويدقق باستمرار في أنظمة المصادقة الخاصة به، ولا يخزن بيانات الاعتماد بشكل غير مناسب (مثل النص العادي).
-
سهولة الاستخدام: تتم إدارة حسابات متعددة من خلال تسجيل دخول واحد.
ولكن هناك عيوب:
-
الخصوصية: سيعرف موفر OAuth الذي تسجل الدخول معه الخدمات التي تستخدمها.
-
المركزية: إذا تم اختراق الحساب الذي تستخدمه لـ OAuth، أو لم تتمكن من تسجيل الدخول إليه، فستتأثر جميع الحسابات الأخرى المتصلة به.
يمكن أن يكون OAuth مفيدًا بشكل خاص في تلك المواقف حيث يمكنك الاستفادة من التكامل الأعمق بين الخدمات. توصيتنا هي الحد من استخدام OAuth إلى حيث تحتاج إليه فقط، وحماية الحساب الرئيسي دائمًا باستخدام MFA.
ستكون جميع الخدمات التي تستخدم OAuth آمنة مثل حساب مزود OAuth الأساسي الخاص بك. على سبيل المثال، إذا كنت تريد تأمين حساب بمفتاح أجهزة، ولكن هذه الخدمة لا تدعم المفاتيح المادية، فيمكنك تأمين الحساب الذي تستخدمه مع OAuth بمفتاح أجهزة بدلاً من ذلك، والآن لديك أساسًا MFA للأجهزة على جميع حساباتك. ومع ذلك، تجدر الإشارة إلى أن المصادقة الضعيفة على حساب مزود OAuth الخاص بك تعني أن أي حساب مرتبط بتسجيل الدخول هذا سيكون ضعيفًا أيضًا.
هناك خطر إضافي عند استخدام تسجيل الدخول باستخدام Google أو Facebook أو خدمة أخرى، وهو أن عملية OAuth تسمح عادةً بمشاركة البيانات ثنائية الاتجاه. على سبيل المثال، قد يمنح تسجيل الدخول إلى منتدى باستخدام حساب Twitter الخاص بك هذا المنتدى حق الوصول للقيام بأشياء على حساب Twitter الخاص بك مثل النشر أو قراءة رسائلك أو الوصول إلى بيانات شخصية أخرى. سيقدم لك موفرو OAuth عادةً قائمة بالأشياء التي تمنحها حق الوصول إلى الخدمة الخارجية، ويجب عليك دائمًا التأكد من قراءة هذه القائمة وعدم منح الخدمة الخارجية حق الوصول إلى أي شيء لا تحتاجه عن غير قصد.
يمكن للتطبيقات الضارة، وخاصةً على الأجهزة المحمولة حيث يمكن للتطبيق الوصول إلى جلسة WebView المستخدمة لتسجيل الدخول إلى موفر OAuth، إساءة استخدام هذه العملية أيضًا عن طريق اختطاف جلستك مع موفر OAuth والحصول على حق الوصول إلى حساب OAuth الخاص بك من خلال هذه الوسائل. يجب عادةً اعتبار استخدام خيار تسجيل الدخول مع أي موفر مسألة راحة لا تستخدمها إلا مع الخدمات التي تثق في أنها ليست ضارة بشكل نشط.
رقم الهاتف
أوصي بتجنب الخدمات التي تتطلب رقم هاتف للتسجيل. يمكن لرقم الهاتف أن يحدد هويتك عبر خدمات متعددة، وبناءً على اتفاقيات مشاركة البيانات، فإن هذا سيجعل من السهل تتبع استخدامك، وخاصة إذا تم اختراق إحدى هذه الخدمات لأن رقم الهاتف غالبًا لم يتم تخزينه مشفرًا.
يجب تجنب إعطاء رقم هاتفك الحقيقي إذا أمكنك. تسمح بعض الخدمات باستخدام أرقام VOIP، ومع ذلك، غالبًا ما تؤدي هذه الأرقام إلى تشغيل أنظمة الكشف عن الاحتيال، مما يتسبب في قفل الحساب، لذلك لا أوصي بذلك للحسابات المهمة.
في كثير من الحالات، ستحتاج إلى تقديم رقم يمكنك تلقي الرسائل القصيرة أو المكالمات منه، وخاصة عند التسوق دوليًا، في حالة وجود مشكلة في طلبك عند فحص الحدود. من الشائع أن تستخدم الخدمات رقمك كطريقة للتحقق؛ لا تدع نفسك تُغلق حسابًا مهمًا لأنك أردت أن تكون ذكيًا وتعطي رقمًا مزيفًا!
اسم المستخدم وكلمة المرور
تسمح لك بعض الخدمات بالتسجيل دون استخدام عنوان بريد إلكتروني ولا تتطلب منك سوى تعيين اسم مستخدم وكلمة مرور. قد توفر هذه الخدمات مزيدًا من عدم الكشف عن الهوية عند دمجها مع شبكة VPN أو تور. ضع في اعتبارك أنه بالنسبة لهذه الحسابات، لن تكون هناك على الأرجح طريقة لاسترداد حسابك في حالة نسيان اسم المستخدم أو كلمة المرور.
إذا لديك أي سؤال أو استفسار.
انضم إلى مجموعة أسس لأمن المعلومات والخصوصية الرقمية على: