ما هي كلمة المرور، ولماذا نخطئ منذ ستين عامًا

نُشر في بقلم David Carrero

كلمة المرور جواب عن سؤال قديم جدًا: أأنت منّا؟

لم تخترعها الحوسبة. يصف بوليبيوس في القرن الثاني قبل الميلاد كيف كان الجيش الروماني يُمرِّر كل ليلة كلمة مكتوبة على لوح خشبي — tessera — تنتقل من وحدة إلى وحدة ثم تعود إلى القيادة. من عرفها كان منهم. ومن لم يعرفها فلا.

بعد ألفَي عام نفعل الشيء نفسه تمامًا. لم يتغيّر إلا من يسأل، وبأي سرعة يستطيع أن يحاول تخمين الجواب.

1961 كلمة المرور تدخل الحاسوب

في نوفمبر 1961 عرض معهد MIT نظام CTSS (Compatible Time-Sharing System) بقيادة فرناندو كورباتو. كانت فكرة جديدة: حاسوب واحد باهظ الثمن، يتشاركه عدة أشخاص في الوقت نفسه.

وهناك ظهرت المشكلة. إن كانت الآلة للجميع، فملفات كل واحد يجب أن تبقى له. كان الحاسوب بحاجة إلى وسيلة ليعرف من يكتب. وكان الحل أبسط ما يمكن، وأكثره رومانيةً: أن يكون لكل مستخدم كلمة خاصة به.

ويحسن أن نقولها بدقة: كورباتو لم يخترع كلمة المرور. اخترع كلمة المرور لكل مستخدم على حاسوب متعدد المستخدمين، وهذا شيء آخر. وقد قال هو نفسه، في كِبَره، إن الأمر صار «كابوسًا».

1962 أول تسريب، وكان بسبب وقت الآلة

بعد عام، كان لدى آلان شير، طالب الدكتوراه في المعهد نفسه، مشكلة دنيوية جدًا: لم يكن يُخصَّص له سوى أربع ساعات حاسوب في الأسبوع، وكان يحتاج إلى أكثر لأطروحته.

فطلب من النظام أن يطبع ملف كلمات المرور. لا أكثر. كان هناك، بنص صريح، ولم يخطر لأحد أن أحدًا سيطلبه. وبالقائمة المطبوعة في يده، استخدم حسابات الآخرين ليواصل عمله.

المثير ليس الحيلة، بل الدافع: أول تسريب لكلمات المرور في التاريخ لم يرتكبه مجرم، بل شخص أراد أن يواصل عمله. وبعد ستين عامًا، ما زال أغلب الثغرات الأمنية يولد من أناس عقلاء يبحثون عن الطريق الأقصر.

1979 أحدهم يدرك أنه لا ينبغي تخزينها أصلًا

طوال عقدين تقريبًا، خزّنت أنظمة كثيرة كلمات المرور كما هي. ومن قرأ الملف أخذ كل شيء.

في 1979 نشر روبرت موريس وكِن تومسون في Communications of the ACM مقالًا بعنوان «Password Security: A Case History» عمّا فعلاه في يونكس. فكرتان تقوم عليهما اليوم كل الأمور:

  • لا تخزّن كلمة المرور، خزّن بصمتها (hash). لا يحتاج النظام أن يعرف ما هي كلمة مرورك؛ يكفيه أن يتحقق مما إذا كان ما كتبتَه للتوّ يعطي النتيجة نفسها.
  • الملح (salt): إضافة قيمة عشوائية إلى كل كلمة مرور قبل التجزئة، حتى لا يحصل شخصان لهما الكلمة نفسها على البصمة نفسها، ولئلا يستطيع أحد حساب جدول مسبقًا وكسرها جميعًا دفعةً واحدة.

حين نقول اليوم إن خدمةً ما «لا ينبغي أن تعرف كلمة مرورك»، فنحن نقتبس مقالًا من 1979.

2003 القواعد التي تعلّمناها جميعًا، ومن أين جاءت

في 2003 كتب بيل بِر، من معهد NIST الأمريكي، الوثيقة التي ستحكم كيف يطلب نصفُ العالم كلمات المرور: SP 800-63. ومنها خرج كل ما تتعرّف عليه فورًا:

حرف كبير واحد على الأقل، ورقم، ورمز. وغيّرها كل 90 يومًا.

بدا الأمر علمًا. ولم يكن. لم تكن لدى بِر بيانات جيدة عن كلمات المرور الحقيقية — إذ تكاد لا توجد — فاستند إلى المتاح واستنتج ما بدا معقولًا: تنوّع أكبر في الرموز، تركيبات أكثر، أمان أكبر.

المشكلة أن البشر ليسوا مولّدات عشوائية. اطلب حرفًا كبيرًا يضعه أولًا. اطلب رقمًا يضعه أخيرًا. اطلب رمزًا يكون !. وإن أجبرتَه على التغيير كل ثلاثة أشهر، صارت Saif2024! هي Kharif2024!.

وكانت النتيجة جيلًا كاملًا من كلمات المرور تبدو معقّدة وهي تافهة، ومستخدمين منهكين يعيدون استعمالها في كل مكان لأنهم لم يعودوا يحتملون.

2017 NIST يتراجع، وبِر كذلك

في 2017 نشر NIST الوثيقة SP 800-63B وتراجع عن كل شيء تقريبًا:

  • الطول أهمّ من التعقيد.
  • لا تدوير إجباري ما لم تكن هناك دلائل على اختراق.
  • مطابقة كلمة المرور بقوائم التسريبات، بدل اشتراط الرموز.

وفي العام نفسه قال بِر لصحيفة Wall Street Journal إنه يندم على جزء كبير مما كتب. وهو من أنزه التصحيحات التي قدّمها أمن المعلومات — ومع ذلك ما زالت آلاف النماذج تطلب منك رمزًا بسبب وثيقة تبرّأ منها كاتبها نفسه.

لماذا هذا ليس تاريخًا قديمًا

لكل هذا نتيجة ملموسة جدًا، ويمكنك أن تراها هنا.

كان الفاحص لدينا يعمل حتى وقت قريب بمنطق 2003: يعدّ الأحرف الكبيرة والأرقام والرموز. كان يمنح Contraseña1! — وهي حرفيًا كلمة «كلمة المرور» بالإسبانية — 92 % «قوية جدًا»، ويمنح عبارة من خمس كلمات عشوائية، وهي أفضل بما لا يقاس، 0 % «ضعيفة جدًا».

كان يكافئ تحديدًا ما لا ينبغي فعله. غيّرناه: صار الآن يبحث عن كلمة مرورك في قواميس الكلمات والأسماء والمدن وأنماط لوحة المفاتيح، ويخبرك كم تصمد فعلًا.

ولهذا يعرض لك المولّد بتّات الإنتروبيا بدل نسبة مئوية. النسبة المئوية لا تعني شيئًا. أما البتّات فتعني: كم مرة سيتعيّن أن يحاول من لا يعرف عنك شيئًا.

ما العمل، في سطرين

  • الطويلة تغلب الملتوية. أربع أو خمس كلمات عشوائية تتفوّق على P@ssw0rd بمراتب كثيرة.
  • مختلفة في كل موضع، وفي مدير كلمات مرور. هي القاعدة الوحيدة من 2003 التي ما زالت قائمة — وأقلّ ما أخذنا به.

السؤال هو نفسه سؤال روما في القرن الثاني: أأنت منّا؟ ما تغيّر أن السائل صار بإمكانه تجربة مليار جواب في الثانية. فالأفضل ألّا يكون جوابك في القاموس.


المصادر: F. J. كورباتو ونظام CTSS (MIT، 1961) · رواية آلان شير نفسه عن 1962 · R. موريس و K. تومسون، «Password Security: A Case History»، Communications of the ACM، 1979 · NIST SP 800-63 (2003) و SP 800-63B (2017) · تصريحات بيل بِر لصحيفة Wall Street Journal، أغسطس 2017.

← العودة إلى المدونة