مديرك ضد ذاكرتك: القاعدة الوحيدة التي نجت

نُشر في بقلم David Carrero

بين قاعدة تخالفها وقاعدة لا تستطيع الالتزام بها فرقٌ هائل. «كلمة مرور مختلفة في كل موقع» من النوع الثاني.

من كل التعاليم التي حفظناها — الحرف الكبير، والرقم، والرمز، والتغيير الدوري الإجباري — رمى NIST أغلبها من النافذة في SP 800-63B. صار الطول أهمّ من الالتواء. واختفى التدوير الإجباري ما لم تكن هناك دلائل على اختراق. أما اشتراط الرموز فحلّ محلّه شيء أعقل بكثير: مطابقة كلمة المرور بقوائم ما تسرّب منها.

نجت قاعدة واحدة. قاعدة عدم التكرار. وهي أقلّ ما أخذنا به، لأن الالتزام بها كان يحتاج إلى شيء لم يذكره أيّ ملصق معلّق في الشركة.

لماذا لا تقدر ذاكرتك

فكّر كم حسابًا لديك. لا التي تستعملها: التي لديك. البنك، والبريد، والبريد الآخر، والمتجر الذي اشتريت منه حذاءً عام 2019، والمنتدى، وشركة الطيران، وتطبيق المواقف، وبوابة إدارة العمارة، وموقع الجهة الحكومية الذي أجبرك على التسجيل من أجل معاملة لا تستغرق خمس دقائق.

الآن تخيّل أن تحفظ سلسلة طويلة وعشوائية ومختلفة لكل واحد منها. المسألة ليست أنها صعبة. المسألة أنها ليست هدفًا في متناول دماغ بشري، والإصرار على العكس طوال سنوات كان من القسوات الصغرى في أمن المعلومات.

فصنعنا الشيء الوحيد الممكن: كلمة مرور جيدة واحدة وتنويعاتها. Molokhia2019! للبنك وMolokhia2019? للمنتدى. أو الكلمة نفسها في كل مكان مباشرةً، مع نجمة ذهنية تقول «طيب، البنك عنده واحدة غيرها».

وهنا المشكلة، لأن الهجوم الحقيقي لا يقوم على تخمين كلمة مرورك. يقوم على تجربة التي سُرقت منك أصلًا في موضع آخر. منتدى 2019 يتسرّب — منتديات 2019 تتسرّب — فيأخذ أحدهم تلك القائمة من العناوين وكلمات المرور ويجرّبها، آليًا، على كل خدمة تخطر له. لا حاجة إلى كسر أي شيء. أنت أعطيته المفتاح؛ هو يجرّب الأبواب فحسب. هذا هو credential stuffing، وهو ينجح تحديدًا لأن القاعدة الوحيدة التي كانت تهمّ هي التي لم يستطع أحد الالتزام بها.

المدير ليس رفاهية

هنا عادةً يُباع لك مدير كلمات المرور بوصفه ترفًا: ما أراحه، يملأ الخانات وحده، ولا تحتاج إلى الكتابة. هذا صحيح، وهو أقلّ ما فيه.

المدير لا يوفّر عليك جهدًا: هو يجعل ممكنًا قاعدةً بدونه لا تُطال. الفرق كالفرق بين أن يُطلب منك الجري مئة كيلومتر وأن تُعطى دراجة. الرقم لا يتغيّر؛ ما يتغيّر هو هل تستطيع.

ومع واحدٍ بين يديك، يُحلّ باقي SP 800-63B من تلقاء نفسه. طويلة قبل أن تكون معقّدة؟ المدير يولّدها بالطول الذي تشاء، لأنك لن تكتبها. مختلفة في كل موقع؟ تافهة الصعوبة، بحكم التعريف. لا تدوير إجباري؟ ممتاز: تغيّر فقط ما تسرّب، وكثير من المديرين ينبّهك حين يحدث ذلك. الوحيدة التي يبقى عليك حفظها هي الرئيسية، وهذه تستحق أن تولّدها بعناية — أربع أو خمس كلمات عشوائية في المولّد ثم تنظر كيف تصمد في الفاحص.

الاعتراض الصادق

«كل البيض في سلّة واحدة.» سمعتها ألف مرة وليست سخافة. من يدخل مديرك يدخل كل شيء. هو نقطة فشل واحدة، ومن يقول لك غير ذلك فهو يبيعك شيئًا.

والجواب أيضًا يجب أن يكون صادقًا: نعم، هي سلّة واحدة، لكن البديل ليس أن يكون البيض موزّعًا. البديل أن يكون على الأرض. بلا مدير لا ينتهي بك الأمر إلى ثمانين كلمة مرور مستقلة؛ بل إلى كلمة المرور نفسها في ثمانين موقعًا، وهي السلّة ذاتها لكن بلا قفل، بلا تشفير، ومنسوخة على ثمانين خادمًا لغيرك لا تعرف عن أمنها شيئًا على الإطلاق.

انظر إلى نموذج التهديد الحقيقي. أن يفتح أحدهم الخزنة المشفّرة لمدير جادّ يتطلّب إمّا خللًا خطيرًا في المنتج، وإمّا كلمة مرورك الرئيسية. أما أن يجرّب أحدهم على بريدك كلمة المرور التي استعملتها في متجر إلكتروني فلا يتطلّب أي شيء على الإطلاق: سكربت وقائمة. أنت تقارن هجومًا يحتاج إلى الكثير بهجوم يقع الآن، باستمرار، وبالطيار الآلي.

أما الاحتياط المعقول فهو: رئيسية طويلة وفريدة، وعامل ثانٍ مفعّل في المدير، ووعيٌ بأن الرئيسية صارت الآن نقطتك الحرجة. فعاملها على هذا الأساس.

أيّها، ولماذا لا يوجد جواب واحد

هنا يلزم قول ما هو محرج لموقع فيه روابط تسويق بالعمولة: أفضل مدير هو الذي ستستعمله، وهناك أكثر من واحد جيد.

Bitwarden برمجية حرّة، له خطة مجانية تغطي ما يحتاجه أغلب الناس، وتستطيع استضافته بنفسك إن أحببت. كون شيفرته قابلة للتدقيق ليس تسويقًا: معناه أنك لا تعتمد على كلمة أحد.

KeePass — ومشتقّاته — يحفظ كل شيء في ملف محلي. بلا سحابة، بلا حساب، بلا مزوّد. إن كان همّك «لا أريد أن تكون كلمات مروري على خادم شخص آخر»، فهذا الهمّ محلول حرفيًا. وفي المقابل، المزامنة بين أجهزتك شأنك أنت.

1Password مدفوع، وهو الذي نربط إليه من هنا — بالعمولة، لأجل التوثيق —. ما يُتقنه هو الجزء الذي يقرّر عادةً هل ينجو مدير في بيتٍ ما: أن يفهمه غير التقنيين، وأن يشاركه أحدهم مع شريكه، وألّا يهجروه بعد أسبوع. هو ليس أأمن من Bitwarden لأنه مدفوع. هو، عند كثيرين، أسهل في ألّا يُهجَر.

ثم مدير متصفّحك. مجاني، ومثبَّت لديك أصلًا، ويعرض عليك الحفظ أصلًا. هو دون سابقيه في التحكّم، وفي قابلية النقل، وفي المشاركة، ويربطك بمنظومة واحدة. لا يهم: استعمال مدير المتصفّح أفضل بما لا يقاس من ألّا تستعمل أيّ مدير، لأنه يحلّ المشكلة الكبيرة. وكل من يقول لك غير ذلك فهو يقدّم النقاء على الخطر الحقيقي.

الجملة التي تختصر كل شيء

سنواتٍ طوالًا قيل لنا كيف يجب أن تكون كل كلمة مرور، ولم يُقل لنا تقريبًا كيف سنتذكّرها كلها. كانت تلك الخطوة الناقصة، وبدونها لم تكن القاعدة الوحيدة التي نجت قاعدة: كانت عتابًا.

اختر واحدًا. أيًّا منها. الجدل حول أيّها هامشيّ مقارنةً بالمسافة بين أن يكون لديك مدير وألّا يكون.


المصادر: NIST SP 800-63B، «Digital Identity Guidelines: Authentication and Lifecycle Management» (الطول قبل التعقيد، بلا تدوير إجباري ما لم تكن هناك دلائل على اختراق، ومطابقة بقوائم كلمات المرور المخترقة) · الوثائق ونماذج الأمان المنشورة من Bitwarden و KeePass و 1Password.

← العودة إلى المدونة