دليل الأمان

كيف تتحقق مما إذا كانت كلمة المرور قد تم تسريبها

تعرف على الطرق الآمنة للاستجابة لتسريبات كلمات المرور المحتملة دون لصق كلمات المرور الحقيقية في مواقع غير موثوقة.

ملخص

إذا كنت تشك في تسريب كلمة مرور، فإن الاستجابة الأكثر أمانًا غالبًا هي استبدالها بدلاً من لصقها في مواقع غير معروفة. لا يكون فحص التسريب مفيدًا إلا عندما تكون الخدمة ذات تصميم خصوصية موثوق وتفهم ما يتم إرساله.

استخدم مدقق قوة كلمة المرور لتحليل الأنماط محليًا، لكن لا تعامله كقاعدة بيانات للاختراقات.

ما يجب فعله أولاً

قم بتغيير كلمة المرور من جهاز موثوق. إذا تم إعادة استخدام نفس كلمة المرور، فقم بتغيير كل حساب متأثر. ابدأ بالبريد الإلكتروني، الخدمات المصرفية، العمل، التخزين السحابي، وحسابات استرداد مدير كلمات المرور.

مراجعة حالة الحساب

قم بإلغاء الجلسات النشطة، وتحقق من إعدادات البريد الإلكتروني والهاتف لاسترداد الحساب، وراجع قواعد إعادة التوجيه، وأزل الوصول المشبوه للتطبيقات، وفعّل المصادقة متعددة العوامل (MFA) أو مفاتيح المرور.

إرشادات مفصلة

يركز هذا الدليل على التحقق مما إذا كانت كلمة المرور قد ظهرت في الاختراقات دون تعريضها بإهمال. هو مكتوب للمستخدمين الذين سمعوا عن اختراق ويريدون الاستجابة بأمان، لذا فإن الهدف العملي ليس إنشاء ادعاء أمني دراماتيكي. الهدف هو اختيار عادة كلمة مرور يمكنها الصمود في الاستخدام اليومي: نماذج تسجيل الدخول، مديري كلمات المرور، لوحات المفاتيح المحمولة، استرداد الحساب، الأجهزة المشتركة، والخدمات العرضية ذات قواعد التحقق الغريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.

نقطة البداية الأكثر أمانًا هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة يتم اختيارها من مساحة كبيرة بواسطة مصدر عشوائي مناسب للتشفير، وليس اختراعها من تاريخ ميلاد، اسم حيوان أليف، نمط لوحة مفاتيح، أو اقتباس مفضل. التفرد يعني عدم استخدام نفس كلمة المرور في أي مكان آخر. كلمة المرور الطويلة ولكن المعاد استخدامها يمكن أن تفشل بسرعة بعد اختراق واحد غير ذي صلة، بينما كلمة المرور العشوائية الفريدة تحد من الضرر إلى الحساب الوحيد الذي استخدمت فيه.

لهذا الموضوع، الإعداد العملي هو تحليل الأنماط محليًا أولاً، ثم خدمات تنبيه الاختراق الموثوقة عند الحاجة. يمكنك تطبيق هذا الإعداد باستخدام مدقق قوة كلمة المرور ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. يقوم PwdGen بتوليد القيم محليًا في المتصفح باستخدام Web Crypto؛ لا يتم إرسال كلمة المرور المولدة إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. إضافة متصفح ضارة، جهاز مخترق، صفحة تصيد، أو معالجة غير آمنة للحافظة يمكن أن تعرض السر بعد توليده.

المشكلات الأكثر شيوعًا التي يجب تجنبها هي كتابة كلمات المرور الحقيقية في مواقع غير معروفة، البحث عن كلمات المرور الدقيقة في السجلات، وافتراض أن عدم وجود نتيجة يعني عدم وجود خطر. هذه المشكلات مهمة لأن المهاجمين نادرًا ما يحتاجون إلى تخمين كل كلمة مرور محتملة عندما تعطيهم العادات البشرية اختصارًا. حشو بيانات الاعتماد، التصيد، قوائم كلمات المرور المسربة، وإساءة استخدام استرداد الحساب غالبًا ما تكون أكثر واقعية من البحث الرياضي الخالص. لهذا السبب تجمع أفضل نصيحة بين جودة كلمة المرور وعناصر التحكم على مستوى الحساب مثل MFA، مفاتيح المرور، تخزين رموز الاسترداد، والمراجعة المنتظمة لإعدادات البريد الإلكتروني أو الهاتف للاسترداد.

استخدم قائمة التحقق هذه عند تطبيق التوصية:

قم بتغيير كلمات المرور المعاد استخدامها بعد الاختراق.
ابدأ بالبريد الإلكتروني والحسابات عالية القيمة.
استخدم أدوات إشعار الاختراق الموثوقة فقط.
لا تلصق أبدًا كلمة مرور حساسة في صفحات عشوائية.

إذا رفض موقع الويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدويًا. اضبط متغيرًا واحدًا في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام مفعلة وزد الطول. إذا كان الحد الأقصى للطول منخفضًا، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ أو طباعتها أو كتابتها على شاشة تلفزيون أو جهاز توجيه، فكر في استبعاد الأحرف المربكة وزيادة الطول للتعويض عن الأبجدية الأصغر.

أخيرًا، تذكر حدود نصيحة كلمة المرور. كلمة المرور القوية هي طبقة دفاع واحدة، وليست ضمانًا. لا يمكنها جعل صفحة التصيد آمنة، أو إصلاح البرامج الضارة، أو تعويض خدمة تخزن بيانات الاعتماد بشكل سيء. العادة المفيدة مملة لكنها دائمة: توليد قيمة فريدة، تخزينها بأمان، حماية مسار الاسترداد، واستبدالها بسرعة إذا اشتبهت في التعرض.

خطوة تالية آمنة

بعد قراءة هذا الدليل، قم بإجراء تدقيق صغير لحساب واحد بدلاً من محاولة إصلاح كل شيء دفعة واحدة. اختر الحساب الذي قد يسبب أكبر مشكلة إذا تم الاستيلاء عليه، وتأكد من أن كلمة المرور الخاصة به فريدة، وتحقق من البريد الإلكتروني للاسترداد، وهاتف الاسترداد، وطريقة MFA، وتخزين رمز النسخ الاحتياطي. إذا كان أي جزء من هذه السلسلة ضعيفًا، قم بتحسين ذلك الجزء قبل الانتقال إلى الحسابات منخفضة المخاطر. هذا الترتيب يحافظ على قابلية إدارة العمل ويحمي الحسابات التي من المرجح أن يستخدمها المهاجمون كنقطة انطلاق. بالنسبة لكيفية التحقق مما إذا كانت كلمة المرور قد تم تسريبها، فإن أفضل نتيجة هي عادة قابلة للتكرار: التوليد محليًا، التخزين بعناية، وتجنب إعادة الاستخدام.

الأسئلة الشائعة

هل يجب أن ألصق كلمة المرور الخاصة بي في مواقع فحص التسريب العشوائية؟

لا. استخدم فقط خدمات فحص الاختراق الموثوقة ذات تصميم خصوصية واضح، أو قم بتغيير كلمة المرور بدلاً من اختبارها.

ماذا يجب أن أفعل بعد التسريب؟

قم بتغيير كلمة المرور المتأثرة، وتغيير كلمات المرور المعاد استخدامها، وإلغاء الجلسات، ومراجعة إعدادات الاسترداد، وتفعيل MFA.

هل يمكن لـ PwdGen فحص قواعد بيانات الاختراق؟

لا. يوفر PwdGen تقديرات محلية للقوة ووقت الاختراق، وليس بحثًا عن كلمات المرور المخترقة عن بُعد.

المصادر

OWASP Credential Stuffing