دليل الأمان

لماذا لا يجب إعادة استخدام كلمات المرور

افهم هجمات حشو بيانات الاعتماد، ومخاطر إعادة استخدام كلمة المرور، وعواقب الاختراق، ولماذا يحتاج كل حساب إلى كلمة مرور فريدة.

ملخص

إعادة استخدام كلمة المرور هي إحدى أكثر الطرق شيوعًا التي يحول بها اختراق واحد إلى استيلاء على حسابات متعددة. يمكن أن تكون كلمة المرور طويلة وعشوائية، ولكن إذا استخدمتها في أكثر من خدمة، فإن تسرب من خدمة واحدة يمكن أن يكشف الخدمات الأخرى.

استخدم مولد كلمات المرور العشوائية لإنشاء قيمة فريدة لكل حساب.

حشو بيانات الاعتماد

يجمع المهاجمون أزواج أسماء المستخدمين وكلمات المرور المسربة من الاختراقات والتصيد والبرامج الضارة والمجموعات العامة. ثم يحاولون استخدام بيانات الاعتماد هذه على خدمات البريد الإلكتروني والبنوك والتسوق والتواصل الاجتماعي والعمل. ينجح الهجوم لأن العديد من الأشخاص يعيدون استخدام كلمات المرور.

لماذا التفرد مهم

التفرد يعزل الضرر. إذا قامت خدمة ما بتخزين كلمات المرور بشكل سيئ أو تم اختراقها، فلا ينبغي لكلمة المرور المكشوفة أن تفتح بريدك الإلكتروني أو حسابك البنكي أو التخزين السحابي أو حساب العمل.

توصيات عملية

أنشئ كلمة مرور مختلفة لكل حساب.
أعط الأولوية للبريد الإلكتروني أولاً لأنه يتحكم في إعادة تعيين كلمات المرور.
استخدم مدير كلمات مرور لتجنب حفظ العديد من القيم.
فعّل المصادقة متعددة العوامل (MFA) أو مفاتيح المرور.
غيّر كلمات المرور المعاد استخدامها فور اكتشافها.

إرشادات مفصلة

يركز هذا الدليل على فهم سبب خلق إعادة استخدام كلمة المرور لخطر الاستيلاء على الحساب. إنه مكتوب للمستخدمين الذين يستخدمون كلمة مرور مفضلة واحدة عبر خدمات متعددة، لذا فإن الهدف العملي ليس تقديم ادعاء أمني مثير. الهدف هو اختيار عادة كلمة مرور يمكنها البقاء في الاستخدام اليومي: نماذج تسجيل الدخول، ومديري كلمات المرور، ولوحات المفاتيح المحمولة، واستعادة الحساب، والأجهزة المشتركة، والخدمة العرضية ذات قواعد التحقق الغريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.

أكثر نقطة بداية أمانًا هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة يتم اختيارها من مساحة كبيرة بواسطة مصدر عشوائي مناسب تشفيريًا، وليس اختراعها من تاريخ ميلاد أو اسم حيوان أليف أو نمط لوحة مفاتيح أو اقتباس مفضل. التفرد يعني عدم استخدام نفس كلمة المرور في أي مكان آخر. كلمة المرور الطويلة ولكن المعاد استخدامها يمكن أن تفشل بسرعة بعد اختراق غير ذي صلة، بينما كلمة المرور العشوائية الفريدة تحد من الضرر إلى الحساب الفردي الذي استخدمت فيه.

لهذا الموضوع، الإعداد العملي هو كلمات مرور عشوائية فريدة لكل حساب، مخزنة في مدير. يمكنك تطبيق هذا الإعداد باستخدام مولد كلمات المرور المكونة من 16 حرفًا ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. يقوم PwdGen بتوليد القيم محليًا في المتصفح باستخدام Web Crypto؛ لا يتم إرسال كلمة المرور المولدة إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. يمكن لإضافة متصفح ضارة أو جهاز مخترق أو صفحة تصيد أو معالجة غير آمنة للحافظة أن تكشف السر بعد توليده.

المشكلات الأكثر شيوعًا التي يجب تجنبها هي حشو بيانات الاعتماد، والاختراقات القديمة، وصفحات التصيد، والحسابات المشتركة، وكلمات مرور الاستعادة المعاد استخدامها. هذه المشكلات مهمة لأن المهاجمين نادرًا ما يحتاجون إلى تخمين كل كلمة مرور محتملة عندما تعطيهم العادات البشرية اختصارًا. حشو بيانات الاعتماد والتصيد وقوائم كلمات المرور المسربة وإساءة استخدام استعادة الحساب غالبًا ما تكون أكثر واقعية من البحث الرياضي البحت. لهذا السبب تجمع أفضل نصيحة بين جودة كلمة المرور وعناصر التحكم على مستوى الحساب مثل MFA ومفاتيح المرور وتخزين رموز الاستعادة والمراجعة المنتظمة لإعدادات البريد الإلكتروني أو الهاتف للاستعادة.

استخدم قائمة التحقق هذه عند تطبيق التوصية:

ابدأ بحسابات البريد الإلكتروني والبنوك.
استبدل كلمات المرور المعاد استخدامها تدريجيًا.
استخدم مديرًا لتجنب حفظ العديد من القيم.
فعّل تنبيهات الاختراق حيثما كانت متاحة.

إذا رفض موقع ويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدويًا. اضبط متغيرًا واحدًا في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام مفعلة وزد الطول. إذا كان الحد الأقصى للطول منخفضًا، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ أو طباعتها أو كتابتها على شاشة تلفزيون أو جهاز توجيه، فكر في استبعاد الأحرف المربكة وزيادة الطول للتعويض عن الأبجدية الأصغر.

أخيرًا، تذكر حدود نصيحة كلمة المرور. كلمة المرور القوية هي طبقة واحدة من الدفاع، وليست ضمانًا. لا يمكنها جعل صفحة التصيد آمنة، أو إصلاح البرامج الضارة، أو تعويض خدمة تخزين بيانات الاعتماد بشكل سيئ. العادة المفيدة مملة ولكنها دائمة: أنشئ قيمة فريدة، وخزّنها بأمان، واحمِ مسار الاستعادة، واستبدلها بسرعة إذا اشتبهت في التعرض.

خطوة تالية آمنة

بعد قراءة هذا الدليل، قم بإجراء تدقيق صغير لحساب واحد بدلاً من محاولة إصلاح كل شيء دفعة واحدة. اختر الحساب الذي قد يسبب أكبر مشكلة إذا تم الاستيلاء عليه، وتأكد من أن كلمة المرور الخاصة به فريدة، وتحقق من البريد الإلكتروني للاستعادة وهاتف الاستعادة وطريقة MFA وتخزين رمز النسخ الاحتياطي. إذا كان أي جزء من هذه السلسلة ضعيفًا، حسّن ذلك الجزء قبل الانتقال إلى الحسابات الأقل خطورة. هذا الترتيب يحافظ على قابلية إدارة العمل ويحمي الحسابات التي من المرجح أن يستخدمها المهاجمون كنقطة انطلاق. بالنسبة لسبب عدم إعادة استخدام كلمات المرور، أفضل نتيجة هي عادة قابلة للتكرار: أنشئ محليًا، وخزّن بعناية، وتجنب إعادة الاستخدام.

الأسئلة الشائعة

ما هو حشو بيانات الاعتماد؟

حشو بيانات الاعتماد هو عندما يحاول المهاجمون استخدام أزواج أسماء المستخدمين وكلمات المرور المسربة على خدمات أخرى.

هل إعادة الاستخدام لا تزال خطيرة إذا كانت كلمة المرور قوية؟

نعم. كلمة المرور القوية المعاد استخدامها يمكنها still فتح حسابات متعددة بعد تسربها من خدمة واحدة.

ماذا يجب أن أفعل بعد إعادة استخدام كلمة المرور؟

غيّر كل حساب استخدمها، بدءًا من البريد الإلكتروني والبنوك والعمل وحسابات استعادة مدير كلمات المرور.

المصادر

OWASP Credential Stuffing