نظرًا لكثرة انشغالنا وصعوبة تذكر هذا الكم من كلمات المرور التي نحتاجها يوميًا؛ قد نلجأ إلى اختيار كلمات مرور سهلة التذكر مثل أرقام الهاتف أو ماركتنا المفضلة أو فريقنا الذي نشجعه، أو تاريخ ميلادنا أو غيرها من الأمور التي يسهل توقعها. ولربما نقوم أيضًا بإعادة استخدام كلمة المرور ذاتها لأكثر من حساب، بل ربما نستخدمها لجميع الحسابات… ثم بعد ذلك نتساءل: كيف تم اختراق حسابي؟!
بكل تأكيد يكمن السبب في طريقة تعاملنا الخاطئة مع كلمات المرور، سواء في طريقة اختيارها، أو طريقة حفظها وتداولها. وإليك أبرز السلوكيات الخاطئة في التعامل مع كلمات المرور.
أبرز السلوكيات الخاطئة في التعامل مع كلمات المرور
استخدام نفس كلمة المرور لأكثر من حساب.
استخدام كلمات مرور ضعيفة يمكن تخمينها بسهولة-أقل من 14رمز-.
استخدام أرقام متسلسلة (123456) أو (987654). أو حروف متسلسلة (abcd) أو حروف بنفس ترتيب وجودها في لوحة المفاتيح (qwerty).
أرقام الهاتف وتاريخ الميلاد.
استخدام أحرف من اسمك، أو اسم طفلك أو والدك.
كلمات واقعية يسهل إيجادها في القاموس، أو كلمات شائعة الاستخدام في حياتنا اليومية.
حفظ كلمات المرور في بيئات تخزين غير آمنة.
الإفصاح عن كلمة المرور للآخرين.
مشاركة الأجهزة مع الأصدقاء مع حفظ كلمة المرور عليها.
استخدام الأحرف الكبيرة (uppercase) أو الصغيرة (lowercase) فقط.
استخدام خيار تذكرني (Remember me)
السماح للمتصفح بحفظ كلمة المرور.
عدم تغيير كلمة المرور لفترة طويلة (يُفضَّل تغيير كلمة المرور مرة كل 6 أشهر).
ولعلَّ أفضل طريقة لتفادي الوقوع في شباك الهاكرز هي معرفة كيف يستطيعون الوصول إلى حسابك أو معلوماتك، وعندها ستكون في وضع أفضل لفهم الطرق المحتملة التي يمكن من خلالها أن تفقد معلوماتك، ومن ثمَّ يُمْكِنك حماية نفسك من عمليات الاختراق، أو على الأقل التقليل منها.
كيف يحصل الهاكرز على كلمات المرور الخاصة بنا؟
راصد لوحة المفاتيح Keylogger
يتسلل بعض القراصنة للأجهزة عن طريق برامج رصد لوحة المفاتيح والتي يُرسلونها كمرفق عبر الميل، أو ادِّعاء أنه برنامج مفيد للجهاز أو كراك لتفعيل برنامج ما.
ومن ثمَّ يستخدمونها للاطلاع على بيانات الضحية التي يستهدفون، وخاصة معلومات الحسابات البنكية.
وتتلخص وظيفة راصد لوحة المفاتيح في تسجيل كل ما يُكتب من خلال لوحة المفاتيح، وإرسال هذه المعلومات إلى جهة مُحددة مسبقًا للبرنامج.
(Remote access Trojan RAT)
هي عبارة عن برمجية خبيثة تقوم بعمل باب خلفي في الجهاز المُستهدَف؛ تسمح للهاكر باستخدام الجهاز كما لو كان صاحبه، فيستطيع فتح الكاميرا ومسجل الصوت والتقاط صور للشاشة أو صورة للبيئة المُحيطة بالجهاز، والحصول على كافة المعلومات بما في ذلك ملفات تعريف الارتباط (cookies) وكلمات المرور ومعلومات الحساب البنكي… باختصار يستطيع المُختَرِق أن يفعل كل ما يستطيع صاحب الجهاز الأصلي فعله. وعادةً ما تُخبَّأ تلك البرمجيات داخل برامج أخرى، أو تُرسل كمرفق في رسالة بريد إلكتروني.
الحصول على أحد كلمات المرور أو تخمينها
كثير من المستخدمين يعيدون استخدام كلمات المرور لأكثر من موقع، مما يعني فُرصة ذهبية للمخترق للسيطرة على حسابات هؤلاء الأشخاص بشكل كامل بمجرد حصوله على كلمة المرور هذه، سواء عن طريق تخمينها باستخدام أحد البرامج المخصصة لذلك، أو عن طريق إحدى الطرق السابقة.
أما هؤلاء الذين يستخدمون كلمات مختلفة ولكنهم يسمحون بتسجيل الدخول من خلال خطوة واحدة، فيمكن للمُخترِق بمجرد حصوله على كلمة مرور البريد الإلكتروني الخاص بهم أن يطلب إعادة تعيين كلمات المرور الخاصة بالموقع الذي يُريد عن طريق البريد.
هجوم التصيّد Phishing Attacks
يتمثل هجوم التصيد في الحصول على معلومات المستخدم دون أن يشعر أنه قد وقع في فخٍّ ما، فما يميز هجوم التصيد هو استخدامه للخداع والواجهات الزائفة.
كأن يرسل الهاكر رسالة بريد زائفة إلى الشخصية المستهدفة تحوي رابطًا يطلب منه فيه إدخال بيانات شخصية، وبمجرد الدخول إلى هذا الرابط تظهر واجهة شبيهة تمامًا بواجهة الموقع الحقيقي-كواجهة موقع فيسبوك أو تويتر أو الحسابات البنكية-كما أن عنوان الموقع يبدو وكأنه مطابق للموقع الأصلي، وعند إدخال المعلومات إلى هذه الواجهة يتم إرسال المعلومات بشكل آلي إلى المُختَرِق، وتوجيه الشخص المستهدف إلى الموقع الأصلي بعد الحصول على معلوماته، حتى لا يشعر أن شيئًا ما قد حدث.
وأسوأ ما في الأمر أنه لا يتوقف فقط على محتالي الإنترنت،
بل يقوم بعض مزودي خدمة الإنترنت بنفس الشيء
لجمع بيانات المستخدمين لصالح الحكومات.
وهناك طريقتان للتأكد من صحة الرابط:
التأشير بسهم الفأرة على الرابط دون الضغط عليه،
فإذا ظهر عنوان مختلف فتأكد أن هذا هجوم تصيد.
قراءة روابط المواقع بعناية عند الدخول إليها،
والتأكد أن الرابط يبدأ بـ https وليس http.
تابع