محبط من تداعيات Heartbleed؟ انت لست وحدك. أحدث الخلل الصغير في مكتبة SSL الأكثر شهرة في العالم ثغرات كبيرة في الغلاف الأمني الخاص بنا الاتصالات مع جميع أنواع مواقع الويب والتطبيقات والخدمات المستندة إلى السحابة - والثغرات ليست كلها مصححة بعد.
سمح خطأ Heartbleed للمهاجمين بنزع الطبقة المقاومة للتطفل في OpenSSL وإلقاء نظرة خاطفة على الاتصالات بين العميل والخادم. وقد أعطى هذا للمتسللين نظرة على أشياء مثل كلمات المرور وملفات تعريف الارتباط الخاصة بالجلسة، وهي عبارة عن أجزاء صغيرة من البيانات التي يمكن الوصول إليها يرسل لك الخادم بعد تسجيل الدخول ويرسل متصفحك ردًا في كل مرة تفعل فيها شيئًا ما لإثبات ذلك أنت. وإذا أثر الخلل على موقع مالي، فمن المحتمل أن يتم رؤية معلومات حساسة أخرى كنت تمر بها عبر الإنترنت، مثل معلومات بطاقة الائتمان أو المعلومات الضريبية.
مقاطع الفيديو الموصى بها
كيف يمكن للإنترنت أن يحمي نفسه بشكل أفضل من الأخطاء الكارثية مثل هذه؟ لدينا بعض الأفكار.
نعم، أنت بحاجة إلى كلمات مرور أكثر أمانًا: إليك كيفية إنشائها
حسنًا، كلمات المرور الأفضل لن تمنع حدوث Heartbleed القادم، لكنها قد تنقذك من الاختراق يومًا ما. كثير من الناس مروعون في إنشاء كلمات مرور آمنة.
لقد سمعت كل هذا من قبل: لا تستخدم "password1"، أو "password2"، وما إلى ذلك. معظم كلمات المرور لا تحتوي على ما يكفي مما يسمى الإنتروبيا، فهي بالتأكيد كذلك لا عشوائي وهم سوف يمكن تخمين ما إذا أتيحت الفرصة للمهاجم لإجراء الكثير من التخمينات، إما عن طريق ضرب الخدمة أو (على الأرجح) سرقة تجزئات كلمة المرور – الاشتقاقات الرياضية لكلمات المرور التي يمكن التحقق منها ولكن لا يمكن عكسها مرة أخرى إلى الأصل كلمة المرور.
مهما فعلت، لا تستخدم نفس كلمة المرور في أكثر من مكان.
يمكن أن تساعد أيضًا برامج أو خدمات إدارة كلمات المرور التي تستخدم التشفير الشامل. كي باس هو مثال جيد على السابق؛ لاست باس من الأخير. قم بحماية بريدك الإلكتروني جيدًا، حيث يمكن استخدامه لإعادة تعيين معظم كلمات المرور الخاصة بك. ومهما فعلت، لا تستخدم نفس كلمة المرور في أكثر من مكان واحد، فأنت فقط تثير المتاعب.
تحتاج مواقع الويب إلى تطبيق كلمات مرور لمرة واحدة
يرمز OTP إلى "كلمة المرور لمرة واحدة"، ويمكنك استخدامها بالفعل إذا كان لديك موقع ويب/خدمة تتطلب منك استخدامها أداة مصادقة جوجل. يستخدم معظم هؤلاء الموثقين (بما في ذلك Google) معيار إنترنت يسمى TOTP، أو كلمة المرور لمرة واحدة المستندة إلى الوقت، الذي هو موضح هنا.
ما هو TOTP؟ باختصار، يقوم موقع الويب الذي تتصفحه بإنشاء رقم سري، والذي يتم تمريره مرة واحدة إلى برنامج المصادقة الخاص بك، عادةً من خلال رمز الاستجابة السريعة. في الاختلاف المستند إلى الوقت، يتم إنشاء رقم جديد مكون من ستة أرقام من هذا الرقم السري كل 30 ثانية. لا يحتاج موقع الويب والعميل (جهاز الكمبيوتر الخاص بك) إلى التواصل مرة أخرى؛ يتم عرض الأرقام ببساطة على أداة المصادقة الخاصة بك وتقوم بتقديمها إلى موقع الويب كما هو مطلوب بالإضافة إلى كلمة المرور الخاصة بك، وبذلك تكون قد انضممت. هناك أيضًا صيغة مختلفة تعمل عن طريق إرسال نفس الرموز إليك عبر رسالة نصية.
مزايا TOTP: حتى لو أدى خطأ Heartbleed أو أي خطأ مشابه إلى الكشف عن كلمة المرور الخاصة بك والرقم الموجود على أداة المصادقة الخاصة بك، فإن موقع الويب الذي تستخدمه من المؤكد تقريبًا أن التفاعل مع هذا الرقم قد وضع علامة على هذا الرقم على أنه مستخدم ولا يمكن استخدامه مرة أخرى، وسيكون غير صالح خلال 30 ثانية على أي حال. إذا كان موقع الويب لا يقدم هذه الخدمة بالفعل، فمن المحتمل أن يفعل ذلك بسهولة نسبيًا، وإذا كان لديك أي هاتف ذكي تقريبًا، فيمكنك تشغيل أداة المصادقة. من غير الملائم قليلًا الرجوع إلى هاتفك لتسجيل الدخول، هذا أمر مؤكد، لكن الميزة الأمنية لأي خدمة تهتم بها تجعل الأمر يستحق العناء.
مخاطر TOTP: اقتحام الخادم أ مختلف يمكن أن تؤدي هذه الطريقة إلى الكشف عن الرقم السري، مما يمكن المهاجم من إنشاء أداة المصادقة الخاصة به. ولكن إذا كنت تستخدم TOTP مع كلمة مرور لا يتم تخزينها بواسطة موقع الويب، فإن معظم مقدمي الخدمة الجيدين يقومون بتخزين كلمة مرور hash الذي يقاوم بشدة الهندسة العكسية، فبينهما تكون المخاطرة كبيرة جدًا خفضت.
قوة شهادات العميل (وما هي)
ربما لم تسمع أبدًا عن شهادات العميل، لكنها في الواقع كانت موجودة منذ فترة طويلة جدًا (في سنوات الإنترنت بالطبع). السبب الذي ربما لم تسمع به عنهم هو أنهم عمل روتيني. من الأسهل بكثير أن تطلب من المستخدمين اختيار كلمة مرور، لذا فإن المواقع ذات الأمان العالي فقط هي التي تميل إلى استخدام الشهادات.
ما هي شهادة العميل؟ تثبت شهادات العملاء أنك الشخص الذي تدعي أنك عليه. كل ما عليك فعله هو تثبيته (وواحد يعمل عبر العديد من المواقع) في متصفحك، ثم اختيار استخدامه عندما يطلب منك أحد المواقع المصادقة. تعتبر هذه الشهادات قريبة جدًا من شهادات SSL التي تستخدمها مواقع الويب لتعريف نفسها بجهاز الكمبيوتر الخاص بك.
الطريقة الأكثر فعالية التي يمكن لموقع الويب من خلالها حماية بياناتك هي عدم امتلاكها مطلقًا في المقام الأول.
مميزات شهادات العميل: بغض النظر عن عدد المواقع التي تقوم بتسجيل الدخول إليها باستخدام شهادة العميل، فإن قوة الرياضيات في صالحك؛ لن يتمكن أي شخص من استخدام نفس الشهادة للتظاهر بأنه أنت، حتى لو كان يراقب جلستك.
مخاطر شهادات العميل: الخطر الأساسي لشهادة العميل هو إمكانية اقتحام شخص ما لك الكمبيوتر وسرقته، ولكن هناك عوامل تخفيف لهذه المخاطر. هناك مشكلة محتملة أخرى وهي أن شهادات العميل النموذجية تحمل بعض معلومات الهوية التي قد لا ترغب في الكشف عنها لكل موقع تستخدمه. على الرغم من أن شهادات العميل كانت موجودة إلى الأبد، إلا أن دعم العمل موجود في خادم الويب البرمجيات، لا يزال هناك الكثير من العمل الذي يتعين القيام به من جانب مقدمي الخدمة والمتصفحات لهم العمل حسنًا. ونظرًا لاستخدامها نادرًا جدًا، فإنها لا تحظى إلا بقدر قليل من الاهتمام التنموي.
والأهم من ذلك: التشفير الشامل
الطريقة الأكثر فعالية التي يمكن لموقع الويب من خلالها حماية بياناتك هي عدم امتلاكها مطلقًا في المقام الأول - على الأقل، عدم الحصول على نسخة يمكن قراءتها. إذا كان بإمكان موقع ويب قراءة بياناتك، فيمكن للمهاجم الذي يتمتع بإمكانية الوصول الكافي قراءة بياناتك. ولهذا السبب نحب التشفير الشامل (E2EE).
ما هو التشفير الشامل؟ هذا يعني أنك تشفير البيانات على نهايتك، وذلك يبقى مشفرة حتى تصل إلى الشخص الذي تنوي إرسالها إليه، أو تعود إليك.
مزايا E2EE: يتم تنفيذ التشفير الشامل في عدد قليل من الخدمات بالفعل، مثل خدمات النسخ الاحتياطي عبر الإنترنت. هناك أيضًا إصدارات أضعف منه في بعض خدمات المراسلة، خاصة تلك التي ظهرت بعد الكشف عن سنودن. من الصعب على مواقع الويب إجراء تشفير شامل لسببين: قد يحتاجون إلى رؤية بياناتك لتقديم خدماتهم، ومتصفحات الويب سيئة في إجراء E2EE. ولكن في عصر تطبيقات الهواتف الذكية، يعد التشفير الشامل أمرًا يمكن ويجب القيام به في كثير من الأحيان. لا تستخدم معظم التطبيقات E2EE اليوم، ولكننا نأمل أن نرى المزيد منها في المستقبل. إذا كانت تطبيقاتك لا تستخدم E2EE لبياناتك الحساسة، فيجب عليك تقديم شكوى.
مخاطر E2EE: لكي يعمل التشفير الشامل، يجب أن يتم ذلك في جميع المجالات - إذا كان التطبيق أو موقع الويب يفعل ذلك بفتور، فقد ينهار بيت البطاقات بأكمله. يمكن أحيانًا استخدام جزء واحد من البيانات غير المشفرة للوصول إلى الباقي. الأمن هو لعبة الحلقة الأضعف. يجب أن يفشل رابط واحد فقط في السلسلة في كسره.
إذن ماذا الآن؟
من الواضح أنه لا يوجد الكثير مما يمكنك التحكم فيه كمستخدم. ستكون محظوظًا إذا وجدت خدمة تستخدم كلمات مرور لمرة واحدة مع أداة مصادقة. ولكن يجب عليك بالتأكيد التحدث إلى مواقع الويب والتطبيقات التي تستخدمها وإخبارهم بأنك تدرك الأخطاء في البرامج، وتعتقد أنهم يجب أن يأخذوا الأمن على محمل الجد أكثر وألا يعتمدوا عليه ببساطة كلمات المرور.
إذا كان المزيد من مستخدمي الإنترنت يستخدمون أساليب الأمان المتقدمة هذه، فربما تحدث في المرة القادمة كارثة برمجية بحجم Heartbleed — وهناك سوف في النهاية، لن نضطر إلى الذعر كثيرًا.
[الصورة مقدمة من منجل5/صراع الأسهم]
