إذا كنت تعتقد أن النسخة الصحيحة الوحيدة لكلمة المرور الخاصة بك هي الأحرف الكبيرة وتسلسل الحروف/الرموز الذي تستخدمه، فقد تصاب بالصدمة. سيقبل Facebook اختلافات طفيفة في كلمة المرور الخاصة بك، لراحتك. وهذا آمن تمامًا.
كلمات المرور من السهل أن تكتب بشكل خاطئ
تواجه مواقع مثل Facebook ومواقع أخرى مشكلة. فهم يريدون منك استخدام كلمات مرور طويلة ومعقدة، ولكن من الصعب كتابتها. يجب عليك استخدام مدير كلمات المرور للتعامل مع هذه المشكلة، ولكن معظم الأشخاص لا يفعلون ذلك. وبسبب هذين العاملين، من الشائع أن تخطئ في كتابة كلمة المرور.
في هذه المرحلة ماذا يجب على الفيسبوك أن يفعل؟
هل ينبغي لهم أن يرفضوا دخولك لمجرد أن كلمة المرور التي أدخلتها غير دقيقة بعض الشيء، وأن يزعجوك بمحاولة ثانية؟ أم ينبغي لهم أن يدركوا أن كلمة المرور التي أدخلتها كانت صحيحة على الأرجح ولكنها تحتوي على خطأ إملائي، وأن يتجاهلوا الخطأ ويساعدوك على الوصول إلى صور متحركة لقطط وأطفال؟
فيسبوك يقيّم الأخطاء في كلمات المرور
مثل أليك موفيتيوضح مهندس برمجيات سابق لفريق البنية التحتية الأمنية في قسم هندسة فيسبوك في لندن أن فيسبوك اختارت الخيار الأخير. إذا كانت كلمة المرور الخاصة بك قريبة جدًا من الصحيحة، فقد يعتبرونها دقيقة. القواعد الخاصة بهذا الأمر واضحة. سيقبل فيسبوك كلمة مرور غير صحيحة إذا كانت تلبي أيًا من الشروط التالية:
- لقد قمت بتشغيل قفل الحروف الكبيرة، وتم عكس الحروف الكبيرة.
- أدخل حرفًا إضافيًا في بداية أو نهاية كلمة المرور
- يجب أن يكون الحرف الأول من كلمة المرور أحرفًا صغيرة، ولكنك كتبتها بأحرف كبيرة
كما ترى، فإن كل هذه الاختلافات تدور حول المفهوم الأساسي المتمثل في نسيان كلمة المرور قليلاً عند الكتابة. وفي بعض الحالات، قد يكون هذا بسبب التصحيح التلقائي، مثل كتابة الحرف الأول من الكلمة بأحرف كبيرة. وإذا كانت كلمة المرور التي كتبتها بشكل خاطئ تلبي هذه القواعد المحددة، فلن تعرف أن هناك مشكلة — بل ستجد نفسك مسجلاً الدخول.
على سبيل المثال، لنفترض أن كلمة المرور الخاصة بك هي “letMeIn”. سيقبل Facebook أيضًا “LETmEiN” (لأن هذا عكس لمفتاح Caps Lock) و”LetMeIn” (لأن هذا خطأ في استخدام الأحرف الكبيرة للحرف الأول). سيقبل أيضًا أشكالًا مختلفة مثل “1letMeIn” و”letMeIn2″ لأنها صحيحة باستثناء حرف إضافي في البداية أو النهاية. ومع ذلك، لن يقبل “LETMEIN” أو “letmein” أو “12LetMeIn” على الإطلاق.
هذه العملية لا تزال آمنة
للوهلة الأولى، يبدو التساهل في استخدام كلمات المرور من جانب فيسبوك غير آمن. ولكن في هذه الحالة، فإن الحقيقة أكثر تعقيدًا. فبينما من السهل أن نفكر في مسلسلات الجريمة القديمة التي يرتكبها القراصنة والتي أظهرت تخمينًا سريعًا لكلمات المرور باستخدام القوة الغاشمة في دقائق معدودة، فإن الاختراق لا يعمل بهذه الطريقة على الإطلاق. إن استخدام القوة الغاشمة لكلمات المرور غير المعروفة أمر موجود بالفعل، ولكنه مختلف تمامًا عما توحي به البرامج التلفزيونية. يُظهر xkcd بشكل مشهورمع زيادة طول كلمة المرور، يزداد الوقت اللازم لكسرها بشكل كبير. قد يساعد إضافة التعقيد، ولكن ليس بالقدر الذي قد تتخيله.
لذا فإن أحد السيناريوهات التي يسمح بها موقع فيسبوك، وهو إضافة حرف إضافي في بداية أو نهاية كلمة المرور، سيكون من الصعب اختراقه بالقوة الغاشمة. إذ يتعين على المتسللين بالفعل الحصول على كلمة المرور الصحيحة قبل الوصول إلى كلمة المرور بالإضافة إلى حرف إضافي.
من الأمور المثيرة للاهتمام بشكل خاص سيناريو استخدام الأحرف الكبيرة. لقد اختبرت ذلك عن طريق كتابة كلمة المرور يدويًا في المفكرة أولاً، ثم عكس حالة الأحرف، ثم لصق تلك النتيجة في Facebook. لقد رفض كلمة المرور تلك. ثم قمت بتشغيل الأحرف الكبيرة وكتبت كلمة المرور الخاصة بي كما لو كان قفل الأحرف الكبيرة معطلاً، وبالتالي عكس حالة الأحرف. كانت تلك المحاولة ناجحة، وتم تسجيل دخولي. لا يتحقق Facebook فقط من كلمة المرور ولكن أيضًا من كيفية إدخالها. لن تساعد القوة الغاشمة في هذا السيناريو، باستثناء محاكاة قفل الأحرف الكبيرة، والذي سيكون أكثر صعوبة من مجرد محاولة إدخال كلمة المرور الفعلية.
التحديث: كما يشير مستشار أمن المعلومات بول مور تغريدمن المرجح أن يقوم Facebook بتخزين كلمة المرور الأصلية فقط (المشفرة والمملحة بشكل صحيح) وليس المتغيرات الخاصة بكلمة المرور الخاصة بك. عندما ترسل كلمة مرور لتسجيل الدخول، يتم التحقق منها مقابل كلمة المرور الأصلية الخاصة بك. إذا لم تتطابق، يقوم Facebook بتشغيل كلمة المرور التي أرسلتها من خلال هذه المتغيرات. على سبيل المثال، إذا كان Caps Lock قيد التشغيل، يأخذ Facebook كلمة المرور التي أرسلتها، ويعكس كتابة الأحرف الكبيرة، ويحاول مرة أخرى. إذا لم ينجح ذلك، يحاول Facebook مرة أخرى باستخدام السيناريو التالي. في الأساس، يقوم Facebook بما كنت ستفعله عند تلقي رسالة “كلمة مرور خاطئة” – التحقق من وجود خطأ عرضي في كلمة المرور المكتوبة وتصحيحها. هذا يجعل العملية برمتها أقل إحباطًا بالنسبة لك. هذا لا يقلل من الأمان، لأن بعض فكرة كلمة المرور الصحيحة لا تزال مطلوبة والمتغيرات المقبولة ضيقة.
والأمر الأكثر أهمية هو أن أساليب القوة الغاشمة ليست الطريقة الأساسية للوصول إلى الشبكات الاجتماعية والحسابات الأخرى. فالهندسة الاجتماعية وتفريغ كلمات المرور أسهل كثيراً في الاستخدام. وإذا كانت لديك أسئلة لإعادة تعيين كلمة المرور، فهناك احتمال كبير بأن تكون بعض الإجابات على الأقل معلومات متاحة للعامة. وإذا كان سؤال إعادة تعيين كلمة المرور يتعلق بمكان ميلادك أو اسم عائلة والدتك أو تميمة المدرسة الثانوية، فمن الممكن تعقب الإجابة. وعند هذه النقطة، يمكن لمجرم إعادة تعيين كلمة المرور الخاصة بك، مما يجعل أي حاجة لتخمين أو تحديد كلمة المرور نفسها غير ذات جدوى على الإطلاق.
لسوء الحظ، لا يزال العديد من الأشخاص يستخدمون نفس تركيبة البريد الإلكتروني وكلمة المرور في كل موقع يتطلب بيانات اعتماد تسجيل الدخول. لست بحاجة إلى البحث كثيرًا للعثور على حالة تلو الأخرى من حالات اختراق البيانات. إذا كنت تستخدم نفس تركيبة البريد الإلكتروني وكلمة المرور في أكثر من مكان، واستمرت هذه الحال لسنوات، فإن كلمات المرور الخاصة بك هي نقطة الضعف، وليس سياسات Facebook.
إذا لم تكن متأكدًا مما إذا كنت ضحية لاختراق، فانتقل إلى haveibeenpwned.com وتأكد من أن كلمة المرور الخاصة بك قد تعرضت للسرقة. فمن المحتمل أن يكون أحد حساباتك على الأقل قد تعرض للاختراق في مكان ما.
يجب عليك تأمين حساباتك دائمًا
إذا كنت لا تزال قلقًا من أن هذه السياسة تجعلك عُرضة للخطر، فهناك خطوات يمكنك اتخاذها. الخطوة الأولى هي التوقف عن استخدام نفس كلمة المرور لكل موقع. بدلاً من ذلك، احصل على مدير كلمات مرور واتركه ينشئ كلمات مرور طويلة وفريدة لكل موقع مختلف تستخدمه. ثم، في المرة التالية التي ترى فيها أن موقعًا إلكترونيًا استخدمته قد تعرض للاختراق، يمكنك تغيير كلمة المرور هذه فقط والشعور بالأمان مع العلم أن كلمة المرور المعروفة هذه لن تفيد المتسللين بأي شيء.
بعد أن تقوم بتعزيز كلمات المرور الخاصة بك، قم بتشغيل المصادقة الثنائية في أي موقع يوفرها. يقدم موقع Facebook مصادقة ثنائية العوامل، لذا يجب عليك إعدادها هناك أيضًا. تعتمد أفضل مصادقة ثنائية العوامل على تطبيق على هاتفك الذكي يولد رمزًا جديدًا بشكل متكرر أو مفتاحًا ماديًا تحتفظ به معك. في حين أن المصادقة الثنائية القائمة على الرسائل القصيرة أفضل من لا شيء، إلا أنها لا تزال عرضة لتقنيات الهندسة الاجتماعية. لذا إذا كان بإمكانك الاعتماد على تطبيق مصادقة أو مفتاح مادي، فيجب عليك ذلك. واحتفظ بنسخة احتياطية في حالة حدوث أي شيء لهاتفك أو مفتاحك.
بفضل هذه المجموعة، يصبح حسابك أكثر أمانًا بغض النظر عن سياسات كلمة المرور الخاصة بفيسبوك. يجب عليك على الأقل استخدام مدير كلمات مرور وكلمات مرور فريدة، ولكن استخدام هذه الأدوات مع المصادقة الثنائية أفضل.
لا داعي للذعر، استمتع بالراحة
أما فيما يتصل بسياسة كلمات المرور التي تنتهجها شركة فيسبوك، فمن السهل أن نخشى أن تكون هذه السياسة أقل أمناً، ولكن الحقيقة هي أن الفوائد تفوق المخاطر. فالأمن عملية موازنة. فكلما زادت عملية تأمين النظام، كلما أصبح الوصول إليه أقل ملاءمة. ولكن كلما زادت سهولة الوصول إليه، كلما فقدت الأمان. والحيلة هنا هي الحصول على القدر المناسب من كل من الأمن والحماية للمستخدمين دون إحباطهم. لقد أخطأت شركة فيسبوك في جانب راحة المستخدم، وربما كان هذا قراراً مقبولاً.