كيفية الحماية من هجمات قاموس كلمات المرور

تهدد هجمات القاموس أمان شبكاتك ومنصاتك. فهي تحاول اختراق حساب المستخدم من خلال إنشاء كلمة مرور مطابقة. تعرف على كيفية عملها وكيفية التغلب عليها.

تم تقديم هذه المقالة الخاصة بأسبوع التوعية بالأمن السيبراني إليك بالتعاون مع Incogni .

ما هو هجوم القاموس؟

إن هجمات القاموس هي مجموعة من الهجمات الإلكترونية التي تشترك في تقنية هجومية مشتركة. وهي تستخدم قوائم طويلة ــ وأحيانا قواعد بيانات كاملة ــ من الكلمات وقطعة من البرمجيات. ويقرأ البرنامج كل كلمة من القائمة بالترتيب ويحاول استخدامها ككلمة مرور للحساب الذي يتعرض للهجوم. وإذا تطابقت إحدى الكلمات في القائمة مع كلمة المرور الحقيقية، فإن الحساب يصبح معرضا للخطر.

تختلف هذه الهجمات عن النوع الأكثر بدائية من هجمات القوة الغاشمة. تحاول هجمات القوة الغاشمة استخدام مجموعات عشوائية من الحروف والرموز على أمل أن تعثر على كلمة المرور بالصدفة والحظ السعيد. هذه الهجمات غير فعالة. فهي تستغرق وقتًا طويلاً وتتطلب الكثير من العمليات الحسابية.

إن الجهد المبذول لاختراق كلمة مرور ما يرتفع بشكل هائل مع كل حرف إضافي تضيفه إلى كلمة مرورك. فهناك أوامر من حيث الحجم من التركيبات في كلمة مرور مكونة من ثمانية أحرف مقارنة بكلمة مرور مكونة من خمسة أحرف. ولا يوجد ما يضمن نجاح هجوم القوة الغاشمة. ولكن في حالة هجمات القاموس، إذا تطابق أحد الإدخالات في القائمة مع كلمة مرورك، فإن الهجوم سينجح في النهاية.

بالطبع، تفرض معظم شبكات الشركات عمليات إغلاق تلقائية للحسابات بعد عدد محدد من محاولات الوصول الفاشلة. ولكن في كثير من الأحيان يبدأ المهاجمون بمواقع الشركات، التي غالبًا ما تكون ضوابطها أقل صرامة على محاولات الوصول. وإذا تمكنوا من الوصول إلى موقع الويب، فيمكنهم تجربة بيانات الاعتماد هذه على شبكة الشركة. وإذا أعاد المستخدم استخدام نفس كلمة المرور، فإن المهاجمين موجودون الآن في شبكة شركتك. في معظم الحالات، لا يكون موقع الويب أو البوابة الإلكترونية هو الهدف الحقيقي. بل هو نقطة انطلاق في الطريق إلى الجائزة الفعلية للمهاجم – شبكة الشركة.

يتيح الوصول إلى موقع الويب لمرتكبي التهديدات حقن كود ضار يراقب محاولات تسجيل الدخول ويسجل معرفات المستخدم وكلمات المرور. وسيقوم إما بإرسال المعلومات إلى مرتكبي التهديدات أو تسجيلها حتى يعودوا إلى الموقع لجمعها.

ليست مجرد كلمات في ملف

كانت أولى هجمات القواميس مجرد هجمات من هذا النوع. فقد استخدموا كلمات من القاموس. ولهذا السبب كانت عبارة “لا تستخدم أبدًا كلمة من القاموس” جزءًا من الإرشادات الخاصة باختيار كلمة مرور قوية.

إن تجاهل هذه النصيحة واختيار كلمة من القاموس على أي حال، ثم إضافة رقم إليها بحيث لا تتطابق مع كلمة في القاموس، أمر سيئ بنفس القدر. إن الجهات الفاعلة التي تقوم بالتهديد والتي تكتب برامج الهجوم على القاموس تدرك هذا الأمر جيدًا. فقد طورت تقنية جديدة تحاول كل كلمة من القائمة عدة مرات. وفي كل محاولة، تتم إضافة بعض الأرقام إلى نهاية الكلمة. وذلك لأن الأشخاص غالبًا ما يستخدمون الكلمة ويضيفون رقمًا مثل 1، ثم 2، وهكذا، في كل مرة يتعين عليهم فيها تغيير كلمة المرور الخاصة بهم.

في بعض الأحيان، يضيفون رقمًا مكونًا من رقمين أو أربعة أرقام لتمثيل عام. قد يمثل هذا الرقم عيد ميلاد أو ذكرى سنوية أو العام الذي فاز فيه فريقك بالكأس أو أي حدث مهم آخر. ولأن الناس يستخدمون أسماء أطفالهم أو شركائهم ككلمات مرور، فقد تم توسيع قوائم القاموس لتشمل أسماء الذكور والإناث.

وتطور البرنامج مرة أخرى. فالأنظمة التي تستبدل الأرقام بالحروف، مثل 1 لـ “i”، و3 لـ “e”، و5 لـ “s”، وما إلى ذلك، لا تضيف أي تعقيد كبير إلى كلمة المرور الخاصة بك. فالبرنامج يعرف الاتفاقيات ويعمل من خلال هذه التركيبات أيضًا.

لا تزال كل هذه التقنيات مستخدمة حتى يومنا هذا، إلى جانب قوائم أخرى لا تحتوي على كلمات قاموسية قياسية. بل تحتوي على كلمات مرور فعلية.

من أين تأتي قوائم كلمات المرور؟

المعروف جيدا هل تعرضت للاختراق؟ يخزن موقع الويب مجموعة قابلة للبحث تضم أكثر من 10 مليارات حساب مخترق. وفي كل مرة يحدث فيها خرق للبيانات، يحاول المشرفون على الموقع الحصول على البيانات. وإذا تمكنوا من الحصول عليها، فإنهم يضيفونها إلى قواعد بياناتهم.

يمكنك البحث بحرية في قاعدة بيانات عناوين البريد الإلكتروني الخاصة بهم. إذا تم العثور على عنوان بريدك الإلكتروني في قاعدة البيانات، فسيتم إخبارك باختراق البيانات الذي تسبب في تسريب معلوماتك. على سبيل المثال، وجدت أحد عناوين بريدي الإلكتروني القديمة في قاعدة بيانات Have I Been Pwned. تم تسريبه في خرق موقع LinkedIn في عام 2016. وهذا يعني أن كلمة المرور الخاصة بي لهذا الموقع قد تم اختراقها أيضًا. ولكن نظرًا لأن جميع كلمات المرور الخاصة بي فريدة، فكل ما كان علي فعله هو تغيير كلمة المرور لهذا الموقع الواحد.

يحتوي موقع Have I Been Pwned على قاعدة بيانات منفصلة لكلمات المرور. لا يمكنك مطابقة عناوين البريد الإلكتروني بكلمات المرور على موقع Have I Been Pwned، لأسباب واضحة. إذا بحثت عن كلمة المرور الخاصة بك ووجدتها في القائمة، فهذا لا يعني بالضرورة أن كلمة المرور جاءت من أحد حساباتك. مع وجود 10 مليارات حساب مخترق، ستكون هناك إدخالات مكررة. النقطة المثيرة للاهتمام هي أنك ستُخبر بمدى شعبية كلمة المرور هذه. هل كنت تعتقد أن كلمات المرور الخاصة بك فريدة؟ ربما لا.

ولكن سواء كانت كلمة المرور في قاعدة البيانات واردة من أحد حساباتك أم لا، فإذا كانت موجودة على موقع Have I Been Pwned، فسوف تكون عبارة عن قوائم كلمات مرور يستخدمها برنامج الهجوم الذي يستخدمه المهاجمون. ولا يهم مدى غموض كلمة المرور الخاصة بك أو غموضها. وإذا كانت موجودة في قوائم كلمات المرور، فلا يمكن الاعتماد عليها — لذا قم بتغييرها على الفور.

أشكال مختلفة من هجمات تخمين كلمة المرور

حتى مع الهجمات ذات المستوى المنخفض نسبيًا مثل هجمات القاموس، يمكن للمهاجم استخدام بعض الأبحاث البسيطة لمحاولة جعل عمل البرنامج أسهل.

على سبيل المثال، قد يقومون بالتسجيل أو التسجيل جزئيًا في الموقع الذي يرغبون في مهاجمته. وسيتمكنون بعد ذلك من رؤية قواعد تعقيد كلمة المرور لهذا الموقع. إذا كان الحد الأدنى لطول كلمة المرور ثمانية أحرف، فيمكن ضبط البرنامج ليبدأ بسلاسل مكونة من ثمانية أحرف. لا جدوى من اختبار جميع السلاسل المكونة من أربعة وخمسة وستة وسبعة أحرف. إذا كانت هناك أحرف غير مسموح بها، فيمكن إزالتها من “الأبجدية” التي يمكن للبرنامج استخدامها.

فيما يلي وصف موجز لأنواع مختلفة من الهجمات القائمة على القائمة.

• هجوم القوة الغاشمة التقليدي:في الواقع، لا يعتمد هذا الهجوم على قائمة. بل إن حزمة برمجية مخصصة ومكتوبة لغرض ما تولد جميع مجموعات الأحرف والأرقام وغيرها من الأحرف مثل علامات الترقيم والرموز، في سلاسل أطول بشكل تدريجي. وتجرب كل منها ككلمة مرور للحساب الذي يتعرض للهجوم. وإذا حدث ونجحت في توليد مجموعة من الأحرف تتطابق مع كلمة مرور الحساب الذي يتعرض للهجوم، فإن هذا الحساب يصبح معرضًا للخطر.
• هجوم القاموس:تأخذ حزمة برامج مخصصة مكتوبة لغرض معين كلمة واحدة في كل مرة من قائمة كلمات القاموس، وتجربها ككلمة مرور ضد الحساب الذي يتعرض للهجوم. ويمكن تطبيق التحويلات على كلمات القاموس مثل إضافة أرقام إليها واستبدال الأرقام بالحروف.
• هجوم البحث عن كلمة المرور:يشبه هجوم القاموس، لكن قوائم الكلمات تحتوي على كلمات مرور فعلية. يقرأ البرنامج الآلي كلمة مرور واحدة في كل مرة من قائمة ضخمة من كلمات المرور التي تم جمعها من خروقات البيانات.
• هجوم البحث الذكي عن كلمة المرور:مثل هجوم كلمة المرور، ولكن يتم تجربة تحويلات كل كلمة مرور بالإضافة إلى كلمة المرور “العارية”. تحاكي التحويلات حيل كلمات المرور الشائعة الاستخدام مثل استبدال الحروف المتحركة بالأرقام.
• هجوم API:بدلاً من محاولة اختراق حساب المستخدم، تستخدم هذه الهجمات برامج لإنشاء سلاسل من الأحرف التي يأملون أن تتطابق مع مفتاح المستخدم لواجهة برمجة التطبيقات. وإذا تمكنوا من الوصول إلى واجهة برمجة التطبيقات، فقد يتمكنون من استغلالها لاستخراج معلومات حساسة أو حقوق نشر فكرية.

كلمة عن كلمات المرور

يجب أن تكون كلمات المرور قوية وفريدة من نوعها وغير مرتبطة بأي شيء يمكن اكتشافه أو استنتاجه عنك، مثل أسماء الأطفال. عبارات المرور أفضل من كلمات المرور. ثلاث كلمات غير مرتبطة ببعضها البعض مع بعض علامات الترقيم هي قالب قوي جدًا لكلمة المرور. على عكس البديهة، تستخدم عبارات المرور عادةً كلمات من القاموس، ولطالما تم تحذيرنا من عدم استخدام كلمات القاموس في كلمات المرور. لكن الجمع بينهما بهذه الطريقة يخلق مشكلة صعبة للغاية بالنسبة لبرامج الهجوم لحلها.

يمكننا استخدام ما مدى أمان كلمة المرور الخاصة بي؟ موقع لاختبار قوة كلمات المرور الخاصة بنا.

• سحاب سافيت:الوقت المقدر للإصلاح: ثلاثة أسابيع.
• سحابة4vvy1t:الوقت المقدر للإصلاح: ثلاث سنوات.
• ثلاثون.ريشة.عارضة:الوقت المقدر للكسر: 41 كوادريليون سنة!

ولا تنسَ القاعدة الذهبية. يجب ألا تستخدم كلمات المرور إلا على نظام أو موقع ويب واحد. ويجب ألا تستخدمها في أكثر من مكان واحد. إذا كنت تستخدم كلمات مرور في أكثر من نظام وتم اختراق أحد هذه الأنظمة، فإن جميع المواقع والأنظمة التي استخدمت كلمة المرور عليها معرضة للخطر لأن كلمة المرور الخاصة بك ستكون في أيدي الجهات الفاعلة التي تهدد – وفي قوائم كلمات المرور الخاصة بها. وسواء استغرقت كلمة المرور الخاصة بك 41 كوادريليون عام لاختراقها أم لا، فإذا كانت مدرجة في قوائم كلمات المرور الخاصة بهم، فإن وقت الاختراق لا يهم على الإطلاق.

إذا كان لديك الكثير من كلمات المرور التي يصعب تذكرها، فاستخدم مدير كلمات المرور.

كيفية الحماية من هجمات القوة الغاشمة

إن الاستراتيجية الدفاعية المتعددة الطبقات هي الأفضل دائمًا. لا توجد وسيلة دفاعية واحدة ستجعلك محصنًا ضد هجمات القاموس، ولكن هناك عدد من الوسائل التي يمكنك التفكير فيها والتي ستكمل بعضها البعض وتقلل إلى حد كبير من خطر تعرضك لهذه الهجمات.

• تمكين المصادقة متعددة العوامل إن كان ذلك ممكنًا، فإن هذا يعني إدخال شيء مادي يمتلكه المستخدم ــ مثل الهاتف المحمول أو مفتاح USB أو مفتاح التحكم عن بعد ــ في المعادلة. فالمعلومات التي يتم إرسالها إلى تطبيق على الهاتف، أو المعلومات الموجودة في مفتاح التحكم عن بعد أو مفتاح USB، يتم دمجها في عملية المصادقة. ولا يكفي معرف المستخدم وكلمة المرور بمفردهما للوصول إلى النظام.
• استخدم كلمات مرور وعبارات مرور قوية والتي هي فريدة من نوعها، ويتم تخزينها بشكل آمن في نموذج مشفر.
• إنشاء سياسة كلمة المرور وتنفيذها التي تحكم استخدام كلمات المرور وحمايتها وصياغتها بشكل مقبول. تقديمها لجميع الموظفين وجعلها إلزامية.
• تحديد محاولات تسجيل الدخول إلى عدد قليل. إما قفل الحساب عند الوصول إلى عدد المحاولات الفاشلة، أو قفله وإجباره على تغيير كلمة المرور.
• تمكين رموز التحقق أو خطوات مصادقة ثانوية أخرى تعتمد على الصور. والغرض من هذه الخطوات هو إيقاف الروبوتات وبرامج كلمات المرور لأن الإنسان يجب أن يفسر الصورة.
• فكر في استخدام مدير كلمات المروريمكن لمدير كلمات المرور إنشاء كلمات مرور معقدة لك. فهو يتذكر كلمة المرور التي تخص كل حساب، وبالتالي لن تحتاج إلى تذكرها. ويُعد مدير كلمات المرور أسهل طريقة للحصول على كلمات مرور فريدة لكل حساب تحتاج إلى تتبعه.