طرق مطورة لسرقة كلمات السر الشخصية

المصدر: طرق مطورة لسرقة كلمات السر الشخصية
في منتدى : قسم الكومبيوتر العام ( حل مشاكل - تبادل خبرات )

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته

منها «التنصت» على ضربات أزرار لوحة مفاتيح الكومبيوتر و«التصيد الاحتيالي» أو «سرقة الزملاء»

​

تستطيع الكومبيوترات أن تتذكر تفاصيل معقدة من المعلومات بدون أي جهد، الا ان الناس عادة يفشلون في أداء مهام من هذا النوع. كذلك أصبح حفظ كلمات السر المعقدة واحدا من المهام الضرورية للافراد بهدف حماية المعلومات، وفي كل مرة يتطلب الأمر فيها حفظ كلمات جديدة ينبغي محو المعلومات السابقة من ذاكرة الأشخاص.
وتتحدد مسؤولية الحماية تقريبا على اختيارك لعدد من الحروف والأرقام والرموز ضمن تسلسل معين لا علاقة له بأي كلمة أو عبارة تستخدمها هذه اللغة أو تلك. لكن تجنب الاختراقات شبه المستحيلة حاليا، على الرغم من كل الجهود المبذولة في اختيار كلمات السر إضافة إلى أن إجبار الناس على اختيار أكثر كلمات السر تعقيدا ثم تغييرها كل عدة شهور سيزيد من احتمال إلحاق الضرر بحسابات المستخدمين.

وهذا يعود لأن كلمات السر لا تتم سرقتها بالطريقة التي يتوقعها الكثيرون وهي أن يكون هناك شخص مشبوه جالسا أمام كومبيوترك، يقوم بطبع بعض الكلمات او الحروف والارقام مستخدما التخمين مرة بعد أخرى حتى ينجح. في العالم الحقيقي هناك طريقتان يتم فيه اختراق حسابات المستخدمين، وهناك طريقة واحدة من بينهما يمكن ابطاؤها أو توقيف خرقها وذلك باختيار كلمات سر غامضة.

على الشخص المخترق أن يتمكن من الوصول إلى الكومبيوتر التي يضع المستخدم فيه المعلومات عن الشخص المسجل المستخدم للكومبيوتر. وإذا كان الملف الخاص بكلمة السر الأساسية محفوظا على ذلك الجهاز بطريقة مشفرة، فإن المهاجم يستخدم برنامجا لكسر هذا الملف المشفر.

أما الطريقة الثانية فتعتمد على أن يقوم الشخص بتسليم كلمة السر وفق إرادته، فعلى سبيل المثال يستطيع المعتدي أن يخفي برنامجا على كومبيوتر الشخص الضحية كي يسجل كل ضربة على لوحة المفاتيح وهذا يكون غالبا عن طريق استغلال البرنامج الخفي الذي يسجل كل ضربات الأصابع فوق لوحة المفاتيح والمعروف باسم keystroke logger وذلك من خلال سعيه لاستنساخه.

أو قد يتمكن المعتدي الاستفسار بطريقة لطيفة عن كلمة السر من خلال ما يعرف بـ «الهندسة الاجتماعية» إذ يمكن أن يكون الضحية واحدا من المساعدين التقنيين في مصرف أو شركة تقدم الخدمات الإنترنتية، حيث يتم الاتصال به من قبل شخص يزعم أنه زميل في مكان آخر من الشركة. أو أن يكون الضحايا هم مستخدمون لخدمات تلك المؤسسة حيث يتسلمون رسائل إلكترونية زائفة تعرف باسم «فيشينغ» وفيها يطلب منهم التوثق من صحة المعلومات الموجودة في حسابهم عن طريق الضغط على موقع إنترنت زائف مصنوع بطريقة تجعله يبدو وكأنه يعود إلى مؤسسة موثوق بها. وتكون نوعية كلمة السر مؤثرة فقط للنوع الأول من الهجوم والمتمثل بكسر الشفرة والذي يمكن تحقيقه بشكل أسهل وأسرع إذا كانت كلمات السر مأخوذة من القواميس.

* اختيار الرموز

* لهذا السبب فإن خبراء الصيانة يطالبون مستخدمي كلمات السر أن يتجنبوا تكوينها من كلمات أو أسماء حتى لو تم تبديل الحروف بأرقام مشابهة. وهناك اقتراح عام يطالب باستخدام الكلمات كعناصر مكونة فقط. فعلى سبيل المثال عن طريق دمج الحروف الأولى من أسماء أصدقاء أو عناوين كتب مفضلة.

لكن إذا كان المهاجم يستخدم برنامجا لاستنساخ البرنامج الخفي الذي يسجل كل الضربات للمفاتيح أو لما يعرف بـ «الهندسة الاجتماعية» فإنه لن يكون مهما ما هي كلمة السر التي تستخدمها وكم هي معقدة وعسيرة على الفك، فأمام هذه الأنواع من الاعتداءات لن يكون ذلك كافيا لمواجهته. ويبدو اليوم أن أكثر المهاجمين على معلوماتنا المخزونة داخل كومبيوتراتنا يتبعون هذه الطريقة.

يقول مارتي ليندر كبير التقنيين في «مركز تنسيق سيرت» CERT والذي أنشأته جامعة كارنيجي ميلون عام 1988 «إذا رجعت عشرة أعوام إلى الوراء كان كسر ملفات كلمات السر هو الطريقة للوصول إلى المعلومات الخاصة». لكن الآن أصبح بعث الرسائل الزائفة التي تهدف إلى الحصول على كلمة السر والمعروفة باسمphishing «فيشينغ» و«الهندسة الاجتماعية» هي «أكثر سوادا وأكثر أذى من أي شيء آخر».

لكن تبديل كلمات السر بشكل منتظم له عواقبه أيضا. إذ أن التبديل المنتظم لها يجعل الناس أكثر استعدادا للوقوع في فخ «الهندسة الاجتماعية». فكر بما يحدث في كل مرة يقرر المستخدم أن يبدل كلمة السر أو ينساها إذ أن عليه أن يذهب الى صفحة «الويب» كي يطلب مساعدة الموظف لوضع كلمة سر أخرى. وهذه الفترة من التواصل تشكل فرصة مثالية للمعتدي كي يحاول التطفل وتلبس دور أحد الطرفين للحصول على كلمة السر.