RSS
 

Archive for May 14th, 2009

نعم.. أغلب مستخدمي الانترنت يعتمدون على كلمات مرور سهلة

14 May

بعد عقدين على انشاء أول صفحة ويب.. و بعد سنوات من انتشار تطبيقات الانترنت المختلفة في سائر أنحاء العالم و بتسارع مبهر.. يبدو أن أغلب مستخدمي الانترنت لم يصلوا بعد لمرحلة ‘النضج’ فيما يتعلق بكيفية الحفاظ على خصوصيتهم و أمن معلوماتهم..!

قبل أشهر معدودة تم اختراق الموقع الشهير phpbb.com ..

و قام المخترق حينها بنشر كلمات المرور الخاصة بجميع أعضاء الموقع المسجلين.. ما يقارب 20000 كلمة مرور!

هذه الحادثة المؤسفة تم استغلالها بشكل جيد من قبل بعض المهتمين بمجال أمن المعلومات، حيث قاموا بتحليل كلمات المرور المنشورة في محاولة منهم للوقوف على مدى قوة كلمات المرور التي يتم اختيارها من قبل رواد الشبكة العنكبوتيه..
أحد هؤلاء كان (روبرت غراهام)، الذي قام بتصميم نظام برمجي لتحليل كلمات المرور المنشورة..
و بكل بساطه.. يمكن وصف نتيجة التحليل بأنها ‘مخيبة للأمال’ بشكل كبير!

فما يقارب الـ 65% من كلمات المرور تم العثور عليها في قواميس اللغة الانجليزية..
بل أن 94% منها تم العثور عليه في قواميس كلمات المرور التي يستخدمها المخترقون عادة..
أتمنى عليكم قراءة مقالة السيد روبرت بأنفسكم، وربما أن بعض الاحصائيات الواردة فيها ستصدمكم.. فعلى سبيل المثال، أكثر من 3% من أعضاء موقع phpbb.com قاموا بإختيار كلمة المرور التالية: 123456!
لقراءة المقال إضغط
هـنـا.

و بما ان الشئ بالشئ يذكر.. أشير هنا إلى أن خبير أمن المعلومات المعروف (بروس شناير) كان قد عمل تحليلا مماثلا قبل ثلاث سنوات على كلمات مرور قام بنشرها مخترقون بعد أن أوقعوا بالكثير من مستخدمي الانترنت عبر صفحة وهمية قاموا بتصميمها لموقع MySpace الشهير.. و النتائج بطبيعة الحال لم تكن أكثر إشراقا..
إضغط
هـنـا.

و بمناسبة الاشارة إلى قواميس المخترقين لكلمات المرور (و هي قواميس تحوي أكثر كلمات المرور شيوعا بين مستخدمي الانترنت) ربما يجدر بي وضع مثال عليها..
ربما سمع الكثير منكم بدودة Conficker أو Downadup و التي استهدفت خوادم Windows قبل مدة..
هذه الدودة تعتمد بشكل كبير على قاموس لكلمات المرور تم انشاءه من قبل مطوريها..
هذه ‘بعض’ كلمات المرور في ذلك القاموس كما تم نشرها في مدونة السيد Graham Cluley:

 أتمنى أن لا يفاجأ أحدكم بالعثور على كلمة المرور الخاصة به في القائمة أعلاه! :mrgreen:

يبدو أن جهود نشر التوعية الأمنية بين مستخدمي الانترنت لم تحقق المرجو منها خصوصا و أن أغلب مستخدمي الانترنت هم من صغار السن أو قليلي الحرص.. لذلك أعتقد أن الاعتماد على كلمات المرور كخط دفاع أول و كتقنية تحقق من هوية المستخدم سيقل بشكل ملفت مستقبلا، خصوصا و نحن نشهد ثورة كبير في مجال إدارة الهوية الرقمية.

فكل الحلول التي تم طرحها لتدعيم الاعتماد على كلمات المرور (كالمطالبة بعدد معين من الأحرف و الأرقام، أو مطالبة المستخدم بتغير كلمة المرور الخاصة به كل فترة معينه.. الخ) ثبت أنها لا تجدي و أنها مجرد محاولات لتجميل تقنية قديمة لا تنفع في وقتنا الحاضر..

رأيكم؟