تسريب كلمات المرور يكشف عادات المستخدمين في الاختيار

على الرغم من تكرار الحديث عن أهمية اختيار كلمات مرور قوية للحسابات في خدمات ومواقع الإنترنت، فإنه يبدو أن نسبة غير قليلة من المستخدمين لا تأبه لهذه التحذيرات، وهو ما تأكد أخيراً بعد تسرب ملف ضخم تضمن معلومات ما يزيد على 150 مليون حساب من المتعاملين مع شركة «أدوبي» الأميركية المتخصصة في البرمجيات، وأعلنت عنه مطلع أكتوبر الماضي.

وأتاح تسرب هذا القدر الضخم من البيانات، التي تضمنت عناوين البريد الإلكتروني وكلمات المرور المشفرة، وتلميحات لكلمات المرور، فرصة للباحثين الأمنيين للتعرف عن قرب إلى اختيارات المستخدمين، وتبين أن كثيراً ما يجعل المستخدم نفسه، مهمة اختراق حسابه يسيرة؛ باختياره كلمات مرور يسهل تخمينها.

وأظهر تحليل أجراه الباحث الأمني، جيرمي جوسني، أن «123456» كانت كلمة المرور الأكثر شعبية، واستخدمها نحو 1.9 مليون شخص، تلتها كلمة أطول قليلاً تتضمن الأرقام مرتبة من واحد إلى تسعة، إضافة إلى كلمات يسهل تخمينها مثل «adobe123»، و«password».

ولا يُعد تسريب معلومات المتعاملين مع «أدوبي» الأول من نوعه، فسبق أن تعرضت شركات عدة لثغرات أمنية وحوادث مماثلة من بينها الشبكة الاجتماعية المهنية «لينكدإن»، وموقع الألعاب «روك يو»، وغالباً ما كان الاستنتاج الأول من تحليل البيانات المسربة أن الناس لا يجيدون انتقاء كلمات مرور جيدة، بحسب ما قال الباحث الأمني، بير ثورشيم.

وضمن السياق نفسه، يعتقد ثوربيم أن كلمة المرور الجيدة ينبغي أن تكون عبارة، أو مجموعة من الحروف لا يصلها بالمستخدم أية علاقة، أو ترتبط به بشكل طفيف. وأضاف أنه في كثيرٍ من الأحيان يعمد أشخاص إلى انتقاء كلمات مرور ترتبط بهم ارتباطاً وثيقاً، مثل استخدام أعياد الميلاد وتاريخ الزواج، وأسماء الأشقاء والأطفال والحيوانات الأليفة، كما يستعمل البعض رقم الشارع الذي يسكن به، أو اسم المغني المفضل.

ويتضح هذا التحيز لدى المستخدمين أكثر حين يُطلب من أشخاص اختيار رقم تعريف شخصي يتألف من أربع وحدات، وأشار أحد التحليلات إلى ميل المستخدمين للاختيار من بين مجموعة فرعية محدودة من الأرقام المتاحة، وفي بعض الحالات جاءت 80% من الاختيارات من بين 100 رقم فقط.

وقادت ميول المستخدمين في الاختيار إلى تغيير الطريقة التي يجرى بها اختراق كلمات المرور، سواءً كانت لأغراض حسنة أو العكس. وقال ثورشيم، ضمن تقرير نشره موقع «بي بي سي»: «تُعد القوة الغاشمة قطعاً الوسيلة الأخيرة التي نستخدمها حالياً».

وتعني «القوة الغاشمة»، استخدام القوة الخالصة لجهاز الكمبيوتر وحدها للقيام بمهمة اختراق كلمات المرور، وتبدأ هذه النوعية من الهجمات بتجربة حرف «إيه» أو «أ»، ثم الحروف الأخرى مع تركيبات مختلفة من الأرقام.

ويعتمد مدى أمن كلمة المرور على عدم توفير الوقت الكافي لتتمكن قوة الكمبيوتر من تجربة مليارات التوليفات المتتابعة، وبكلمة أخرى، تتغلب الرياضيات، أي الوقت الكافي مضروباً في عدد المحاولات، على محاولات الاختراق.

ورأى الباحث الأمني في شركة «كيه بي إم جي» المتخصصة في الاستشارات الضريبية والاستثمارية، يانيس كريسانثو، أن الأمر لا يتعلق بالرياضيات، بل باختيارات المستخدمين لكلمات المرور الخاصة بهم.

ولذلك، يسعى العديد من المتخصصين في أمن المعلومات إلى تحسين الأساليب التي يتبعونها في اختراق كلمات المرور؛ لتقديم المشورة للشركات لدفع المستخدمين لاختيار كلمات مرور أكثر أمناً.

من ناحية أخرى، يحاول الباحثون كسر الكلمات الواردة في القوائم المسربة لاكتشاف اختيارات المستخدمين، وفي هذه الحالات غالباً ما يتم اختراقه هي سلسلة من الحروف تُعرف باسم «هاش».

وتُعد «هاش» خوارزمية للتشفير، تتضمن سلسلة ذات عدد ثابت من الحروف لا يمكن تحليلها لاكتشاف تكوينها، لكن بسبب اعتمادها على قواعد ثابتة، تؤدي سلسلة مثل «123456» إلى التسلسل العشوائي نفسه من الحروف.

وقد تلجأ الهجمات التي تستهدف أشخاصاً بعينهم إلى حساباتهم في الشبكات الاجتماعية للتعرف إلى تواريخ وأرقام وأسماء وكلمات مهمة، مثل أسماء الوالدين والأطفال والشارع، ما يساعد على اختراق كلمة المرور بسرعة كبيرة.

وفضلاً عن اختيار بعض المستخدمين لكلمات مرور ترتبط بحياتهم بصورة مباشرة، يميل البعض إلى استخدام كلمة المرور ذاتها في مواقع مختلفة، وترى دراسات أنه توجد فرص كبيرة تصل إلى 70% في النجاح باستخدام كلمة مرور مرتبطة ببريد إلكتروني للدخول في أحد المواقع، للدخول إلى خدمة أو أكثر من الخدمات الأخرى على الإنترنت، ما يدفع العديد من اللصوص الإلكترونيين لاستهداف المواقع الصغيرة؛ للاستيلاء على قوائمهم من كلمات المرور، ومن ثم يجربونها في مواقع وخدمات أخرى.

واعتبر الباحث الأمني، بروس مارشال، أن بعضاً ممن يحاول كسر كلمات المرور لأهداف شريرة، يدرك حقيقة كسل المستخدمين، وقال إنه «في حال نجح مجرم في اختراق كلمات المرور، فإنه على الأرجح جمعها من موقع محدد، ثم جرب استخدامها للدخول إلى حسابات إضافية».

وأشار مارشال إلى مشكلة أخرى نتجت عن إتاحة عدد كبير من كلمات المرور المسربة على الإنترنت: «إذا لم يستطع أحد المهاجمين الوصول إلى قاعدة بيانات كلمات المرور الخاصة بأحد المواقع، فعندها قد يلجأ إلى القيام بهجمة لتخمين كلمات المرور، فيُجرب أسماء مستخدمين شائعة، وعناوين بريد إلكتروني، ومجموعات من كلمات المرور».

وتبقى أهم النصائح في انتقاء كلمات المرور، بتجنب التوليفات البسيطة من الحروف والأرقام، والابتعاد عن الأرقام والكلمات المرتبطة بالحياة الشخصية، التي يمكن معرفتها بسهولة، فضلاً عن التأكد من عدم استخدام كلمة المرور الخاصة بالحساب البنكي في أيٍ من الخدمات والمواقع الأخرى على الإنترنت.