لم لا تختفي كلمات المرور السرية من عالمنا؟ أسماء الحيوانات الأليفة، وعناوين الأفلام، والفرق الرياضية، التي يستخدمها الناس لحماية حساباتهم الإلكترونية هي في الواقع نقاط ضعف يستمر القراصنة الإلكترونيون في استغلالها.
ومع ذلك لا تزال كلمات المرور هي الخطوة الأساسية للدخول إلى الحسابات الإلكترونية التي تحتوي معلومات أصحابها الشخصية والمالية. إلا أن «غوغل» وجد حلاً براغماتياً جديداً: استخدام كلمة المرور؛ لكن مع إحاطتها بحماية إضافية.
مفتاحا أمان
أطلقت الشركة شهر أكتوبر (تشرين الأول) الماضي برنامجها الجديد للحماية المتقدمة Advanced Protection Program، الذي صمم خصيصاً لتبديد عمليات سرقة كلمات المرور. ولاستخدامه، يحتاج المستهلك إلى مفتاحين حقيقيين غير باهظين للدخول إلى حسابه في «غوغل» على كومبيوتره الخاص وهاتفه الذكي.
في هذه الحالة، حتى ولو أقدم القراصنة على سرقة كلمة المرور في عملية خرق للبيانات، أو عملية صيد إلكترونية عبر دفع المستهلك إلى تسليم معلوماته الشخصية الخاصة من خلال الدخول إلى صفحة مزورة، فلن ينجحوا في القيام بأي شيء دون الحصول على المفتاحين.
وتقليص خطر القرصنة بأقل جهد ممكن، هو نعمة يتمناها أي شخص معني بالأمن الإلكتروني.
اعترف جون سابين، قرصان سابق من وكالة الأمن القومي، إنه من أكبر محبي هذا البرنامج، واعتبر أنه ربما الوسيلة الأسهل والأكثر أمناً للناس العاديين.
ويمثل هذان المفتاحان مصادقة مزدوجة العناصر، وطبقة أمنية إضافية للتأكد من أن كلمة المرور تم إدخالها من قبل صاحب الحساب.
وكانت «غوغل» من أولى الشركات التي بدأت في توفير هذا النوع من المصادقات منذ عام 2010، بعد فترة قصيرة على اكتشافها أنه تم اختراقها من قبل قراصنة صينيين ممولين من قبل الحكومة الصينية.
بعد الاعتداء، ابتدع فريق «غوغل» للأمن شعاراً جديداً، هو «لن تتكرر أبداً». ثم أطلقت الشركة «المصادقة المزدوجة العناصر» لزبائنها الذين يستخدمون بريد «جي ميل» الإلكتروني. وتعتمد هذه الطريقة على إرسال رسالة نصية تتضمن رمزاً مختلفاً في كل مرة، ويجب وضعه بعد إدخال كلمة المرور بهدف الدخول إلى الموقع؛ لكن للأسف كانت هذه الرسائل الإلكترونية معرضة للسرقة، فقد أثبت باحثون أمنيون من شركة «بوزيتيف تكنولوجيز» الأمنية، كيف يمكنهم أن يستغلوا مواطن الضعف الموجودة في شبكة الهاتف الجوال لاعتراض طريق الرسائل النصية لفترة زمنية محددة.
اختبارات «الحماية المتقدمة»
إن الفكرة الأساسية من برنامج «غوغل» للحماية المتقدمة، هي تزويد المستخدم بأداة يصعب سرقتها أفضل من الرسالة النصية. وبدأت «غوغل» تسويق البرنامج على أنه أداة لمجموعة من الأشخاص المعرضين أكثر من غيرهم للاعتداءات الإلكترونية، مثل الصحافيين الذين يحتاجون إلى حماية مصادرهم.
ولكن لماذا تنحصر فائدة الإجراءات الأمنية الشديدة في مجموعة صغيرة كهذه؟ هذه التقنية يجب أن تكون متوفرة للجميع كي يتمتعوا بأمان إلكتروني أكبر.
اختبرنا برنامج «غوغل» للحماية المتطورة ودققناه بالتعاون مع باحثين أمنيين، لمعرفة ما إذا كان يمكن استخدامه من قبل الأشخاص العاديين. والنتيجة: يجدر بكثير من الأشخاص أن يشتركوا في هذا النظام الأمني ويشتروا زوجاً من هذه المفاتيح؛ لكن في حال كان أحدهم يستخدم تطبيقات لا تنتمي إلى «غوغل» ولا تتوافق مع هذه المفاتيح، فيفضل أن ينتظروا ريثما يتوسع البرنامج أكثر.
* تهيئة برنامج الحماية المتقدمة: يمكن لأي شخص لديه حساب من «غوغل» أن يسجل دخوله في البرنامج الأمني على صفحة برنامج «غوغل» للحماية المتقدمة. للبدء بعملية التسجيل، يجب على المستهلك أن يشتري مفتاحين مقابل نحو 20 دولارا للمفتاح الواحد. تنصح «غوغل» المستهلكين بشراء مفتاح من «فيتيان Feitian»، والآخر من «يوبيكو Yubico».
المفتاحان اللذان يبدوان كوحدتي ذاكرة فلاشية ويمكن أن يعلقا في سلسلة المفاتيح، يحتويان على توقيعين رقميين يثبتان هوية حاملهما. لإعداد أحدهما يجب إدخاله في أحد منافذ «يو إس بي»، ومن ثم النقر على الرمز الذي يظهر على الشاشة لإعطائه اسماً. تتطلب العملية بضع دقائق فقط على الكومبيوتر (تتصل مفاتيح «فيتيان» لاسلكياً بالهاتف الذكي لتصادق تسجيل الدخول).
على الكومبيوتر والهاتف الذكي، يحتاج المستخدم إلى تسجيل الدخول إلى المفتاح مرة واحدة، ليتذكره «غوغل» في كل تسجيل يتم مستقبلاً. وتعتبر هذه العملية أكثر أمناً من المصادقة المزدوجة العناصر التي تتطلب إدخال رمز مختلف في كل مرة يسجل فيها المستخدم دخوله. ولكن الناحية السلبية في الأمر هي أن برنامج «غوغل» للحماية المتقدمة يمنع اتصال أي تطبيق لا ينتمي إلى الشركة، ويسمح به للتطبيقات التي تدعم مفاتيحه الأمنية. بمعنى آخر، يستطيع المستخدم أن يستفيد من البرنامج في تطبيق «غوغل جي ميل»، وتطبيق «غوغل» للنسخ والدمج، ومتصفح «غوغل» فقط في الوقت الحالي.
* اختبار الأمن: رغم المساوئ، يجمع الباحثون الأمنيون على أن برنامج الحماية المتقدمة هو خدمة أمنية محكمة ولا تسبب ضرراً لمستخدمها، حتى خلال الاستخدام اليومي من قبل الأشخاص الذين لا يعملون في وظائف أمنية.
وقال سابين، القرصان السابق في وكالة الأمن القومي الذي يعمل حالياً مديراً لأمن الشبكات في شركة الاستشارات الأمنية «جي آر إي كوانتوم»، إن لهذه المفاتيح نواحي إيجابية وسلبية. فمن جهة، حتى لو أضاع المستخدم مفتاحاً، سيعاني القرصان من صعوبة في اكتشاف أي من الحسابات التي تعمل مع هذا المفتاح؛ لكن من جهة أخرى، في حال فقد المستخدم أحد المفتاحين، أو إن كانت المفاتيح غير موجودة بحوزته، سيجد صعوبة كبيرة في الدخول إلى حسابه، إذ إن برنامج «غوغل» للحماية المتقدمة فرض خطوات مبتكرة ومعقدة لتعافي الحساب. تتضمن هذه الخطوات مراجعات إضافية واستفسارات مفصلة حول الأسباب التي أدت إلى خسارة المستخدم لإمكانية الدخول إلى حسابه. في اختبارنا، أجبنا على أسئلة أمنية لاستكمال التعافي والدخول إلى الحساب، فأجاب «غوغل» بأنه يود مراجعة طلب الاسترداد وسيجيب خلال بضعة أيام.
من جهتها، رأت رونا ساندفيك، مديرة أمن المعلومات في صحيفة «نيويورك تايمز» أن هذه المفاتيح لا تسبب كثيرا من المتاعب. وأضافت أن طلب «غوغل» استخدام مفتاحين يعود بشكل رئيسي إلى ضرورة وجود بديل في حال ضياع أحدهما، للدخول إلى الحسابات عبر المفتاح الآخر.
ولكنها لفتت إلى أن المفتاحين يمكن أن يتحولا إلى مصدر للإزعاج في حال استخدم المستهلك كثيرا من الأجهزة، واضطر إلى حملهما أينما ذهب للتمكن من الولوج إلى حسابه. وهذا الأمر قد يتحول إلى مشكلة بالنسبة للأشخاص الذين يعملون في مجال التكنولوجيا؛ إلا أن غالبية الناس يستخدمون غالباً حاسوباً واحداً وهاتفاً ذكياً واحداً.
مزايا وعراقيل
> الخلاصة: صحيح أن المفاتيح الأمنية سهلة الاستخدام وتؤمن حماية أمنية قوية، إلا أنها قد تساهم في عرقلة إنتاجية المستهلك في حال كان يعتمد على تطبيقات لا تتوافق في عملها مع مفتاحيه.
نحن مثلاً احتجنا إلى بضع دقائق خلال الاختبار للانتقال من تطبيقات «آبل» إلى تطبيقات «غوغل»، ودمجها بالعمل القائم في غرفة الأخبار الذي يعتمد في الأساس على خدمات «غوغل» للبريد الإلكتروني، والتراسل، والتخزين السحابي. كما أن استخدام المفاتيح فرض علينا التنازل عن كثير من الميزات الضرورية، كإشعارات «آبل» للشخصيات المهمة، التي تنبه المستخدم إلى ورود رسائل من أشخاص يصنفهم على أنهم مهمون؛ إذ تفتقر تطبيقات «غوغل» لـ«آي أو إس» كـ«جي ميل» وصندوق الرسائل الواردة إلى ميزات مماثلة. وبالنسبة لأصحاب صناديق الرسائل الممتلئة، يمكن لغياب ميزة الأشخاص المهمين أن يضيع عليهم كثيراً من الوقت.
مثال آخر على كيفية تأثير المفاتيح على الإنتاجية: كثير من الأشخاص لا يزالون يستخدمون تطبيق «مايكروسوفت أوتلوك» للرسائل الإلكترونية الذي لا يعمل مع المفاتيح.
في حال كان استخدام برنامج الحماية المتطورة من «غوغل» سيعيق عمل المستهلك، يجدر به على الأرجح أن ينتظر تحديث مزيد من الشركات لتطبيقاتها حتى تتوافق مع المفاتيح التي تعتمد على معيار يعرف بـ«فيدو FIDO» (هوية سريعة عبر الإنترنت). يتوقع سابين أن كثيراً من التطبيقات ستسير خلف التطور الجديد من «غوغل».
ولكن في حال قرر المستهلك أن ينتظر، يجب ألا يتردد في استخدام برنامج بمصادقة مزدوجة العناصر يعتمد على الرسائل النصية، ففي حين أن هذا النظام معرض للقرصنة، فإنه يبقى أكثر أمناً بكثير من الاكتفاء بكلمة المرور السرية لحماية حساباته.
ولكن السؤال الفعلي هو: كم من الوقت سيحتاجه الباحثون الأمنيون للعثور على طريقة تمكنهم من قرصنة المفاتيح أيضاً؟ فعندما سألنا سابين إن كان قد حاول التحايل على برنامج «غوغل» الجديد ذي المفاتيح، أجابنا: «لا تعليق».
* خدمة «نيويورك تايمز».
