إدارة كلمات المرور على الإنترنت
يثير موضوع الأمان على الإنترنت شعور الكثير من المستخدمين بالارتباك. إليكم حوار مع اثنين من خبراء Google، "مارك ريشر" و"ستيفان ميكليتس"، حول مراعاة تلك المخاوف أثناء وضع الإجراءات الأمنية.
السيد "ريشر"، بصفتك مدير إدارة المنتجات في Google، ومن واقع عملك في مجال الأمان على الإنترنت، هل سبق وتعرّضت لأي عملية خداع على الإنترنت؟
"مارك ريشر": لا يمكنني الآن تذكّر مثال لعملية خداع صريحة، ولا يسعني في الوقت ذاته إلّا افتراض حدوثها، فأنا أرتكب الأخطاء أحيانًا أثناء تصفّح الإنترنت كأي مستخدم آخر. على سبيل المثال، أدخلت مؤخرًا كلمة مرور حسابي في Google على موقع إلكتروني آخر عن طريق الخطأ، لكن لحسن حظي رصد هذا الخطأ المكوّن الإضافي "تنبيه كلمة المرور" الذي كنت قد ثبّته على متصفّح Chrome. وبالطبع، غيّرت كلمة المرور فورًا.
"ستيفان ميكليتس"، مدير قسم الهندسة بفريق الخصوصية والأمان في Google: هذا تصرف بشري عفوي، فعندما يحفظ أي شخص كلمة مرور، من الوارد أن يكتبها بدون الانتباه بقدرٍ كافٍ إلى الموقع الإلكتروني الذي يدخلها فيه.
"ريشر": نودّ لو يمكننا الاستغناء عن كلمات المرور نهائيًا، ولكن الأمر ليس بهذه السهولة.
"هناك العديد من الإجراءات الأمنية التي يتم تنفيذها ولا تظهر للمستخدمين."
مارك ريشر
ما هي أبرز سلبيات استخدام كلمات المرور؟
"ريشر": لاستخدام كلمات المرور الكثير من السلبيات، فمن السهل سرقتها ومن الصعب تذكرها، ويمكن أن تكون إدارتها مهمة شاقة بالنسبة إلينا. وعلى عكس الاعتقاد الشائع لدى الكثير من المستخدمين، فإنّ استخدام كلمة مرور معقّدة جدًا ومكوّنة من عدد كبير من الأحرف يزيد من فرص التعرّض للتهديدات الأمنية. ويميل المستخدمون إلى استخدام كلمة المرور المعقّدة نفسها في أكثر من حساب، ما يزيد من فرص تعرّضهم للتهديدات الأمنية أكثر وأكثر.
"ميكليتس": كلّما قلّ استخدام كلمة المرور، كان ذلك أفضل من الناحية الأمنية. ولهذا السبب، من الأفضل ألّا تسجّل الدخول إلى حساباتك والخروج منها بشكل متكرّر، لأنّه مع مرور الوقت قد يؤدي ذلك إلى عدم انتباه المستخدمين لصفحة الويب المفتوحة حاليًا، ما يسهّل سرقتها على لصوص كلمات المرور. لهذا السبب، ننصح المستخدمين بعدم تسجيل الخروج.
في الموقع الإلكتروني للمصرف الذي أتعامل معه، يتم تلقائيًا تسجيل الخروج من حسابي إذا ظلّ غير نشط لبضع دقائق.
"ميكليتس": للأسف، لا يزال عدد كبير من الشركات يتّبع القواعد القديمة. يعود ذلك النهج الذي يتعمّد مواصلة تسجيل الخروج إلى الفترة التي كان المستخدمون فيها يتصلون بالإنترنت من داخل مقاهي الإنترنت أو يشاركون جهاز الكمبيوتر مع مستخدمين آخرين. وتُظهر أبحاثنا أنّه كلما زاد عدد مرات إدخال المستخدمين لكلمات المرور، زادت احتمالية تعرّضهم للهجمات الإلكترونية. وبالتالي، يكون من الأكثر أمانًا للمستخدمين تفعيل ميزة "قفل الشاشة" على الهاتف الجوّال أو جهاز الكمبيوتر واستخدام كلمة مرور آمنة.
"ريشر": هذا صحيح. للأسف، يتم تداول الكثير من النصائح غير الصحيحة أو غير المجدية عمليًا، والتي يمكن أن تُربك الكثير من المستخدمين. وأحد أسوأ السيناريوهات المتعلقة بذلك هو أن يشعر المستخدمون بعدم جدوى إجراءات الأمان، فيخاطب الواحد منهم نفسه قائلاً: "إذا كانت حماية نفسي على الإنترنت بهذه الصعوبة البالغة، ينبغي إذًا أن أتوقف عن المحاولة"، ما يؤدي بهم إلى الاستسلام للأمر الواقع. وهذا السلوك يشبه إلى حدٍ ما ترك أحدهم الباب الأمامي لمنزله مفتوحًا دائمًا لأنّه يعلم بوجود لصوص حوله في المنطقة.
ما هي الآلية التي تستخدمها Google لضمان الأمان للمستخدمين في حال تمكّن مخترقون من الكشف عن كلمات المرور الخاصة بهم وتغييرها؟
"ريشر": لدينا العديد من الإجراءات الأمنية الإضافية التي يجري تنفيذها ولا تظهر للمستخدمين. وبفضل هذه الإجراءات، نضمن لك الحفاظ على أمان حسابك في Google بنسبة 99.9%، حتى في حال وصول المخترِق إلى كلمة المرور الخاصة بك ورقم هاتفك الجوّال. على سبيل المثال، نتحقّق من الجهاز أو البلد الذي يتم تسجيل الدخول منه. وإذا حاول شخص تسجيل الدخول إلى حسابك عدّة مرات متتالية باستخدام كلمة مرور خاطئة، ستصدر إنذارات في أنظمة الأمان لدينا.
"ميكليتس": لقد طوّرنا أيضًا موقع "فحص الأمان" الإلكتروني، والذي يتيح للمستخدمين التعرّف بالتفصيل على إعدادات الأمان الشخصية في حساب Google. وبفضل برنامج "الحماية المتقدّمة"، نضيف مزيدًا من الأمان إلى تجربتك على الإنترنت.
ما هي فكرة هذا البرنامج؟
"ميكليتس": تم تصميم هذا البرنامج في البداية لفئات محدّدة من المستخدمين، مثل السياسيين أو الرؤساء التنفيذيين أو الصحفيين الذين قد يكونون أكثر عرضة لهجمات المجرمين على الإنترنت. وقد أصبح الآن متوفّرًا لأي مستخدم يرغب في الحصول على مزيد من الأمان على الإنترنت. ولا بد من توفّر وحدة USB أو بلوتوث خاصة لدى المستخدم حتى يتمكّن من الوصول إلى حساب Google الخاضع لحماية هذا البرنامج.
"ريشر": ندرك من واقع خبرتنا مدى فعّالية هذا النظام، حيث يستخدم جميع موظفي Google مفتاح أمان للحفاظ على أمان حساباتهم المُخصّصة للعمل. ومنذ إطلاق هذا الإجراء الأمني، لم نرصد أي حالة تصيّد احتيالي يعود مصدرها إلى طلب تأكيد كلمة المرور. يساعد استخدام الرمز المميّز على تعزيز مستوى الأمان في حساب Google إلى حدٍ كبير، حيث لا يمكن لأي مهاجم الوصول إلى حسابك بدون امتلاك الرمز المميز حتى إن كان يعرف كلمة المرور. بشكل عام، يمكن اختراق أي حساب على الإنترنت من أي مكان في العالم، لكن هذا الاحتمال غير وارد إطلاقًا بالنسبة إلى الحسابات الخاضعة للحماية باستخدام رمز أمان مميّز مادي.
"ميكليتس": يمكن استخدام رموز الأمان المميّزة هذه في كثير من المواقع الإلكترونية وليس فقط للمواقع الإلكترونية الخاضعة لبرنامج "الحماية المتقدّمة" من Google. ويمكنك شراؤها منّا أو من مزوّدي خدمات آخرين مقابل رسوم بسيطة. يمكنك الاطّلاع على كل التفاصيل في g.co/advancedprotection.
"يصعب على بعض الأشخاص أحيانًا إدراك حجم المخاطر الأمنية على الإنترنت."
ستيفان ميكليتس
في رأيك، ما هي أكبر المخاطر التي تحيط بنا الآن في عالم الإنترنت؟
"ريشر": إحدى المشاكل الرئيسية هي كثرة أسماء المستخدمين وكلمات المرور المستخدمة على الإنترنت. وقد قضى زميلنا "تاديك بيتراشيك" وفريقه ستة أسابيع في تمشيط الإنترنت وتبيّن لهم أنّ هناك 3.5 مليار مجموعة لأسماء المستخدمين وكلمات المرور. وهذه ليست بيانات لحسابات Google تعرّضت للاختراق، ولكنها حسابات تمت سرقتها من مزوّدي خدمات آخرين. ولأنّ الكثير من المستخدمين يستخدمون كلمة المرور نفسها لعدّة حسابات، تمثّل هذه القوائم في حد ذاتها مشكلة بالنسبة إلينا.
"ميكليتس": أعتقد أنّ التصيّد الاحتيالي الموجّه هو إحدى المشاكل الكبيرة التي تواجهنا. وتحدث هذه المشكلة عندما يكتب أحد المهاجمين رسالةً مخصّصة بشكل متقن بحيث لا يمكن للضحية الانتباه إلى الغرض الاحتيالي من ورائها. ويزداد اعتماد المخترقين على هذه الطريقة بمرور الوقت، وينجحون في تحقيق أهدافهم منها.
"ريشر": أتفق مع "ستيفان" في هذا. بالإضافة إلى ذلك، لا يستغرق التصيّد الاحتيالي الموجّه وقتًا كبيرًا من المخترقين كما قد يبدو للبعض، فصياغة رسالة إلكترونية مُخصّصة غير مرغوب فيها لا تستغرق سوى بضع دقائق. قد يستخدم المخترقون المعلومات التي ينشرها المستخدمون عن أنفسهم على الإنترنت. ترتبط هذه المشكلة بالعملات الرقمية المشفّرة، فمثلاً إذا أعلن مستخدم أنه يمتلك 10,000 عملة رقمية bitcoin، لن يكون مفاجئًا تعرضه لأي عمليات احتيال من مجرمي الإنترنت الذين تجذبهم هذه المبالغ الكبيرة.
"ميكليتس": هذا الأمر أشبه بوقوف شخص وسط سوق يخبر الجميع في مكبّر صوت برصيده في حسابه المصرفي. من عساه يفعل أمرًا كهذا؟ لا أحد، لكن يصعب على بعض الأشخاص أحيانًا إدراك حجم المخاطر الأمنية على الإنترنت.
هل ما زلنا نواجه مشكلة الرسائل الإلكترونية غير المرغوب فيها؟
"ريشر": إنّ أحد أكبر التحديات الأمنية التي تواجهنا هو الربط بين الأجهزة والخدمات. لا يقتصر المستخدمون على الكمبيوتر المحمول والهواتف الذكية للاتصال بالإنترنت، بل يستخدمون أيضًا أجهزة التلفزيون والساعات الذكية ومكبّرات الصوت الذكية. ويتم تشغيل العديد من التطبيقات على جميع هذه الأجهزة، ما يتيح للمخترقين الكثير من الثغرات المحتملة لمهاجمة المستخدمين. ولأنّ الكثير من الأجهزة ترتبط ببعضها في وقتنا الحالي، يمكن للمخترقين استخدام أحد الأجهزة للوصول إلى المعلومات المخزّنة على جهاز آخر. ويفرض هذا علينا الإجابة عن السؤال "كيف يمكننا ضمان توفُّر الأمان للمستخدمين في ظل تعدُّد الطُرق الجديدة لاستخدام الأجهزة والاتصال بالإنترنت؟"
"ميكليتس": تكمن الإجابة في تحديد البيانات التي نحتاج إليها لكل خدمة والبيانات التي تخضع للتبادل بين هذه الخدمات.
كيف تستفيد Google من تقنية الذكاء الاصطناعي لحماية المستخدمين؟
"ميكليتس": لقد بدأت Google في الاستفادة من تقنية الذكاء الاصطناعي منذ فترة طويلة.
"ريشر": تم دمج هذه التقنية في خدمة البريد الإلكتروني Gmail منذ اللحظة الأولى لإطلاق الخدمة. وقد أنشأت Google مكتبتها الخاصة لتقنية تعلّم الآلة تحت اسم TensorFlow، وتهدف إلى تسهيل عمل المبرمجين المتخصّصين في مجال تعلّم الآلة. وتستفيد خدمة Gmail بشكل خاص من منصة TensorFlow التي توفّر لها خدمة قيّمة في التعرّف على الأنماط المعتادة.
هلا شرحت لنا آلية التعرّف على الأنماط هذه؟
"ريشر": لنفترض أنّنا لاحظنا نشاطًا مريبًا بين عدد من المستخدمين ولا يمكننا التعرّف عليه. يمكن للآلة التي تعمل بتقنية التعلّم الذاتي مقارنة تلك الأحداث، وستتمكّن في أفضل الأحوال من رصد أشكال جديدة من الاحتيال حتى قبل انتشارها على الإنترنت.
"ميكليتس": تظل إمكانات الآلة محدودة لارتباط مدى ذكائها بقدرات الشخص الذي يستخدمها. عندما نُدخل بيانات خاطئة أو غير مكتملة إلى آلة، ستتعرّف الآلة بدورها على أنماط خاطئة أو غير مكتملة. وعلى الرغم من الهالة الإعلامية المحيطة بتقنية الذكاء الاصطناعي، يعتمد مدى فعاليتها في الأساس على الشخص الذي يستخدمها. يعتمد تدريب الآلة على المستخدم من خلال إدخال بيانات عالية الجودة والتحقّق من النتائج بعد ذلك.
"ريشر": خلال الفترة التي كنت أعمل فيها لدى مزوّد خدمة بريد إلكتروني آخر، تلقّينا رسالة من موظف بأحد المصارف في "لاغوس". وكان قد انتشر في تلك الفترة الكثير من الرسائل الإلكترونية الاحتيالية التي من المُفترض أنّ مصدرها هو نيجيريا. وكان هذا الموظف يشتكي من أنّ رسائله الإلكترونية كانت تدخل مباشرةً إلى مجلد الرسائل الإلكترونية غير المرغوب فيها للمُستلِم، على الرغم من أنّه كان يعمل لحساب بنك مرموق. وهذه الحالة هي مثال واضح على التعميم الخاطئ في آلية التعرّف على الأنماط نتيجة عدم توفّر معلومات كافية. وقد نجحنا في حلّ هذه المشكلة من خلال تغيير الخوارزمية.
تصوير: "كوني ميرباخ"
تطورات الأمن السيبراني
تعرَّف على أساليبنا الفريدة التي تساعدنا على حماية أكبر عدد ممكن من المستخدمين على الإنترنت.
مزيد من المعلومات