مدير كلمة المرور

مدير حدثة المرور هوتطبيق برمجي يساعد في توليد واسترجاع حدثات السر المعقدة، ويحتمل حتى يتم تخزين حدثات السر هذه في قاعدة بيانات مشفرة أوحساب مخصص على الطلب من قبل المستخدم نفسه.

يوجد أنواع متعددة من مدير حدثة المرور، وهي تضم الآتي:

تطبيقات البرامج المثبتة محلياً.
الخدمات عبر الإنترنت التي يتم الوصول إليها من خلال بوابات المسقط.
الأجهزة التي يتم الوصول إليها محليًا والتي تعمل بمثابة مفاتيح.

اعتمادًا على نوع تطبيق مدير حدثة المرور المستخدم والوظائف التي يقدمها مطوروها، يتم تخزين قاعدة البيانات المشفرة محليًا على جهاز المستخدم أوتخزينها عن بُعد من خلال خدمة استضافة الملفات عبر الإنترنت. يطلب مديروحدثة المرور عادةً من المستخدم إنشاء حدثة مرور "رئيسية" وتذكرها لإلغاء تأمين الوصول إلى أي معلومات مخزنة في قواعد البيانات الخاصة بهم والوصول إليها.

البرامج المثبتة محلياً

عادةً ما تتواجد تطبيقات مدير حدثة المرور على جهاز الكمبيوتر الشخصي للمستخدم أوجهازه المحمول ، مثل الهواتف الحديثة ، وتأتي على شكل تطبيق برنامج مثبت محليًا. يمكن حتى تكون هذه التطبيقات غير متصلة بالإنترنت، حيث يتم تخزين قاعدة بيانات حدثة المرور بشكل مستقل ومحلي على نفس الجهاز مثل برنامج مدير حدثات المرور. إضافةً على ذلك، يمكن لبرامج مدير حدثة المرور تقديم أواعتماد نهج قائم على السحابة، حيث تعتمد قاعدة بيانات حدثة المرور على خدمة استضافة الملفات عبر الإنترنت وتخزينها عن بُعد، ولكن يتم معالجتها بواسطة برنامج إدارة حدثة المرور المثبتة على جهاز المستخدم.

الخدمات المستندة إلى الويب

تطبيقات مدير حدثات المرور التي تكون عبر الإنترنت هي ببساطة تعبير عن مسقط أوصفحة رقمية تخزن بيانات تسجيل الدخول بأمان، وهي بحد ذاتها إصدارات قائمة على الويب نظراً عن كونها مجرد تطبيقات مدير حدثات المرور التقليدية القائمة على سطح المخط.

تتمثل مزايا تطبيق مدير حدثة المرور عبر الإنترنت في الإصدارات المستندة إلى سطح المخط في قابلية النقل (يمكن استخدامها عمومًا على أي كمبيوتر باستخدام مستعرض ويب واتصال شبكة، دون الحاجة إلى تثبيت البرنامج) ، وذلك بهدف تقليل خطر فقد حدثات المرور من خلال السرقة أوالتلف إلى جهاز كمبيوتر واحد - على الرغم من وجود نفس المخاطر على الخادم الذي يُستخدم لتخزين حدثات مرور المستخدمين. في كلتا الحالتين، يمكن منع هذا الخطر عن طريق ضمان أخذ نسخ احتياطية آمنة.

العيوب الرئيسية في برامج مدير حدثة المرور عبر الإنترنت هي المتطلبات التي يثق بها المستخدم في مسقط الاستضافة وليس راصد لوحة المفاتيح على الكمبيوتر الذي يستخدمه. نظرًا لأن الخوادم والسحابة تمثلان محورًا للهجمات السيبرانية، فإن عمليات المصادقة في الخدمة عبر الإنترنت، وحدثات المرور المخزنة هناك المشفرة باستخدام مفتاح معهد من قبل المستخدم لا تقل أهمية أيضاً. مرة أخرى، يميل المستخدمون إلى التحايل على الأمان وذلك لأسباب للراحة. عامل مهم آخر هوما إذا كان يتم استخدام تشفير واحد أواثنين.

هناك حلول مختلطة. تقوم بعض أنظمة إدارة حدثة المرور عبر الإنترنت بتوزيع التعليمات البرمجية المصدر الخاصة بهم. يمكن التحقق منها وتثبيتها بشكل منفصل.

يعد استخدام مدير حدثات المرور المستندة إلى الويب بديلاً لتقنيات تسجيل الدخول الأحادي، مثل نظام OpenID أوحساب Microsoft (سابقًا Microsoft Wallet وMicrosoft Passport و.NET Passport وMicrosoft Passport Network وWindows Live ID) أوقد يحدث بمثابة تدبير وقف الفجوة ريثما يتم تبني طريقة أفضل لحفظ وتخزين حدثات المرور وحمايتها من الاختراق.

الأجهزة القائمة على الرموز

الرموز المميزة للأمان هي شكل من أشكال إدارة حدثات المرور المبنية على الرمز المميز، حيث يتم استخدام جهاز يمكن الوصول إليه محليًا، مثل البطاقات الذكية أوأجهزة فلاش USB الآمنة، لمصادقة مستخدم بدلاً من حدثة مرور تقليدية تعتمد على النص أوبالإضافة إليها. عادةً ما يتم تشفير البيانات المخزنة في الرمز المميز لمنع البحث والقراءة غير المصرح به للبيانات. لا تزال بعض الأنظمة الرمزية تتطلب تحميل البرامج على جهاز الكمبيوتر أوجهاز محمول إلى جانب الأجهزة الأخرى (مثل قارئ البطاقة الذكية) وبرامج التشغيل لقراءة البيانات وفك تشفيرها بشكل سليم.

بيانات الاعتماد (أسماء المستخدمين وحدثات المرور) هي محمية باستخدام رمز الأمان، وبالتالي عادة ما تقدم مصادقة متعددة العوامل من خلال الجمع بشيء يمتلكه المستخدم مثل تطبيق الهاتف المحمول الذي يولد رمزًا مشابهًا للبطاقة الذكية الافتراضية والبطاقة الذكية وعصا USB ، أوشيء يعهده المستخدم (رقم التعريف الشخصي أوحدثة المرور) و/ أوشيء يشبه المستخدم مثل القياسات الحيوية (مثلاً البصمات) أومثل الماسح الضوئي لبصمات الأصابع أواليد أوالشبكية في العين أوالوجه.

المزايا

تتمثل ميزة عناصر التحكم في الوصول المستندة إلى حدثة المرور في سهولة دمجها في معظم البرامج باستخدام قابلات برمجة التطبيقات (APIs) المتوفرة في الكثير من منتجات البرمجيات، ولا تتطلب تعديلات موسعة على جهاز الكمبيوتر / الخادم، وأن المستخدمين على دراية بالعمل باستخدام حدثات المرور. على الرغم من حتى حدثات المرور يمكن حتى تكون آمنة إلى حد ما، فإن الضعف يكمن في كيفية اختيار المستخدمين لحدثات المرور وفي كيفية إدارتها. يمكن فهم معايير حدثات والمرور وتقسيمها وذلك على النحوالتالي:

حدثات المرور البسيطة - قصيرة الطول، تستخدم حدثات موجودة في القواميس، أولا تختلط في أنواع مختلفة من الأحرف (الأرقام، علامات الترقيم، الحروف العلوية / السفلية) ، أويمكن تخمينها بسهولة.

حدثات المرور التي يمكن للآخرين العثور عليها - على الملاحظات الملصقة على الشاشات أوفي المفكرة بواسطة الكمبيوتر أوفي مستند على الكمبيوتر أوتذكيرات السبورة أوتخزين الأجهزة الذكية بنص واضح وغير مشفر، إلخ.

نفس حدثة المرور - استخدام نفس حدثة المرور لمواقع متعددة، وعدم تغيير حدثات مرور الحساب، إلخ.

حدثات المرور المشهجرة - من الممكن أحياناً المستخدمون يخبرون حدثات مرور الخاصة بهم للآخرين، وإرسال رسائل البريد الإلكتروني غير المشفرة مع معلومات حدثة المرور، والمشهجرين باستخدام نفس حدثة المرور لجميع حساباتهم، إلخ.

تسجيل الدخول بالحساب الإداري - حيث يكتفي بعض المستخدمين بتسجيل الدخول بإستخدام حدثات المرور المهيئة من قبل النظام الإداري، أومن قبل المسؤولون الذين يسمحون للمستخدمين الذين لديهم نفس الدور باستخدام نفس حدثة المرور.

من المعتاد ارتكاب واحد من هذه الأخطاء على الأقل. هذا يجعل من السهل للغاية على المتسللين والمخترقين أوالقراصنة والبرامج الضارة ولصوص الإنترنت اقتحام الحسابات الفردية والشركات من جميع الأحجام والوكالات الحكومية والمؤسسات وما إلى ذلك. إذا تطبيق مدير حدثة المرور من شأنه بأن يحمي ويعالج هذه الثغرات الأمنية التي تجعل مدير حدثة المرور في الأنظمة شي مهم وحساس للغاية.

يمكن أيضًا استخدام تطبيقات مدير حدثة المرور كدفاع ضد الخداع والتصيد الإلكتروني. بخلاف طبيعة البشر، يمكن لبرنامج إدارة حدثات المرور أيضًا تضمين برنامج نصي لتسجيل الدخول تلقائيًا يقوم أولاً بمقارنة عنوان URL الخاص بالمسقط الحالي بعنوان URL الخاص بالمسقط المخزن. إذا كان الاثنان غير متطابقين، فلن يقوم مدير حدثات المرور تلقائيًا بملء حقول تسجيل الدخول. يهدف هذا التحقق والنظام إلى ضمان الحماية من التقليد البصري ومواقع الويب المشابهة أوالمشتبه فيها. مع هذه الميزة الأمنية المدمجة،قد يكون استخدام مدير حدثات المرور مفيدًا حتى ولوكان لدى المستخدم حدثات مرور قليلة فقط لتذكرها. على الرغم من أنه لا يمكن لجميع برامج مدير حدثات المرور معالجة إجراءات تسجيل الدخول الأكثر تعقيدًا التي تفرضها الكثير من المواقع المصرفية، فإن الكثير من برامج مدير حدثات المرور الجديدة يتعاملون مع حدثات المرور المعقدة وعمليات ملء الصفحات المتعددة والمصادقة متعددة العوامل مسبقًا.

علاوة على ذلك، يمكن لمدير حدثة المرور الحماية من برامج تسجيل الدخول أوالبرامج الضارة لتسجيل لوحات المفاتيح. عند استخدام مدير حدثات مرور تكون عمليات التوثيق متعددة العوامل والذي من شأنها بأن تملأ حقول تسجيل الدخول تلقائيًا، حيث أنه لا يتعين على المستخدم كتابة أي أسماء مستخدمين أوحدثات مرور لكي يتمكن راصد لوحة المفاتيح من التقاطها. على الرغم من حتى راصد لوحة المفاتيح قد يلتقط رقم التعريف الشخصي (PIN) للمصادقة في رمز البطاقة الذكية، على سبيل المثال، بدون البطاقة الذكية نفسها (شيء يمتلكه المستخدم) ، فإن رقم التعريف الشخصي لا يخدم المهاجم. ومع ذلك، لا يمكن لمديري حدثة المرور الحماية من هجمات Man-in-the-browser ، حيث تقوم البرامج الضارة على جهاز المستخدم بإجراء عمليات (على سبيل المثال على مسقط إلكتروني مصرفي) أثناء تسجيل دخول المستخدم -أثناء إخفاء النشاط الضار من المستخدم.

العيوب

الثغرات الأمنية

إذا تم تخزين حدثات المرور بطريقة غير مشفرة، فلا يزال من الممكن عمومًا الحصول على حدثات المرور الممنوحة للوصول المحلي إلى الجهاز.

يستخدم بعض مدراء حدثة المرور حدثة مرور رئيسية أوتعبير مرور خاصة من قبل المستخدم لتشكيل المفتاح المستخدم لتشفير حدثات المرور المحمية. يعتمد أمان هذا النهج على قوة حدثة المرور التي تم اختيارها (والتي قد يتم تخمينها أوفرضها قسوة) ، وأيضًا حتى تعبير المرور نفسها لا يتم تخزينها محليًا حيث يمكن لبرنامج خبيث أوفرد بأن يقرأها. حدثة مرور رئيسية مخترقة من شأنها بأن تجعل جميع حدثات المرور المحمية عرضة للخطر.

كما هوالحال مع أي نظام يتضمن بأن المستخدم عليه إدخال حدثة مرور، قد تتم مهاجمة حدثة المرور الرئيسية أيضًا واكتشافها باستخدام برامج تسجيل لوحات المفاتيح أوتحليل التشفير الصوتي. يحاول بعض مديري حدثات المرور استخدام لوحات المفاتيح الافتراضية لتقليل هذا الخطر - على الرغم من حتى ذلك لا يزال عرضة لضروريات الإنضمام التي تلتقط لقطات الشاشة عند إدخال البيانات. يمكن تخفيف هذا الخطر باستخدام جهاز تحقق متعدد العوامل.

يتضمن بعض مدراء حدثات المرور مولدات لحدثة المرور. قد يتم تخمين حدثات المرور التي تم إنشاؤها إذا كان مدير حدثات المرور يستخدم منشئ أرقام عشوائي ضعيف بدلاً من حدثة مرور آمنة.

سيتضمن أيضاً في مدير حدثات المرور القوي بأن يعالج عددًا محدودًا من إدخالات المصادقة الخاطئة المسموح بها قبل إغلاق مدير حدثة المرور ويتطلب إعادة تنشيط خدمات تكنولوجيا المعلومات. هذه هي أفضل طريقة للحماية من هجوم القوة الغاشمة/القوة العمياء.

يتيح مدير حدثات المرور للذين لا يمنعون بتبديل ذاكرتهم إلى محرك الأقراص الثابتة استخراج حدثات المرور غير المشفرة من القرص الصلب للكمبيوتر، حيث حتى إيقاف تشغيل المبادلة هذه يمكن حتى تمنع هذا الخطر.

تطبيق مدير حدثة المرور الذيقد يكون ويعمل على شبكة الإنترنت، والذي يعمل داخل متصفح المستخدم، هوبحقيقة الأمر محفوف ومُعرض بشكل خاص بالمخاطر. كشفت دراسة مفصلة باستخدام الكثير من مديري حدثات المرور عن العيوب المحتملة التالية داخل مديري حدثات المرور على الويب:

عيوب التخويل: هناك معضلة أخرى محتملة تتمثل في الخلط بين المصادقة والترخيص. عثر الباحثين المختصين بهذا المجال بأن الكثير من تطبيقات مدير حدثة المرور على شبكة الإنترنت، في وقت واحد من الزمن، قد تمثل هذه العيوب. كانت هذه المشكلات موجودة بشكل خاص في مديري حدثة المرور مما جاز للمستخدمين بمشاركة بيانات الاعتماد مع مستخدمين آخرين.

عيوب Bookmarklet: يعتمد مديروحدثة المرور على الويب بشكل عام على Bookmarklets لتسجيل الدخول للمستخدمين. ومع ذلك، إذا تم تطبيق مسقط إلكتروني ضار بشكل غير سليم، فيمكنه إساءة استخدام هذا لسرقة حدثة مرور المستخدم. السبب الرئيسي لمثل هذه الثغرات الأمنية هوحتى بيئة جافا سكريبت لمسقط إلكتروني ضار لا يمكن الوثوق بها "بصريح العبارة".

عيوب قابلة المستخدم: سيطلب بعض مديري حدثات المرور من المستخدم تسجيل الدخول عبر iframe. يمكن حتى يمثل هذا مخاطرة أمنية لأنه يدرب المستخدم على ملء حدثة المرور الخاصة به في حين حتى عنوان URL المعروض من قبل المتصفح ليس هومدير حدثات المرور. يمكن للمخادع أوالمخترق إساءة استخدام ذلك عن طريق إنشاء إطار مزيف والتقاط بيانات اعتماد المستخدم. قد يحدث الأسلوب الأكثر أمانًا هوفتح علامة تبويب جديدة حيث يمكن للمستخدمين تسجيل الدخول إلى مدير حدثات المرور.

عيوب الويب: يمكن حتى تكون ثغرات الويب الكلاسيكية موجودة أيضًا في مديري حدثات المرور على الويب. على وجه الخصوص، قد يتم استغلال الثغرات الأمنية الشائعة في الويب مثل XSS وCSRF بواسطة المتسللين والمخترقين للحصول على حدثة مرور المستخدم.

علاوة على ذلك، فإن مدراء حدثة المرور لديهم عيب في حتى أي قرصنة محتملة أوبرامج ضارة بحاجة فقط إلى فهم حدثة مرور واحدة للوصول إلى جميع حدثات مرور المستخدم، وأن هؤلاء المديرين لديهم مواقع موحدة وطرق لتخزين حدثات المرور التي يمكن استغلالها بواسطة البرامج الضارة.

حظر تطبيقات مدير حدثة المرور

حاولت الكثير من مواقع الويب البارزة منع برامج مديري حدثات المرور، وغالبًا ما يتراجعون عن ذلك عندما يقابلون تحديًا علنيًا.

ضمت الأسباب المذكورة في الحماية من الهجمات الآلية أوالحماية من التصيد أوحظر البرامج الضارة أوببساطة رفض التوافق. يتميز برنامج أمان العميل Trusteer من IBM بخيارات واضحة لمنع مديري حدثات المرور.

الجدير بالذكر، أنه قد تم انتقاد هذا الحظر من قبل محترفي أمن المعلومات لأنه عرض المستخدمين للمخاطر وخلق بيئة أقل أمانًا وأن المبررات لعمليات الحظر تلك كانت وهمية وغير واضحة.

يتضمن تطبيق الحظر النموذجي إعداد الإكمال التلقائي = "إيقاف" في نموذج الويب الخاص بحدثة المرور. وبالتالي، يتم تجاهل هذا الخيار الآن من Internet Explorer 11 على مواقع https وFirefox 38 وChrome 34 وفي Safari من حوالي الإصدار 7.0.2.

وجدت ورقة فهمية من باحث في عام 2014 بجامعة كارنيجي ميلون أنه في حين حتى المتصفحات ترفض الملء التلقائي إذا كان البروتوكول في صفحة تسجيل الدخول الحالية مختلفًا عن البروتوكول في وقت حفظ حدثة المرور، فإن بعض مدراء حدثات المرور يملؤون حدثات المرور لإصدار http بشكل غير آمن، ومن حدثات المرور المحفوظة https. لم يحمي معظم المديرين من الهجمات التي تستند إلى iFrame وإعادة التوجيه، وكشفوا حدثات مرور إضافية حيث تم استخدام مزامنة حدثات المرور بين أجهزة متعددة.

إنظر أيضاً

قائمة مديري حدثة المرور
حدثة المرور
إدارة حدثة المرور
رمز الأمان
بطاقة ذكية

المراجع

↑ Price, Rob (2017-02-22). "Password managers are an essential way to protect yourself from hackers – here's how they work". Business Insider (باللغة الإنجليزية). مؤرشف من الأصل في 27 فبراير 2017. اطلع عليه بتاريخ 29 أبريل 2017.
↑ LessPass, Stateless Password Manager https://lesspass.com
^ https://www.entrust.com/solutions/mobile/ Entrust IdentityGuard Mobile Smart Credential
^ Li, Zhiwei; He, Warren; akhawe, Devdatta; Song, Dawn. "The Emperor's New Password Manager: Security Analysis ofWeb-based Password Managers" (PDF). 2014. مؤرشف من الأصل (PDF) في 05 فبراير 2015. اطلع عليه بتاريخ 25 ديسمبر 2014.
^ Adida, Ben; Barth, Adam; Jackson, Collin. "Rootkits for JavaScript Environments Ben" (PDF). 2009. مؤرشف من الأصل (PDF) فيتسعة ديسمبر 2017. اطلع عليه بتاريخ 25 ديسمبر 2014.
^ Mic, Wright (16 July 2015). "British Gas deliberately breaks password managers and security experts are appalled". مؤرشف من الأصل في 19 فبراير 2019. اطلع عليه بتاريخ 26 يوليو2015.
↑ Reeve, Tom (15 July 2015). "British Gas bows to criticism over blocking password managers". مؤرشف من الأصل في 17 سبتمبر 2016. اطلع عليه بتاريخ 26 يوليو2015.
↑ Cox, Joseph (26 July 2015). "Websites, Please Stop Blocking Password Managers. It's 2015". مؤرشف من الأصل في 26 فبراير 2019. اطلع عليه بتاريخ 26 يوليو2015.
^ "Password Manager". مؤرشف من الأصل في 19 فبراير 2019. اطلع عليه بتاريخ 26 يوليو2015.
↑ Hunt, Troy (15 May 2014). "The "Cobra Effect" that is disabling paste on password fields". مؤرشف من الأصل في 29 مارس 2016. اطلع عليه بتاريخ 26 يوليو2015.
^ "Password Managers: Attacks and Defenses" (PDF). مؤرشف من الأصل (PDF) في 13 مايو2016. اطلع عليه بتاريخ 26 يوليو2015.
^ "Firefox on windows 8.1 is autofilling a password field when autocomplete is off". مؤرشف من الأصل في 19 فبراير 2019. اطلع عليه بتاريخ 26 يوليو2015.
^ Sharwood, Simon (9 April 2014). "Chrome makes new password grab in version 34". مؤرشف من الأصل في 19 فبراير 2019. اطلع عليه بتاريخ 26 يوليو2015.
^ "Re: 7.0.2: Autocomplete="off" still busted". مؤرشف من الأصل فيستة نوفمبر 2018. اطلع عليه بتاريخ 26 يوليو2015.