الطرق الحديثة
للتأكد من هوية المستثمر
إن جميع أرقامك السرية مثل أرقام
حسابات البنوك وجميع كلمات السر الخاصة بك بالإضافة
لجميع ملفاتك المهمة معرضة للسرقة.
إن طرق اختراق أي حاسب أصبحت متنوعة
وسهلة المنال بيد الكثيرين ، فإذا كان هنالك من
يحاول الوصول لمعلوماتك الخاصة فلديه فرصة كبيرة
للنجاح سواء كنت موصول على الانترنيت أم لا !
سنتحدث في هذه الفقرة عن الطرق المتوفرة
لحماية هذه المعلومات الهامة، ولكن قبل البدء علينا
الإشارة لبعض الطرق المتبعة لسرقة هذه المعلومات:
1- حصان طروادة Trojan ( نسبة لقصة
حصان طروادة الشهيرة ) وهو عبارة عن برنامج يدعي
بأنه ينفذ أموراً مفيد ولكنه في الحقيقة ينفذ أموراً
ضارة دون علمك كالتنصت على حاسبك أو سرقة بعض المعلومات
الهامة أو استخدام حاسبك لاختراق حواسب أخرى. ومن
أشهرها برنامج نشر عام 1995على أنه PKZIP V3.0 أي
برنامج ضغط الملفات الشهير ، ولكن أتضح أنه برنامج
للقيام ببعض الأعمال التخريبية.
ولكن هذه الطريقة بحاجة ليكون المخترق لديه بعض
الخبرة بهذا الموضوع. وممكن دخول أحصنة طروادة لجهازك
إما عن طريق البريد الإلكتروني أو عن طريق دخولك
لموقع وب غريب أو عن طريق ديسك أو قرص مضغوط.
2- برامج تجسس : يمكن أن يضعها على جهازك أي شخص
يعمل لديك للتنصت على المعلومات التي تكتبها أثناء
غيابه ( هذه الطريقة يتبعها بعض المدراء لمعرفة
ماذا يفعل موظفوهم أثناء غيابهم) طبعاً هذه البرامج
شفافة ولا يمكن لشخص غير خبير باكتشافها.
3- إن لم يكن جهازك موصول على الإنترنت وإن كنت
تستخدم نظام تشغيل بسماحيات تمنع أي شخص غيرك بإدخال
برنامج تجسس على جهازك فهنالك أجهزة إلكترونية صغيرة
الحجم يتم وصلها على لوحة المفاتيح تسجل كل ما تكتبه
عليها! ويمكن نزعها لاحقا ومعرفة كل ما كتب سابقاً.
نلاحظ أن أساليب الاختراق كثيرة
وقد لا تستطيع التغلب عليها لذلك ظهرت طرق جديدة
للحفاظ على معلوماتك السرية بعيدة عن متناول الهاكارز
وسنتحدث اليوم عن استبدال كلمات السر بأساليب أكثر
أمناً.
طبعاً يجب أن يقوم مصمم البرنامج أو مواقع الوب
باستبدال كلمات السر وليس المستخدم النهائي.
الجدول التالي يظهر الطرق المختلفة
للاستيقان authentication : وهي وسيلة التأكد من
هوية المستخدم الذي يدخل على برنامج أو موقع ما.
كلمة السر هي أرخص الطرق وأقلها أمناً فلدي المثال
التالي المستخدم للتجسس على كل ما يتم كتابته على
لوحة المفاتيح. طبعاً ممكن تخصيص البرنامج ليتنصت
على ما تتم كتابته داخل نافذة معينة فقط.
أما البطاقات الممغنطة فهي مثل كلمة السر لا تؤمن
الكثير من الحماية لكونها تخزن سلسلة من المحارف
على الشريط المغناطيسي ولا تحوي أي عمليات تشفير
داخلها. ولدي المثال التالي عن بعض الأجهزة التي
تستخدم للقراءة والكتابة على هذه البطاقات. بعضها
يتم وصله بمنفذ لوحة المفاتيح وبالتالي تدخل نتيجة
القراءة كأنها من لوحة المفاتيح وبعض الأنواع الأخرى
تتصل بالمنفذ التسلسلي RS وحديثا بمنفذ USB.
أما أجهزة Biometrics التقليدية فهي لا تضيف حماية
كبيرة لكون تبادل المعلومات بينها وبين البرنامج
ثابتاً وبالتالي ممكن القيام بعملية emulation أو
محاكاتها.
ثم يأتي جهاز مولد كلمات السر Password Generator
المتعلق بالزمن وهو أكثر أمناً من الأجهزة السابقة
وهو عبارة عن جهاز يولد كلمة سر جديدة كل 30 ثانية
ويجب أن يكون متزامن مع المخدم الذي لديه نفس الجهاز
لكل مستخدم.
وأخيراً أفضل طريقة هي البطاقات والمفاتيح الذكية
التي تحوي خوارزميات تشفير تجعل التجسس عليها غير
مجد.
سأشرح هذه الفكرة بتفصيل أكثر :
1- الشكل الأول يظهر تبادل كلمة السر بين البرنامج
وبين لوحة المفاتيح
وبالتالي أي شخص يحصل على كلمة السر
يستطيع الدخول مرة ثانية. ويمكن التجسس على كلمة
السر من خلال نفس الحاسب كالمثال السابق أو من خلال
أجهزة تجسس على الشبكة في حال كون الاتصال عبر الشبكة
غير مشفر. سنتحدث عن الـ Sniffer في مرات قادمة.
2- الشكل الثاني يظهر تبادل رقم عشوائي ثم تشفيره
من قبل البطاقة الذكية وإعادته للمخدم حيث يقوم
بحساب نفس التشفير ويقارنه مع نتيجة البطاقة الذكية
فإذا كانت القيمتان متساويتين فإنه يسمح للمستخدم
دخول البرنامج .
في هذه الحالة كل ما يمكن أن نتجسس عليه يصبح بلا
نفع في مرات الدخول الثانية وذلك كوننا نولد رقم
عشوائي جديد.
مثال عن وصل برنامج بواسطة مفتاح ذكيي يدعى 2 factor
authentication يعني عاملين للاستيقان
1- ما نعرفه : كلمة سر للمفتاح
2- ما نملكه : المفتاح
في النهاية أشير إلى أن العلم مازال
يتطور في هذا المجال – حيث بدأت تظهر مفاتيح ذكية
جديدة تدعى Super Token وهي تمتاز ب 3 factor authentication
ثلاث عوامل للاستيقان
1- ما تعرفه : كلمة السر
2- ما تملكه : المفتاح
3- أنت : البصمة
|
