مدير كلمة المرور هو تطبيق برمجي يساعد في توليد واسترجاع كلمات السر المعقدة، ويحتمل أن يتم تخزين كلمات السر هذه في قاعدة بيانات مشفرة [1] أو حساب مخصص على الطلب من قبل المستخدم نفسه.[2]
يوجد أنواع متعددة من مدير كلمة المرور، وهي تشمل الآتي:
اعتمادًا على نوع تطبيق مدير كلمة المرور المستخدم والوظائف التي يقدمها مطوروها، يتم تخزين قاعدة البيانات المشفرة محليًا على جهاز المستخدم أو تخزينها عن بُعد من خلال خدمة استضافة الملفات عبر الإنترنت. يطلب مديرو كلمة المرور عادةً من المستخدم إنشاء كلمة مرور «رئيسية» وتذكرها لإلغاء تأمين الوصول إلى أي معلومات مخزنة في قواعد البيانات الخاصة بهم والوصول إليها.
عادةً ما تتواجد تطبيقات مدير كلمة المرور على جهاز الكمبيوتر الشخصي للمستخدم أو جهازه المحمول، مثل الهواتف الذكية، وتأتي على شكل تطبيق برنامج مثبت محليًا. يمكن أن تكون هذه التطبيقات غير متصلة بالإنترنت، حيث يتم تخزين قاعدة بيانات كلمة المرور بشكل مستقل ومحلي على نفس الجهاز مثل برنامج مدير كلمات المرور. إضافةً على ذلك، يمكن لبرامج مدير كلمة المرور تقديم أو اعتماد نهج قائم على السحابة، حيث تعتمد قاعدة بيانات كلمة المرور على خدمة استضافة الملفات عبر الإنترنت وتخزينها عن بُعد، ولكن يتم معالجتها بواسطة برنامج إدارة كلمة المرور المثبتة على جهاز المستخدم.
تطبيقات مدير كلمات المرور التي تكون عبر الإنترنت هي ببساطة عبارة عن موقع إلكتروني تخزن بيانات تسجيل الدخول بأمان، وهي بحد ذاتها إصدارات قائمة على الويب نظراً عن كونها مجرد تطبيقات مدير كلمات المرور التقليدية القائمة على سطح المكتب.
تتمثل مزايا تطبيق مدير كلمة المرور عبر الإنترنت في الإصدارات المستندة إلى سطح المكتب في قابلية النقل (يمكن استخدامها عمومًا على أي كمبيوتر باستخدام مستعرض ويب واتصال شبكة، دون الحاجة إلى تثبيت البرنامج)، وذلك بهدف تقليل خطر فقد كلمات المرور من خلال السرقة أو التلف إلى جهاز كمبيوتر واحد - على الرغم من وجود نفس المخاطر على الخادم الذي يُستخدم لتخزين كلمات مرور المستخدمين. في كلتا الحالتين، يمكن منع هذا الخطر عن طريق ضمان أخذ نسخ احتياطية آمنة.[2]
العيوب الرئيسية في برامج مدير كلمة المرور عبر الإنترنت هي المتطلبات التي يثق بها المستخدم في موقع الاستضافة وليس راصد لوحة المفاتيح على الكمبيوتر الذي يستخدمه. نظرًا لأن الخوادم والسحابة تمثلان محورًا للهجمات السيبرانية، فإن عمليات المصادقة في الخدمة عبر الإنترنت، وكلمات المرور المخزنة هناك المشفرة باستخدام مفتاح معرف من قبل المستخدم لا تقل أهمية أيضاً. مرة أخرى، يميل المستخدمون إلى التحايل على الأمان وذلك لأسباب للراحة. عامل مهم آخر هو ما إذا كان يتم استخدام تشفير واحد أو اثنين.
هناك حلول مختلطة. تقوم بعض أنظمة إدارة كلمة المرور عبر الإنترنت بتوزيع التعليمات البرمجية المصدر الخاصة بهم. يمكن التحقق منها وتثبيتها بشكل منفصل.[1]
يعد استخدام مدير كلمات المرور المستندة إلى الويب بديلاً لتقنيات تسجيل الدخول الأحادي، مثل نظام OpenID أو حساب Microsoft (سابقًا Microsoft Wallet و Microsoft Passport و.NET Passport و Microsoft Passport Network و Windows Live ID) أو قد يكون بمثابة تدبير وقف الفجوة ريثما يتم تبني طريقة أفضل لحفظ وتخزين كلمات المرور وحمايتها من الاختراق.
الرموز المميزة للأمان هي شكل من أشكال إدارة كلمات المرور المبنية على الرمز المميز، حيث يتم استخدام جهاز يمكن الوصول إليه محليًا، مثل البطاقات الذكية أو أجهزة فلاش USB الآمنة، لمصادقة مستخدم بدلاً من كلمة مرور تقليدية تعتمد على النص أو بالإضافة إليها. عادةً ما يتم تشفير البيانات المخزنة في الرمز المميز لمنع البحث والقراءة غير المصرح به للبيانات. لا تزال بعض الأنظمة الرمزية تتطلب تحميل البرامج على جهاز الكمبيوتر أو جهاز محمول إلى جانب الأجهزة الأخرى (مثل قارئ البطاقة الذكية) وبرامج التشغيل لقراءة البيانات وفك تشفيرها بشكل صحيح.
بيانات الاعتماد (أسماء المستخدمين وكلمات المرور) هي محمية باستخدام رمز الأمان، وبالتالي عادة ما تقدم مصادقة متعددة العوامل من خلال الجمع بشيء يمتلكه المستخدم مثل تطبيق الهاتف المحمول الذي يولد رمزًا مشابهًا للبطاقة الذكية الافتراضية والبطاقة الذكية وعصا USB ، أو شيء يعرفه المستخدم (رقم التعريف الشخصي أو كلمة المرور) و / أو شيء يشبه المستخدم مثل القياسات الحيوية (مثلاً البصمات) أو مثل الماسح الضوئي لبصمات الأصابع أو اليد أو الشبكية في العين أو الوجه.[3]
تتمثل ميزة عناصر التحكم في الوصول المستندة إلى كلمة المرور في سهولة دمجها في معظم البرامج باستخدام واجهات برمجة التطبيقات (APIs) المتوفرة في العديد من منتجات البرمجيات، ولا تتطلب تعديلات موسعة على جهاز الكمبيوتر / الخادم، وأن المستخدمين على دراية بالفعل باستخدام كلمات المرور. على الرغم من أن كلمات المرور يمكن أن تكون آمنة إلى حد ما، فإن الضعف يكمن في كيفية اختيار المستخدمين لكلمات المرور وفي كيفية إدارتها. يمكن فهم معايير كلمات والمرور وتقسيمها وذلك على النحو التالي:
كلمات المرور البسيطة - قصيرة الطول، تستخدم كلمات موجودة في القواميس، أو لا تختلط في أنواع مختلفة من الأحرف (الأرقام، علامات الترقيم، الحروف العلوية / السفلية)، أو يمكن تخمينها بسهولة.
كلمات المرور التي يمكن للآخرين العثور عليها - على الملاحظات الملصقة على الشاشات أو في المفكرة بواسطة الكمبيوتر أو في مستند على الكمبيوتر أو تذكيرات السبورة أو تخزين الأجهزة الذكية بنص واضح وغير مشفر، إلخ.
نفس كلمة المرور - استخدام نفس كلمة المرور لمواقع متعددة، وعدم تغيير كلمات مرور الحساب، إلخ.
كلمات المرور المشتركة - ربما أحياناً المستخدمون يخبرون كلمات مرور الخاصة بهم للآخرين، وإرسال رسائل البريد الإلكتروني غير المشفرة مع معلومات كلمة المرور، والمشتركين باستخدام نفس كلمة المرور لجميع حساباتهم، إلخ.
تسجيل الدخول بالحساب الإداري - حيث يكتفي بعض المستخدمين بتسجيل الدخول باستخدام كلمات المرور المهيئة من قبل النظام الإداري، أو من قبل المسؤولون الذين يسمحون للمستخدمين الذين لديهم نفس الدور باستخدام نفس كلمة المرور.
من المعتاد ارتكاب واحد من هذه الأخطاء على الأقل. هذا يجعل من السهل للغاية على المتسللين والمخترقين أو القراصنة والبرامج الضارة ولصوص الإنترنت اقتحام الحسابات الفردية والشركات من جميع الأحجام والوكالات الحكومية والمؤسسات وما إلى ذلك. إن تطبيق مدير كلمة المرور من شأنه بأن يحمي ويعالج هذه الثغرات الأمنية التي تجعل مدير كلمة المرور في الأنظمة شي مهم وحساس للغاية.
يمكن أيضًا استخدام تطبيقات مدير كلمة المرور كدفاع ضد الخداع والتصيد الإلكتروني. بخلاف طبيعة البشر، يمكن لبرنامج إدارة كلمات المرور أيضًا تضمين برنامج نصي لتسجيل الدخول تلقائيًا يقوم أولاً بمقارنة عنوان URL الخاص بالموقع الحالي بعنوان URL الخاص بالموقع المخزن. إذا كان الاثنان غير متطابقين، فلن يقوم مدير كلمات المرور تلقائيًا بملء حقول تسجيل الدخول. يهدف هذا التحقق والنظام إلى ضمان الحماية من التقليد البصري ومواقع الويب المشابهة أو المشتبه فيها. مع هذه الميزة الأمنية المدمجة، يكون استخدام مدير كلمات المرور مفيدًا حتى ولو كان لدى المستخدم كلمات مرور قليلة فقط لتذكرها. على الرغم من أنه لا يمكن لجميع برامج مدير كلمات المرور معالجة إجراءات تسجيل الدخول الأكثر تعقيدًا التي تفرضها العديد من المواقع المصرفية، فإن العديد من برامج مدير كلمات المرور الجديدة يتعاملون مع كلمات المرور المعقدة وعمليات ملء الصفحات المتعددة والمصادقة متعددة العوامل مسبقًا.
علاوة على ذلك، يمكن لمدير كلمة المرور الحماية من برامج تسجيل الدخول أو البرامج الضارة لتسجيل لوحات المفاتيح. عند استخدام مدير كلمات مرور تكون عمليات التوثيق متعددة العوامل والذي من شأنها بأن تملأ حقول تسجيل الدخول تلقائيًا، حيث أنه لا يتعين على المستخدم كتابة أي أسماء مستخدمين أو كلمات مرور لكي يتمكن راصد لوحة المفاتيح من التقاطها. على الرغم من أن راصد لوحة المفاتيح قد يلتقط رقم التعريف الشخصي (PIN) للمصادقة في رمز البطاقة الذكية، على سبيل المثال، بدون البطاقة الذكية نفسها (شيء يمتلكه المستخدم)، فإن رقم التعريف الشخصي لا يخدم المهاجم. ومع ذلك، لا يمكن لمديري كلمة المرور الحماية من هجمات Man-in-the-browser ، حيث تقوم البرامج الضارة على جهاز المستخدم بإجراء عمليات (على سبيل المثال على موقع ويب مصرفي) أثناء تسجيل دخول المستخدم -أثناء إخفاء النشاط الضار من المستخدم.
إذا تم تخزين كلمات المرور بطريقة غير مشفرة، فلا يزال من الممكن عمومًا الحصول على كلمات المرور الممنوحة للوصول المحلي إلى الجهاز.
يستخدم بعض مدراء كلمة المرور كلمة مرور رئيسية أو عبارة مرور خاصة من قبل المستخدم لتشكيل المفتاح المستخدم لتشفير كلمات المرور المحمية. يعتمد أمان هذا النهج على قوة كلمة المرور التي تم اختيارها (والتي قد يتم تخمينها أو فرضها قسوة)، وأيضًا أن عبارة المرور نفسها لا يتم تخزينها محليًا حيث يمكن لبرنامج خبيث أو فرد بأن يقرأها. كلمة مرور رئيسية مخترقة من شأنها بأن تجعل جميع كلمات المرور المحمية عرضة للخطر.
كما هو الحال مع أي نظام يتضمن بأن المستخدم عليه إدخال كلمة مرور، قد تتم مهاجمة كلمة المرور الرئيسية أيضًا واكتشافها باستخدام برامج تسجيل لوحات المفاتيح أو تحليل التشفير الصوتي. يحاول بعض مديري كلمات المرور استخدام لوحات المفاتيح الافتراضية لتقليل هذا الخطر - على الرغم من أن ذلك لا يزال عرضة لضروريات التسجيل التي تلتقط لقطات الشاشة عند إدخال البيانات. يمكن تخفيف هذا الخطر باستخدام جهاز تحقق متعدد العوامل.
يتضمن بعض مدراء كلمات المرور مولدات لكلمة المرور. قد يتم تخمين كلمات المرور التي تم إنشاؤها إذا كان مدير كلمات المرور يستخدم منشئ أرقام عشوائي ضعيف بدلاً من كلمة مرور آمنة.
سيتضمن أيضاً في مدير كلمات المرور القوي بأن يعالج عددًا محدودًا من إدخالات المصادقة الخاطئة المسموح بها قبل إغلاق مدير كلمة المرور ويتطلب إعادة تنشيط خدمات تكنولوجيا المعلومات. هذه هي أفضل طريقة للحماية من هجوم القوة الغاشمة/القوة العمياء.
يتيح مدير كلمات المرور للذين لا يمنعون بتبديل ذاكرتهم إلى محرك الأقراص الثابتة استخراج كلمات المرور غير المشفرة من القرص الصلب للكمبيوتر، حيث أن إيقاف تشغيل المبادلة هذه يمكن أن تمنع هذا الخطر.
تطبيق مدير كلمة المرور الذي يكون ويعمل على شبكة الإنترنت، والذي يعمل داخل متصفح المستخدم، هو بحقيقة الأمر محفوف ومُعرض بشكل خاص بالمخاطر. كشفت دراسة مفصلة باستخدام العديد من مديري كلمات المرور عن العيوب المحتملة التالية داخل مديري كلمات المرور على الويب:[4]
عيوب التخويل: هناك مشكلة أخرى محتملة تتمثل في الخلط بين المصادقة والترخيص. وجد الباحثين المختصين بهذا المجال بأن العديد من تطبيقات مدير كلمة المرور على شبكة الإنترنت، في وقت واحد من الزمن، قد تمثل هذه العيوب. كانت هذه المشكلات موجودة بشكل خاص في مديري كلمة المرور مما سمح للمستخدمين بمشاركة بيانات الاعتماد مع مستخدمين آخرين.
عيوب Bookmarklet: يعتمد مديرو كلمة المرور على الويب بشكل عام على Bookmarklets لتسجيل الدخول للمستخدمين. ومع ذلك، إذا تم تطبيق موقع ويب ضار بشكل غير صحيح، فيمكنه إساءة استخدام هذا لسرقة كلمة مرور المستخدم. السبب الرئيسي لمثل هذه الثغرات الأمنية هو أن بيئة جافا سكريبت لموقع ويب ضار لا يمكن الوثوق بها «بصريح العبارة».[5]
عيوب واجهة المستخدم: سيطلب بعض مديري كلمات المرور من المستخدم تسجيل الدخول عبر iframe. يمكن أن يمثل هذا مخاطرة أمنية لأنه يدرب المستخدم على ملء كلمة المرور الخاصة به في حين أن عنوان URL المعروض من قبل المتصفح ليس هو مدير كلمات المرور. يمكن للمخادع أو المخترق إساءة استخدام ذلك عن طريق إنشاء إطار مزيف والتقاط بيانات اعتماد المستخدم. قد يكون الأسلوب الأكثر أمانًا هو فتح علامة تبويب جديدة حيث يمكن للمستخدمين تسجيل الدخول إلى مدير كلمات المرور.
عيوب الويب: يمكن أن تكون ثغرات الويب الكلاسيكية موجودة أيضًا في مديري كلمات المرور على الويب. على وجه الخصوص، قد يتم استغلال الثغرات الأمنية الشائعة في الويب مثل XSS و CSRF بواسطة المتسللين والمخترقين للحصول على كلمة مرور المستخدم.
علاوة على ذلك، فإن مدراء كلمة المرور لديهم عيب في أن أي قرصنة محتملة أو برامج ضارة تحتاج فقط إلى معرفة كلمة مرور واحدة للوصول إلى جميع كلمات مرور المستخدم، وأن هؤلاء المديرين لديهم مواقع موحدة وطرق لتخزين كلمات المرور التي يمكن استغلالها بواسطة البرامج الضارة.
حاولت العديد من مواقع الويب البارزة منع برامج مديري كلمات المرور، وغالبًا ما يتراجعون عن ذلك عندما يواجهون تحديًا علنيًا.[6][7][8]
شملت الأسباب المذكورة في الحماية من الهجمات الآلية أو الحماية من التصيد أو حظر البرامج الضارة أو ببساطة رفض التوافق. يتميز برنامج أمان العميل Trusteer من IBM بخيارات واضحة لمنع مديري كلمات المرور.[9][10]
الجدير بالذكر، أنه قد تم انتقاد هذا الحظر من قبل محترفي أمن المعلومات لأنه عرض المستخدمين للمخاطر وخلق بيئة أقل أمانًا وأن المبررات لعمليات الحظر تلك كانت وهمية وغير واضحة.[8][10]
يتضمن تنفيذ الحظر النموذجي إعداد الإكمال التلقائي = «إيقاف» في نموذج الويب الخاص بكلمة المرور. وبالتالي، يتم تجاهل هذا الخيار الآن من Internet Explorer 11 على مواقع https و Firefox 38 و Chrome 34 وفي Safari من حوالي الإصدار 7.0.2.[7][11][12][13][14]
وجدت ورقة علمية من باحث في عام 2014 بجامعة كارنيجي ميلون أنه في حين أن المتصفحات ترفض الملء التلقائي إذا كان البروتوكول في صفحة تسجيل الدخول الحالية مختلفًا عن البروتوكول في وقت حفظ كلمة المرور، فإن بعض مدراء كلمات المرور يملؤون كلمات المرور لإصدار http بشكل غير آمن، ومن كلمات المرور المحفوظة https. لم يحمي معظم المديرين من الهجمات التي تستند إلى iFrame وإعادة التوجيه، وكشفوا كلمات مرور إضافية حيث تم استخدام مزامنة كلمات المرور بين أجهزة متعددة.