تُعتبر كلمات السر واحدة من أقدم الوسائل التي ابتكرها الإنسان للتحقق من الهوية. الفكرة في كلمات السر هي أنه يمكن أن يُثبت الشخص أنه من يدّعي أن يكون، وأنه يملك الصلاحية لفعل ما يريد فعله، فقط إن كان يعرف كلمة أو عبارة يستطيع بها اجتياز اختبار التحقق من الهوية وامتلاك الصلاحية. ظهرت هذه الطريقة للتحقق من الهوية في كثير من الحضارات القديمة، ومنها الحضارة العربية، إذ كانت الأبيات الشعرية تُستخدم ككلمات سرية يحفظها من أراد إثبات هويته أمام الآخرين.

في زمننا الحاضر، هنالك الكثير من الطرق للتحقق من الهوية، مثل بصمات الأصابع والتعرف على الوجوه. ولكن تبقى كلمة السر هي الطريقة الأكثر شيوعًا والأسهل من بين تلك الطرق. كل المواقع والتطبيقات التي تطلب منك التسجيل فيها ستطلب منك اختيار كلمة سر للحساب. صحيح أن هذا يجعل الأمور أسهل بكثير، ولكنه لا يخلو من المخاطرة. أحد أشهر النصائح لاختيار الكلمة السرية هي أن تكون الكلمة معقّدة بحيث يصعب تخمينها، وذلك بأن تحتوي على تركيبة من الحروف والأرقام والرموز. هذه النصيحة جيدة وفي مكانها، ولكن حتى لو كانت كلمتك السرية معقدة وصعبة، فقد تظل حساباتك معرّضة للخطر لو كنت تعيد استخدام نفس هذه الكلمة في جميع الحسابات. إن استخدام كلمة سرية واحدة في جميع الحسابات هو أحد أبرز الأمثلة على ما يسمى ب “نقطة الانهيار الواحدة” (Single point of failure)، أي أنه لو تمكّن المخترق من معرفة كلمتك السرية التي تستخدمها في حساب الفيسبوك، فسيتمكن من استخدامها للدخول إلى حساباتك الأخرى التي تستخدم فيها تلك الكلمة نفسها.

ولكن، كيف يمكن للمخترقين أن يعرفوا كلمتك السرية من الأساس إن كانت فعلًا صعبة ومعقدة؟ للأسف الشديد، بعض المواقع التي تستخدم فيها تلك الكلمة قد لا تكون آمنة بما يكفي لحماية بياناتك، حتى وإن كنت أنت على أتمّ الحذر في حمايتها. عندما تقوم بتسجيل حساب جديد في أحد المواقع أو التطبيقات، فلا بد لتلك المواقع من تخزين اسم المستخدم وكلمة المرور في قاعدة بياناتها، وذلك حتى تتمكن من التأكد من هويتك لاحقًا عندما تسجّل الدخول بتلك البيانات. هذه المقالة ليست عن الطرق المثلى لتخزين كلمات السر، فهذه مسؤولية أصحاب المواقع وليس المستخدم. ولكن يكفي أن نذكر هنا أن كلمات السر لا يجب أن تُحفظ في قاعدة بيانات الموقع مثلما هي، وإنما يجب أن تُجرى عليها عملية اسمها الهاش Hashing، وذلك بأن تُحوّل كلمة السر من شكلها الحقيقي إلى مجموعة من الحروف التي تبدو عشوائية لمن ينظر إليها، والهدف هو حماية الكلمة الأصلية في حال تم اختراق الموقع وتسريب بياناته. أما المواقع التي لا تحمي كلمات السر بهذه الطريقة فتشكّل خطرًا على سرية بياناتك لو استطاع أحد المخترقين الحصول على البيانات، لأنه الآن يعرف كلمة السر كما هي، ويستطيع أن يفعل بها ما يشاء.

عندما تكتب اسم المستخدم وكلمة المرور في أحد المواقع، لا يمكنك أن تعرف الطريقة التي يخزّن بها ذلك الموقع بياناتك السرية. هل يقوم بتخزين كلمة السر كما هي أم على شكل هاش؟ وبما أنه لا توجد أي وسيلة لمعرفة ذلك على وجه اليقين، فينبغي عليك ألا تضع ثقتك في ذلك الموقع (أيًا كان) وألا تسلّمهم كلمة السر نفسها التي تستخدمها في حساباتك الأخرى، خصوصًا الحسابات الحسّاسة منها. إن الطريقة الوحيدة لحلّ هذه المشكلة هي أن تستخدم كلمة سر مختلفة لكل حساب من حساباتك، وبذلك تضمن أنه لو تم تسريب كلمتك السرية من أحد المواقع، لن يمتدّ الخطر إلى بقية حساباتك الأخرى التي تستخدم كلمات سر مختلفة. نعم، الحل الوحيد والأمثل هو تخصيص كلمة سر مختلفة لكل حساب.

حماية كل حساب بكلمة سرية مختلفة يوفّر حماية لكل حساب، ولكن هذا بدوره يحمل معه مشكلة أخرى، وهي أنك ستضطر إلى حفظ ومعرفة الكلمة السرية لكل حساب على حدى، وهذا عبءٌ كبير، خصوصًا أن في عصرنا هذا قد يمتلك الشخص العشرات أو حتى المئات من الحسابات. الحلّ لهذه المشكلة هو استخدام برامج إدارة كلمات السر Password managers.

مدير كلمات السر هو برنامج يخزّن جميع كلماتك السرية في مكان واحد، بحيث لن تحتاج إلى تذكّر إلا كلمة سر واحدة فقط: كلمة السر الخاصة بهذا البرنامج نفسه. عندما تريد تسجيل الدخول إلى أحد المواقع أو التطبيقات، كل ما عليك هو نسخ اسم المستخدم وكلمة السر من مدير كلمات السر إلى الموقع دون الحاجة إلى تذكّرها. بالإضافة إلى ذلك، أغلب برامج إدارة كلمات السر يتيح لك إنشاء كلمة سر عشوائية قوية، مما يعني أنك تستطيع إنشاء كلمة سر خاصة بكل حساب وتخزينها في البرنامج من دون أن تتشابه مع أي كلمة سرية أخرى. يمكن لبرنامج إدارة كلمات السر أن يخزّن بياناتك محليًا (أي على جهازك نفسه) أو أن يخزّنها على السحابة حتى تستطيع الوصول إليها من أكثر من جهاز عن طريق الإنترنت. التخزين على السحابة هو الخيار الأمثل بالطبع لو كنت تملك أكثر من جهاز (هاتف، لابتوب، إلخ).

قد يتبادر إلى ذهنك سؤال: هل هذه البرامج آمنة؟ هل أستطيع أن أثق بها لتخزين كلماتي السرية؟ الجواب على ذلك هو أن الأمر يعتمد على مدى التزام البرنامج بالممارسات المثلى في الأمن والحماية. أهم هذه الممارسات المثلى هي طريقة تخزين كلمات السر: هل هي مشفّرة أم لا؟ وهل هذا التشفير قوي أم لا؟ إذا كانت كلمات السر مشفّرة تشفيرًا قويًا، فلن يستطيع أحد معرفتها حتى لو حدث تسريب لبياناتك وصارت في متناول أشخاص آخرين، فكلّ ما سيرونه هو مجموعة من الحروف والأرقام العشوائية التي لن تفيدهم في شيء، لأن الطريقة الوحيدة لفكّ تشفير البيانات هي باستخدام الكلمة السرية الرئيسية للبرنامج (أي تلك الكلمة السرية الوحيدة التي يجب عليك تذكّرها). ذلك يعني أن هذه الكلمة السرية الرئيسية يجب أن تكون قوية ومعقّدة حتى تضمن سلامة وسرّية بياناتك لو وقعت في يد الآخرين. برامج إدارة الكلمات السرية قد تبلغ في قوتها إلى حدّ لا يتيح لك أي طريقة لاسترجاع كلمات السر لو أنك نسيت كلمة السر الرئيسية! قد يبدو ذلك سيئًا، ولكنه في الواقع ضمان على قوة التشفير، فحتى أنت نفسك لن تستطيع الوصول إلى بياناتك لو لم تكن تعرف كلمتك السرية الرئيسية للبرنامج.

هنالك الكثير من البرامج المتاحة حاليًا، منها ما هو مدفوع ومنها ما هو مجاني. أنا شخصيًا أستخدم برنامجًا مجانيًا اسمه BitWarden لتخزين كافة كلماتي السرية على السحابة. هذا البرنامج مفتوح المصدر، مما يعني أن الجميع يستطيع قراءة الكود البرمجي الذي يشغّل البرنامج حتى يتأكد من سلامته (حتى لو لم تكن مبرمجًا، هنالك الكثير من المختصّين ممن قرؤوا الكود البرمجي ووجوده جيدًا بما يكفي للاستخدام العام والآمن). BitWarden يوصي به الكثير من خبراء الأمن السيبراني، ويمكنك تنزيل التطبيق على جميع أجهزتك (أندرويد، آيفون، ويندوز، iOS وغيرها) عن طريق موقعهم الرئيسي: https://bitwarden.com . أما إذا كنت من المهتمين بالبرمجة والحاسب، فيمكنك تشغيل البرنامج على سيرفر خاص بك لكي تستخدمه أنت وعائلتك وأصدقائك.