هل تحمي "الرموز التعبيرية" ضمن كلمات المرور الحسابات...
الوكيل الإخباري- في ظل تزايد محاولات المخترقين لسرقة كلمات المرور باستخدام البرمجيات الخبيثة وهجمات التصيد أو "القوة الغاشمة"، يبرز استخدام كلمات مرور قوية كوسيلة دفاع أساسية. ومؤخرًا، طُرحت فكرة استخدام الرموز التعبيرية كوسيلة لتعزيز الحماية الرقمية، وسط جدل بين مؤيد ومعارض للفكرة.
اضافة اعلان
ما الفكرة؟
من منظور رياضي، استخدام الرموز التعبيرية يعزز من تعقيد كلمات المرور، نظرًا لتنوعها الكبير (حوالي 3600 رمز مختلف)، مما يجعل تخمينها أو اختراقها أكثر صعوبة. كما أن معظم أدوات الاختراق لا تتوقع وجود رموز من هذا النوع، ما يُعد ميزة إضافية.
لكن ما الجانب السلبي؟
الرموز التعبيرية تُترجم إلى رموز "يونيكود" طويلة (مثل #128514)، ما يضيف عددًا كبيرًا من الأحرف خلف الكواليس. ورغم أن هذا يبدو مفيدًا أمنيًا، إلا أنه لا يضمن حماية غير قابلة للاختراق. كما أن العديد من الأنظمة لا تدعم جميع الرموز التعبيرية، ما قد يسبب مشاكل في تسجيل الدخول أو فقدان الوصول للحساب.
هل تُنصح بها؟
الخبراء يرون أن استخدام الرموز التعبيرية في كلمات المرور قد يكون ممتعًا وغير تقليدي، لكنه ليس كافيًا وحده. ويوصون بالاعتماد على وسائل أكثر أمانًا مثل:
مفاتيح المرور (Passkeys)
إدارة كلمات المرور عبر برامج موثوقة
المصادقة متعددة العوامل (2FA)
في النهاية، تبقى الرموز التعبيرية خيارًا إضافيًا، لا بديلًا، في منظومة الأمان الرقمي.
هاشتاغز
جرب ميزات الذكاء الاصطناعي لدينا
اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:
التعليقات
لا يوجد تعليقات بعد...
أخبار ذات صلة
السوسنة
منذ 2 أيام
- السوسنة
تسريب مليون رمز 2FA يفضح ضعف نظام المصادقة
السوسنة - كشف تحقيق صحفي حديث عن اختراق واسع النطاق طال رسائل المصادقة الثنائية (2FA) المعتمدة من كبرى شركات التكنولوجيا والبنوك العالمية، في حادثة أثارت مخاوف جدية حول مدى أمان أحد أكثر أنظمة الحماية استخدامًا على الإنترنت.وأظهر تحقيق مشترك أجرته "بلومبرغ" وموقع "وايتهاوس ريبورتس"، أن شركة الاتصالات السويسرية "فينك تيليكوم سيرفيسز" تمكنت من الوصول إلى أكثر من مليون رسالة نصية تحتوي على رموز تحقق ثنائية خلال شهر يونيو 2023، من دون علم الشركات الأصلية أو إشرافها المباشر.ووفق التحقيق، استُخدمت الرسائل المصابة في عمليات تسجيل دخول وتوثيق لحسابات على منصات مثل "غوغل"، "أمازون"، "واتساب"، "ميتا"، "سناب شات"، و"تيندر"، إضافة إلى بنوك أوروبية كبرى، واستهدفت مستخدمين في أكثر من 100 دولة.نقطة ضعف في قلب النظامتعتمد المصادقة الثنائية عبر الرسائل النصية على إرسال رموز لمرة واحدة إلى هاتف المستخدم، وتشكل طبقة أمان إضافية في العديد من الخدمات الرقمية. غير أن هذه الطريقة باتت تُصنّف من قبل خبراء الأمن السيبراني ضمن أضعف خيارات الحماية، بسبب سهولة اعتراضها وغياب التشفير.ويعود سبب التسريب، بحسب التقرير، إلى لجوء عدد من الشركات إلى وسطاء اتصالات خارجيين لتقليل تكلفة إرسال الرسائل، عبر ما يُعرف بـ"العناوين العالمية" (Global Titles)، ما يسمح بتمرير الرسائل عبر شبكات متعددة ويزيد من صعوبة تتبعها أو ضبطها أمنيًا.المثير للقلق أن شركة "فينك" لم تكن مزودًا مباشرًا لخدمة الرسائل، بل وسيطًا ضمن سلسلة من المتعاقدين، ما أتاح لها التعامل مع الرسائل دون رقابة من الشركات المالكة للخدمات.دعوات لاعتماد أنظمة أكثر أمانًاأثار التسريب دعوات من خبراء الأمن السيبراني للتخلي عن استخدام الرسائل النصية كوسيلة للمصادقة، لصالح وسائل أكثر أمانًا مثل مفاتيح الأمان الفيزيائية (Security Keys)، أو استخدام تطبيقات توليد الرموز مثل Google Authenticator وAuthy، إلى جانب حلول تعتمد على القياسات الحيوية من خلال بروتوكول WebAuthn.وتتميّز هذه البدائل بأنها تعمل محليًا على أجهزة المستخدمين ولا تمر عبر أطراف ثالثة، ما يقلل من احتمالات التسلل أو التلاعب بالبيانات. اقرأ أيضاً:
خبرني
٢٩-٠٥-٢٠٢٥
- خبرني
كيف يستغل الهاكرز روبوتات الذكاء الاصطناعي في استهداف ضحاياهم؟
خبرني - تمتلك روبوتات الذكاء الاصطناعي الموجهة لعامة الناس مثل "شات جي بي تي" و"جيميناي" و "كوبايلوت" إمكانيات كبيرة يمكن استخدامها في الخير والشر، فمثلا يمكن أن تساعد الأطباء في تشخيص الأمراض بدقة أكبر، وتوفر للناس إمكانية الوصول إلى خبرات أكاديمية ومهنية بسهولة. وبالمقابل يمكن أن يستخدمها الكثير من الهاكرز لاستهداف الأشخاص والشركات بفعالية أكبر وبتكلفة أقل من أي وقت مضى، وقد تكون واثقا من قدرتك على اكتشاف الهجمات الخبيثة، ولكن تتفاجأ بأساليب جديدة تبدو وكأنها قادمة من الخيال. كيف يستخدم الهاكرز الذكاء الاصطناعي لاختيار ضحاياهم؟ يعتمد الهاكرز على سرقة حسابات وسائل التواصل لخداع الناس، وأحيانا يقومون بإنشاء حسابات مزيفة تشبه حسابات حقيقية أو يخترقون حسابات حقيقية بهدف كسب ثقة الضحايا واستغلالها. ويمكن لروبوتات الذكاء الاصطناعي اليوم مساعدة هؤلاء القراصنة في جمع الصور والمعلومات من حسابات التواصل مثل السيرة الذاتية والمنشورات والصور لإنشاء حسابات مزيفة تشبه الحساب الحقيقي، وبعد ذلك يرسلون طلبات صداقة إلى أصدقاء الضحية حتى يظنوا أنهم يتحدثون مع شخص يعرفونه فعلا. وفي حال تمكن المخترق من السيطرة على حساب حقيقي، فإن هذا يمنحه فرصة أكبر لتنفيذ هجمات أكثر ذكاء، إذ يمكن لأدوات الذكاء الاصطناعي تحليل المحادثات السابقة واكتشاف العلاقات القريبة وحتى تقليد طريقة الكتابة، مما يجعل الرسائل تبدو طبيعية ومقنعة وقد تحتوي هذه الرسائل على روابط خبيثة أو طلبات مالية أو حتى قصص طارئة مزيفة. وبسبب هذه المخاطر، أصبحت المواقع تستخدم وسائل حماية أقوى مثل التحقق بخطوتين (2FA) واختبارات "كابتشا" (CAPTCHA) المعقدة وأنظمة مراقبة السلوك، لكن رغم ذلك يظل العنصر البشري هو الحلقة الأضعف، لأن خداع الناس نفسيا أسهل من كسر الأنظمة التقنية. أنواع الهجمات الإلكترونية التي تعتمد على روبوتات الذكاء الاصطناعي يستخدم مجرمو الإنترنت تقنيات ذكاء اصطناعي متعددة لإنشاء برمجيات ضارة ذكية أو لتقليد شخصيات مشهورة أو جهات معروفة، ورغم أن العديد من هذه الهجمات الاحتيالية تعتمد على أساليب الخداع التقليدية، فإن الذكاء الاصطناعي يجعلها أكثر إقناعا وأصعب في اكتشافها، وسنذكر أبرز الهجمات الإلكترونية التي يعتمدها الهاكرز في استهداف ضحاياهم. روبوتات الذكاء الاصطناعي الخبيثة انتشرت في الآونة الأخيرة نسخ خبيثة من نماذج الذكاء الاصطناعي مثل "وورم جي بي تي" (WormGPT) و "فرود جي بي تي" (FraudGPT) و "أونيون جي بي تي" (OnionGPT) التي يمكن استخدامها لإنشاء برمجيات ضارة واكتشاف ثغرات الأمان في الأنظمة وتقديم نصائح للاحتيال والاختراق والسيطرة على أجهزة الآخرين. ويُعد نموذج "لوف جي بي تي" (Love-GPT) هو الأخطر لأنه متخصص في عمليات الاحتيال العاطفي، حيث يسمح بإنشاء حسابات وهمية على تطبيقات المواعدة المشهورة مثل "تيندر" (Tinder) و"بامبل" (Bumble) ويقوم بالدردشة مع الضحايا بشكل مقنع لخداعهم، ومن الجدير بالذكر أن هذه الأداة موجودة منذ أكثر من عقد من الزمن ولكن لم تُدمج فيها تقنية الذكاء الاصطناعي إلا بعد إطلاق "شات جي بي تي" بأشهر. شرح الكود البرمجي واكتشاف الثغرات الأمنية تُعد روبوتات الذكاء الاصطناعي وخاصة "شات جي بي تي 4" أدوات مفيدة في شرح الكود البرمجي واكتشاف الثغرات الأمنية فيه، ولأن هذه الأدوات وجدت لمساعدة المستخدمين، فسوف تعتقد أنك بحاجة لفحص كود برمجي خاص بشركتك أو تطبيقك بهدف حمايتها من الاختراق، وهو ما يستغله الهاكرز لتنفيذ اختراقه. فعند تزويد "شات جي بي تي" بمثال يحتوي على كود معين، يمكنه تحديد المشكلات الأمنية ويعرض كيف يمكن للمهاجم استغلال هذا الضعف لتنفيذ أوامر خبيثة، وبعد ذلك يُقدم نسخة محسنة من الكود تُظهر كيفية معالجة هذه الثغرة وتأمين الموقع أو التطبيق. ومن الجدير بالذكر أن روبوتات الذكاء الاصطناعي المتقدمة -خاصة بالنسخ المدفوعة- قادرة على تحليل أكواد شديدة التعقيد وشرح طريقة عملها والكشف عن الثغرات بل وحتى توضيح كيف يمكن استغلالها. البرمجيات الخبيثة الذكية مع ظهور الذكاء الاصطناعي ظهر نوع جديد وخطير من البرمجيات الخبيثة تعمل بشكل مستقل تماما. ففي السابق كان الهاكر يحتاج إلى أن يتحكم يدويا في البرمجيات الخبيثة بعد أن يتمكن من حقنها داخل شبكة أو جهاز الضحية، ولكن اليوم أصبح من الممكن أن تعمل بشكل تلقائي دون تدخل بشري. ومع وجود نماذج ذكاء اصطناعي مثل "شات جي بي تي" أصبحت البرمجيات الخبيثة قادرة على اتخاذ قرارات بنفسها، مما يُمكنها من تحديد موقع البيانات المهمة، ومعرفة موقع كلمات المرور المخزنة محليا، وحتى كيفية الاتصال بمصادر البيانات واستخراجها تلقائيا. وبفضل قدرتها على معالجة كميات كبيرة من البيانات بشكل أكثر كفاءة من الإنسان، فإن استخدام البرمجيات الخبيثة الذكية يشكل خطرا أكبر بكثير مقارنة بالبرمجيات الخبيثة التقليدية التي تتطلب تفاعل الهاكر بشكل يدوي. ونظرا لأن البرمجيات الخبيثة تعمل بشكل مستقل، لم يعد من الضروري أن يتحكم الهاكر في البرمجيات ويوجهها يدويا، وهذا يجعلها ليست فقط أكثر خطورة، بل وأكثر شيوعا أيضا، وهذا يعني أن المزيد من الشركات قد تكون عرضة للاختراقات العشوائية بدلا من أن تكون هدفا محددا. حملات التضليل الآلي يستخدم الهاكرز الآن روبوتات الذكاء الاصطناعي لنشر معلومات كاذبة على نطاق واسع وبسرعة كبيرة، إذ تقوم هذه الروبوتات بإنشاء تعليقات ومنشورات مزيفة على مواقع التواصل ومنتديات النقاش لنشر أخبار كاذبة بطريقة تبدو حقيقية ومقنعة. وعلى عكس الحملات التقليدية التي كانت تتطلب وقتا وجهدا بشريا، يمكن الآن لأدوات الذكاء الاصطناعي أن تُدير العملية كاملة بشكل آلي، مما يجعل الأخبار الزائفة تنتشر بشكل أسرع وأسهل، كما تستطيع هذه الروبوتات إنشاء حسابات وهمية تتفاعل مع المنشورات وتنشرها لتعزيز مصداقيتها، وإذا انتشرت هذه الحسابات بكثرة فقد تتمكن من إقناع الأشخاص غير المطلعين أو المترددين بالانحياز إلى روايتها. ولا يتوقف الأمر عند نشر الشائعات فقط، بل تُستخدم هذه الحملات أيضا لتوجيه المستخدمين إلى مواقع الاحتيال، حيث يمكن أن تحتوي الأخبار الكاذبة على روابط ضارة، وغالبا ما تنتشر هذه المنشورات قبل أن يتمكن المدققون من التحقق من صحتها، مما يؤدي إلى أن يشاركها كثير من الناس دون علم بحقيقتها. هجمات التصيد الاحتيالي لطالما كانت هجمات التصيد الاحتيالي عبر الرسائل النصية القصيرة والبريد الإلكتروني من أساليب المحتالين الشائعة، إذ تعتمد هذه الهجمات على انتحال شخصية شركة معروفة وهيئة حكومية بهدف سرقة بيانات تسجيل الدخول الخاصة بحسابات المستخدمين. وبالمقابل تبرز هجمات التصيد الاحتيالي الموجه، التي تتطلب من المهاجمين إجراء بحث واستطلاع وصياغة رسائل بريد إلكتروني ونصوص مخصصة للغاية لخداع ضحاياهم، ومع ذلك فإن محاولات التصيد الاحتيالي الموجه لا تستهدف الأشخاص العاديين بل هي موجهة للشركات والأشخاص البارزين، حيث إنها تتطلب جهدا كبيرا لتنفيذها بنجاح. و باستخدام روبوتات الذكاء الاصطناعي أصبح بإمكان مجرمي الإنترنت أتمتة هجمات التصيد الاحتيالي الموجه الجماعية دون إنفاق موارد أو وقت كبير على تمويل الحملة، وقد يستخدمون تقنية التزييف العميق (DeepFake) لإنشاء مقاطع فيديو مفبركة لشخصيات مهمة ليبدو الاحتيال أكثر إقناعا. وفي إحدى الحالات، نشر موقع يوتيوب على منصة "إكس" تحذيرا يُنبه فيه صناع المحتوى من عمليات الاحتيال التي تتضمن مقطع فيديو مزيفًا لرئيسه التنفيذي، والذي صمم لخداعهم والكشف عن بيانات اعتماد تسجيل الدخول الخاصة بهم.
الوكيل
٢٠-٠٥-٢٠٢٥
- الوكيل
غوغل تحذر.. توقفوا عن استخدام كلمات المرور على "جي ميل"
الوكيل الإخباري- أكدت غوغل تعرض مستخدمي Gmail لهجوم تصيّد متقدّم يستغل ثغرة في بنيتها، حيث نجح المهاجمون في إرسال رسائل خبيثة من عنوان رسمي مثل [email protected]. اضافة اعلان أبرز النقاط: الهجوم لا يحتاج لتفاعل المستخدم (Zero-Click). يؤدي إلى سرقة البيانات ونشر برمجيات خبيثة. غوغل أطلقت إجراءات حماية وستنشرها قريبًا. نصائح للحماية: فعّل المصادقة الثنائية (2FA). استخدم مفتاح المرور (Passkey) بدلًا من الاعتماد على كلمة المرور فقط. تجنب الشبكات العامة. لا تفتح رسائل مشبوهة حتى لو بدت رسمية. غوغل تؤكد أن كلمات المرور وحدها لم تعد كافية لحماية حسابك. أرم نيوز
