لمنع اختراق كلمات المرور الخاصة بك عن طريق الهندسة الاجتماعية أو القوة الغاشمة أو طريقة هجوم القاموس ، والحفاظ على أمان حساباتك على الإنترنت ، يجب أن تلاحظ ما يلي:

1. لا تستخدم نفس كلمة المرور وسؤال الأمان والإجابة لحسابات مهمة متعددة.

2. استخدم كلمة مرور تحتوي على 16 حرفًا على الأقل ، واستخدم رقمًا واحدًا على الأقل وحرفًا كبيرًا وحرفًا صغيرًا ورمزًا خاصًا واحدًا.

3. لا تستخدم أسماء عائلتك أو أصدقائك أو حيواناتك الأليفة في كلمات المرور الخاصة بك. في بعض الحالات ، على سبيل المثال ، لديك أكثر من 100 بيتكوين ، ثم يجب أن لا تدع أي شخص باستثناء والدتك يعرف كلمات السر الخاصة بك ، حتى والدك لا يمكن الاعتماد عليها. كافية.

4. لا تستخدم الرموز البريدية وأرقام المنازل وأرقام الهواتف وتواريخ الميلاد وأرقام بطاقات الهوية وأرقام الضمان الاجتماعي وما إلى ذلك في كلمات المرور الخاصة بك.

5. لا تستخدم أي كلمة قاموس في كلمات المرور الخاصة بك. أمثلة على كلمات المرور القوية: ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ. أمثلة على كلمات المرور الضعيفة: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. لا تستخدم كلمتين أو أكثر من كلمات المرور المشابهة التي تكون معظم شخصياتها متشابهة ، على سبيل المثال ، ilovefreshflowersMac ، ilovefreshflowersDropBox ، لأنه إذا تمت سرقة إحدى كلمات المرور هذه ، فهذا يعني أن كل كلمات المرور هذه مسروقة.

7. لا تستخدم شيئًا يمكن استنساخه (لكن لا يمكنك تغييره) ككلمات مرور ، مثل بصمات أصابعك.

8. لا تدع متصفحات الويب الخاصة بك (FireFox ، Chrome ، Safari ، Opera ، IE ، Microsoft Edge) تخزن كلمات المرور الخاصة بك ، حيث يمكن الكشف عن جميع كلمات المرور المحفوظة في متصفحات الويب بسهولة.

9. لا تقم بتسجيل الدخول إلى حسابات مهمة على أجهزة كمبيوتر الآخرين ، أو عند الاتصال بنقطة اتصال Wi-Fi عامة أو Tor أو VPN مجاني أو وكيل ويب.

10. لا ترسل معلومات حساسة عبر الإنترنت عبر اتصالات غير مشفرة (مثل HTTP أو FTP) ، لأن الرسائل في هذه الاتصالات يمكن استنشاقها بجهد ضئيل للغاية. يجب عليك استخدام الاتصالات المشفرة مثل HTTPS و SFTP و FTPS و SMTPS و IPSec كلما أمكن ذلك.

11. عند السفر ، يمكنك تشفير اتصالات الإنترنت الخاصة بك قبل أن تغادر الكمبيوتر المحمول أو الجهاز اللوحي أو الهاتف المحمول أو جهاز التوجيه. على سبيل المثال ، يمكنك إعداد VPN خاص مع بروتوكولات مثل WireGuard (أو IKEv2 ، OpenVPN ، SSTP ، L2TP عبر IPSec) على الخادم الخاص بك (الكمبيوتر المنزلي ، الخادم المخصص أو VPS) والاتصال به. بدلاً من ذلك ، يمكنك إعداد نفق SSH مشفر بين جهاز الكمبيوتر الخاص بك والخادم الخاص بك وتكوين Chrome أو FireFox لاستخدام وكيل الجوارب. ثم حتى إذا قام شخص ما بالتقاط بياناتك أثناء نقلها بين جهازك (مثل الكمبيوتر المحمول و iPhone و iPad) وخادمك باستخدام جهاز شم الحزم ، فلن يتمكن من ذلك لسرقة بياناتك وكلمات المرور الخاصة بك من بيانات البث المشفرة.

12. ما مدى أمان كلمة المرور الخاصة بي ؟ ربما تعتقد أن كلمات المرور الخاصة بك قوية جدًا ويصعب اختراقها. ولكن إذا سرق أحد المتسللين اسم المستخدم الخاص بك وقيمة تجزئة MD5 لكلمة المرور الخاصة بك من خادم الشركة ، ويحتوي جدول قوس قزح الخاص بالمتسلل على تجزئة MD5 هذه ، ثم سيتم كسر كلمة المرور الخاصة بك بسرعة.

     للتحقق من قوة كلمات المرور الخاصة بك ومعرفة ما إذا كانت داخل جداول قوس قزح الشائعة ، يمكنك تحويل كلمات المرور الخاصة بك إلى تجزئات MD5 على مولد تجزئة MD5 ، ثم فك تشفير كلمات المرور الخاصة بك عن طريق إرسال هذه التجزئة إلى خدمة فك تشفير MD5 عبر الإنترنت. على سبيل المثال ، كلمة المرور الخاصة بك هي "0123456789A" ، باستخدام طريقة القوة الغاشمة ، قد يستغرق الكمبيوتر ما يقرب من عام لاختراق كلمة المرور الخاصة بك ، ولكن إذا قمت بفك تشفيرها عن طريق تقديم تجزئة MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) إلى موقع فك تشفير MD5 ، كم من الوقت سيستغرق كسرها ؟ يمكنك إجراء الاختبار بنفسك.

13. يوصى بتغيير كلمات المرور الخاصة بك كل 10 أسابيع.

14. من المستحسن أن تتذكر بعض كلمات المرور الرئيسية ، وتخزين كلمات المرور الأخرى في ملف نصي عادي وتشفير هذا الملف باستخدام 7-Zip أو GPG أو برنامج تشفير القرص مثل كما بيتلوكر ، أو إدارة كلمات السر الخاصة بك مع برنامج إدارة كلمة المرور.

15. قم بتشفير كلمات المرور الخاصة بك ونسخها احتياطيًا إلى مواقع مختلفة ، ثم إذا فقدت الوصول إلى جهاز الكمبيوتر أو الحساب ، فيمكنك استرداد كلمات المرور الخاصة بك بسرعة.

16. قم بتشغيل المصادقة المكونة من خطوتين كلما أمكن ذلك.

17. لا تقم بتخزين كلمات المرور الهامة الخاصة بك في السحابة.

18. الوصول إلى مواقع الويب المهمة (على سبيل المثال Paypal SNS.show) من الإشارات المرجعية مباشرة ، وإلا يرجى التحقق من اسم المجال الخاص به بعناية ، فمن الجيد التحقق من شعبية موقع الويب باستخدام شريط أدوات Alexa للتأكد من أنه ليس موقع تصيد قبل إدخال كلمة المرور الخاصة بك.

19. حماية جهاز الكمبيوتر الخاص بك مع جدار الحماية وبرامج مكافحة الفيروسات ، ومنع جميع الاتصالات الواردة وجميع الاتصالات الصادرة غير الضرورية مع جدار الحماية. قم بتنزيل البرامج من المواقع ذات السمعة الطيبة فقط ، وتحقق من المجموع الاختباري MD5 / SHA1 / SHA256 أو توقيع GPG لحزمة التثبيت كلما أمكن ذلك.

20. احتفظ بأنظمة التشغيل (مثل Windows 7 و Windows 10 و Mac OS X و iOS و Linux) ومتصفحات الويب (على سبيل المثال FireFox و Chrome و IE و Microsoft Edge) لأجهزتك (على سبيل المثال جهاز كمبيوتر يعمل بنظام Windows و Mac PC و iPhone و iPad و Android tablet) محدثًا عن طريق تثبيت آخر تحديث أمني.

21. إذا كانت هناك ملفات مهمة على جهاز الكمبيوتر الخاص بك ، ويمكن الوصول إليها من قبل الآخرين ، تحقق مما إذا كان هناك keyloggers الأجهزة (مثل الشم لوحة المفاتيح اللاسلكية) ، keyloggers البرامج والمخفية الكاميرات عندما تشعر أنها ضرورية.

22. إذا كانت هناك أجهزة توجيه WIFI في منزلك ، فمن الممكن معرفة كلمات المرور التي كتبتها (في منزل جارك) عن طريق اكتشاف إيماءات أصابعك ويديك ، نظرًا لأن إشارة WIFI التي تلقوها ستتغير عند تحريك أصابعك ويديك. يمكنك استخدام لوحة مفاتيح على الشاشة لكتابة كلمات المرور الخاصة بك في مثل هذه الحالات ، سيكون الأمر أكثر أمانًا إذا قامت لوحة المفاتيح الافتراضية (أو لوحة المفاتيح اللينة) بتغيير التخطيطات في كل مرة.

23. قفل جهاز الكمبيوتر الخاص بك والهاتف المحمول عند تركها.

24. قم بتشفير القرص الصلب بالكامل باستخدام VeraCrypt أو FileVault أو LUKS أو أدوات مماثلة قبل وضع ملفات مهمة عليه ، وتدمير القرص الصلب للأجهزة القديمة فعليًا إذا لزم الأمر .

25. قم بالوصول إلى مواقع الويب المهمة في الوضع الخاص أو وضع التصفح المتخفي ، أو استخدم مستعرض ويب واحدًا للوصول إلى مواقع الويب المهمة ، واستخدم متصفحًا آخر للوصول إلى مواقع أخرى. أو الوصول إلى مواقع ويب غير مهمة وتثبيت برامج جديدة داخل جهاز ظاهري تم إنشاؤه باستخدام VMware أو VirtualBox أو Parallels.

26. استخدم ما لا يقل عن 3 عناوين بريد إلكتروني مختلفة ، استخدم العنوان الأول لتلقي رسائل البريد الإلكتروني من المواقع والتطبيقات المهمة ، مثل Paypal و Amazon SNS.show استخدم العنوان الثاني لتلقي رسائل البريد الإلكتروني من مواقع وتطبيقات غير مهمة ، استخدم الثالث (من موفر بريد إلكتروني مختلف ، مثل Outlook و GMail) لتلقي البريد الإلكتروني الخاص بإعادة تعيين كلمة المرور عند أول واحد (مثل بريد Yahoo) تم اختراقه.

27. استخدام ما لا يقل عن 2 أرقام الهاتف ديفيرنيت ، لا تخبر الآخرين رقم الهاتف الذي تستخدمه لتلقي الرسائل النصية من رموز التحقق.

28. لا تنقر على الرابط في رسالة بريد إلكتروني أو رسالة SMS ، ولا تقم بإعادة تعيين كلمات المرور الخاصة بك عن طريق النقر عليها ، إلا أنك تعلم أن هذه الرسائل ليست مزيفة.

29. لا تخبر كلمات المرور الخاصة بك لأي شخص في البريد الإلكتروني.

30. من الممكن أن يكون أحد البرامج أو التطبيقات التي قمت بتنزيلها أو تحديثها قد تم تعديله من قبل المتسللين ، يمكنك تجنب هذه المشكلة عن طريق عدم تثبيت هذا البرنامج أو التطبيق على لأول مرة ، باستثناء أنه تم نشره لإصلاح الثغرات الأمنية. يمكنك استخدام التطبيقات المستندة إلى الويب بدلاً من ذلك ، والتي تكون أكثر أمانًا وقابلية للحمل.

31. كن حذرًا عند استخدام أدوات اللصق عبر الإنترنت وأدوات التقاط الشاشة ، ولا تسمح لهم بتحميل كلمات المرور الخاصة بك إلى السحابة.

32. إذا كنت مشرف موقع ، فلا تخزن كلمات مرور المستخدمين وأسئلة الأمان والإجابات كنص عادي في قاعدة البيانات ، يجب عليك تخزين المملح (SHA1 أو SHA256 أو SHA512 ) قيم التجزئة لهذه السلاسل بدلاً من ذلك. يوصى بإنشاء سلسلة ملح عشوائية فريدة لكل مستخدم. بالإضافة إلى ذلك ، من الجيد تسجيل معلومات جهاز المستخدم (على سبيل المثال إصدار نظام التشغيل ، ودقة الشاشة ، وما إلى ذلك) وحفظ قيم التجزئة المملحة منها ، ثم عندما يحاول تسجيل الدخول بكلمة المرور الصحيحة ولكن معلومات جهازه لا يتطابق مع الرقم المحفوظ السابق ، اسمح لهذا المستخدم بالتحقق من هويته عن طريق إدخال رمز تحقق آخر يتم إرساله عبر الرسائل القصيرة أو البريد الإلكتروني.

33. إذا كنت مطور برامج ، فيجب عليك نشر حزمة التحديث الموقعة بمفتاح خاص باستخدام GnuPG ، والتحقق من توقيعها بالمفتاح العام المنشور مسبقًا.

34. للحفاظ على أمان نشاطك التجاري عبر الإنترنت ، يجب عليك تسجيل اسم نطاق خاص بك ، وإعداد حساب بريد إلكتروني باستخدام اسم النطاق هذا ، فلن تفقد بريدك الإلكتروني حساب وجميع جهات الاتصال الخاصة بك ، نظرًا لأنه يمكنك استضافة خادم البريد الخاص بك في أي مكان ، فلا يمكن تعطيل حساب بريدك الإلكتروني بواسطة مزود البريد الإلكتروني.

35. إذا كان موقع التسوق عبر الإنترنت يسمح فقط بإجراء الدفع باستخدام بطاقات الائتمان ، فيجب عليك استخدام بطاقة ائتمان افتراضية بدلاً من ذلك.

36. أغلق متصفح الويب الخاص بك عندما تغادر جهاز الكمبيوتر الخاص بك ، وإلا يمكن اعتراض ملفات تعريف الارتباط بجهاز USB صغير بسهولة ، مما يجعل من الممكن تجاوز التحقق والتسجيل بخطوتين في حسابك مع الكوكيز المسروقة على أجهزة الكمبيوتر الأخرى.

37. عدم الثقة في شهادات SSL السيئة وإزالتها من متصفح الويب الخاص بك ، وإلا فلن تتمكن من ضمان سرية وسلامة اتصالات HTTPS التي تستخدم هذه الشهادات.

38. قم بتشفير قسم النظام بأكمله ، وإلا يرجى تعطيل وظائف ملف ترحيل الصفحات والإسبات ، حيث من الممكن العثور على مستنداتك المهمة في ملفات pagefile.sys و hiberfil.sys.

39. لمنع هجمات تسجيل الدخول بالقوة الغاشمة إلى الخوادم المخصصة أو خوادم VPS أو الخوادم السحابية ، يمكنك تثبيت برنامج كشف التسلل والوقاية مثل LFD (Login Failure Daemon) أو Fail2Ban.

40. إذا كان ذلك ممكنًا ، فاستخدم البرامج المستندة إلى السحابة بدلاً من تثبيت البرنامج على جهازك المحلي ، نظرًا لوجود المزيد والمزيد من هجمات سلسلة التوريد التي ستثبت تطبيقًا ضارًا أو تحديث على جهازك لسرقة كلمات المرور الخاصة بك والوصول إلى البيانات السرية للغاية.

41. انها فكرة جيدة لتوليد MD5 أو SHA1 الاختبارية لجميع الملفات على جهاز الكمبيوتر الخاص بك (مع برنامج مثل MD5Summer) وحفظ النتيجة ، ثم التحقق من سلامة الملفات الخاصة بك (والعثور على ملفات طروادة أو البرامج مع مستتر حقن) كل يوم من خلال مقارنة اختبارية مع النتيجة المحفوظة سابقا.

42. يجب على كل شركة كبيرة تنفيذ وتطبيق نظام كشف التسلل القائم على الذكاء الاصطناعي (بما في ذلك أدوات الكشف عن شذوذ سلوك الشبكة).

43. اسمح فقط لعناوين IP المدرجة في القائمة البيضاء بالاتصال بالخوادم وأجهزة الكمبيوتر المهمة أو تسجيل الدخول إليها.

44. هل تعلم أنه يمكنك إخفاء ملف واحد أو عدة ملفات في ملف آخر ؟ على سبيل المثال ، في Linux ، يمكنك استخدام هذا الأمر "cat file1.mp4 file2hide.gpg > file2.mp4" لإلحاق الملف file2hide.gpg بنهاية الملف file1.mp4 ، و إنشاء ملف جديد باسم file2.mp4. لا يزال الملف الجديد (file2.mp4) قابلاً للتشغيل في جميع مشغلات الوسائط مثل VLC ، إذا اخترت الاختباء في ملف PDF أو ملف FLAC ، فإن الإخراج يمكن فتح الملف مع أي عارض قوات الدفاع الشعبي أو مشغل الموسيقى دون أي مشكلة ، أيضا. لتقسيم ملف الإخراج ، يمكنك استخدام الأمر "tail" جنبًا إلى جنب مع الأمر "split" ، كما يمكنك كتابة رمز صغير للقيام بهذا العمل.