أمان العملات المشفرة: كلمات المرور والمصادقة

يغطي هذا البث المباشر ممارسات الأمان الأساسية لحاملي العملات المشفرة، بدءًا من أساسيات إدارة كلمات المرور وحتى المصادقة متعددة العوامل. يستعرض أندرياس أنتونوبولوس مبادئ الموازنة بين الأمان وسهولة الاستخدام، ويشرح سبب أهمية برامج إدارة كلمات المرور، ويقدم مفهوم عبارة المرور XKCD، ويفصل التسلسل الهرمي لطرق المصادقة الثنائية.

هذا النص هو نسخة يسهل الوصول إليها من النص الأصلي للفيديو (opens in a new tab) الذي نشره aantonop. تم تعديله بشكل طفيف لتسهيل القراءة.

أساسيات الأمان وموازنة المخاطر (3:05)

(صوت تنبيه) - مرحباً بالجميع وأهلاً بكم في هذا البث المباشر ليوم السبت. هذا البث المباشر الإضافي الذي يتناول موضوع كلمات المرور، ومديري كلمات المرور، والمصادقة، والمصادقة متعددة العوامل، وكل ما يتعلق بأمان حساباتك. لدينا الآن الكثير من الأسئلة في قائمة الانتظار بالفعل، لكنني لن أعتمد بالضرورة على الأسئلة بشكل أساسي في هذا البث، لأنني أريد شرح بعض المواضيع الصعبة. وقد يكون من المنطقي أكثر أن أتحدث عن موضوع ما لفترة أطول قليلاً من المعتاد، أو ربما أقل قليلاً من المعتاد، وأن أرسم مساري الخاص عبر هذه المواضيع. إنها مواضيع شائكة بعض الشيء. الأمان موضوع شائك. لذا، بدلاً من محاولة العثور على السؤال المثالي فقط، قد لا أفعل ذلك. من ناحية أخرى، لدي بعض الأسئلة الرائعة لنبدأ بها. لذا أولاً وقبل كل شيء، أشكركم جميعاً على الانضمام. إنه لمن دواعي سروري

كما هو الحال دائماً أن أقضي صباح يوم السبت في العمل معكم على مواضيع جديدة ومثيرة للاهتمام تتعلق بـ بيتكوين وسلاسل الكتل (Blockchains) المفتوحة. الآن، كيف ترتبط كلمات المرور والمصادقة متعددة العوامل بـ بيتكوين وسلاسل الكتل المفتوحة؟ حسناً، كما تعلمون، من أجل الحفاظ على أمان عملاتك المشفرة، يجب عليك الحفاظ على أمان جميع حساباتك. الشيء المثير للاهتمام للغاية بشأن العملات المشفرة هو أنه بالنسبة للعديد من الأشخاص، هذه هي المرة الأولى التي يضطرون فيها إلى التفكير بعناية في أمان هويتهم عبر الإنترنت وأجهزتهم المتصلة بالإنترنت. لأن هناك الآن أموالاً موجودة هناك، وهذا يجعلها هدفاً مغرياً للغاية. في الماضي، لم يكن الناس متحمسين جداً لحماية أمانهم الشخصي لأنه عندما تفقد خصوصيتك، وعندما يتم اختراق معلوماتك، فإنك لا تشعر بذلك على الفور. ولهذا الكثير من العواقب السيئة، لكن تلك العواقب ليست

مرئية بشكل مباشر ولا يتم الشعور بها على الفور. إذا جاء شخص ما وسرق بضع مئات من الدولارات أو بضعة آلاف من الدولارات أو أسوأ من ذلك، عشرات الآلاف من أجهزتك الرقمية، فإنك تشعر بذلك، وتشعر به على الفور. ويمكنك ربط ذلك بشكل ملموس، أو بشكل غير ملموس على وجه الدقة. يمكنك ربطه بشكل غير ملموس، ولكن بشكل ملحوظ جداً جداً، بأمانك. لذا فهي واحدة من تلك الأشياء التي للأسف تعتبر درساً لا يتم تعلمه حقاً إلا من خلال تجربة مؤلمة. ولذلك يمكنني قضاء الكثير من الوقت في إخبار المبتدئين بكيفية ولماذا يجب عليهم تأمين حساباتهم. حتى يقوموا بتثبيت محفظة ساخنة للعملات المشفرة على أحد أجهزتهم، ثم يفقدون الأموال الموجودة في تلك المحفظة الساخنة. من الصعب جداً فهم ما أتحدث عنه، أو التحفيز به. الآن، الشيء الآخر المهم حقاً فهمه في هذه المحادثة بأكملها هو أن الأمان

هو عبارة عن توازن. الأمر كله يتعلق بالتوازن. إنها إدارة المخاطر. لا يوجد شيء اسمه أمان بنسبة 100%. لا يوجد شيء اسمه أمان مثالي. ولا يمكنك الحماية من جميع التهديدات. يجب عليك معرفة التهديدات التي تواجهها. يجب عليك معرفة عدد تلك التهديدات التي يمكنك الحماية منها فعلياً ومقدار الجهد الذي ستبذله في الحماية من تلك التهديدات، اعتماداً على ما تقوم بحمايته بالفعل. يجب عليك أيضاً معرفة متى يصبح الحل الذي تبنيه، والأنظمة التي تستخدمها معقدة للغاية، لدرجة أنها تصبح خطراً أمنياً في حد ذاتها. وغالباً ما نرى المبتدئين، خاصة في مجال العملات المشفرة، يبتكرون حلولاً معقدة للغاية. وبعد ذلك ينتهي بنا المطاف على الجانب الخاطئ من توازن المرونة الأمنية. حيث تكون آلية تأمين عملتك المشفرة معقدة للغاية لدرجة أنك في الواقع، ينتهي بك الأمر

إلى فقدانها لأنك تستخدم شيئاً غير قياسي، أو لأنك نسيت كلمة المرور، أو لأن لا أحد يعرف بالضبط ما فعلته ولست متاحاً لمساعدتهم. لذا لا يمكن تحقيق الأمان بنسبة مائة بالمائة والأمر كله يتعلق بالتوازن. وغالباً ما تكون البساطة عنصراً أساسياً في الأمان. حلول الأمان البسيطة التي يمكنك تطبيقها ضمن مهاراتك التقنية، ويمكنك تطبيقها باستمرار. والتي يمكنك التعافي منها إذا واجهت مشاكل، أفضل من حلول الأمان المعقدة التي تجبرك على تجاوز مستوى مهارتك، وتضعك في منطقة مجهولة وتزيد من احتمالية ارتكابك لخطأ. هذا غالباً ما تسمع الكثير من النصائح السيئة بشأنه. سينصحك الناس بتنفيذ ما يبدو أنه نظام أمني معقد جداً جداً. ولأنه معقد للغاية، فإنه يبدو آمناً. يبدو وكأن هناك

الحفاظ على بساطة الأمان (8:40)

يحدث الكثير، لذا يجب أن يكون الأمر معقدًا وجادًا للغاية. وفي كثير من الحالات، سينتهي بك الأمر بتجاوز قدراتك التقنية وخسارة أموالك بالفعل، ليس بسبب السرقة، ولكن بسبب خطأ ترتكبه لأنك تعمل خارج مستوى مهارتك. لذا دعونا نحافظ على بساطة الأمر. دعونا نجعله قائمًا على المعايير. دعونا نستخدم أفضل الممارسات والأدوات الشائعة ونستخدمها باستمرار. حتى نتمكن من أن نكون آمنين للغاية. سننتقل مباشرة إلى، سننتقل مباشرة إلى السؤال الأول. يوجد 220 شخصًا في البث حتى الآن. شكرًا لكم على إعطائي ملاحظات حول الفيديو والصوت. من الجيد دائمًا معرفة ذلك. فقط لكي تعلموا، واجهنا انقطاعًا بسيطًا في الكهرباء في وقت سابق من اليوم في هذا الموقع، وإذا فقدنا الكهرباء، فستعرفون لأن البث سيتوقف. ويستغرق الأمر خمس دقائق على الأقل حتى يقوم جهاز توجيه الإنترنت وشبكة الواي فاي

بإعادة التشغيل. قد أتمكن من العودة، حتى لو كان انقطاع التيار الكهربائي لثانية واحدة فقط، سأضطر إلى الانتظار خمس دقائق قبل أن أتمكن من العودة. إذا لم أتمكن من العودة، فسنخبركم في الدردشة. لذا يرجى التحلي بالصبر وآمل ألا ينقطع الاتصال. لكنكم تعلمون أن هذا أحد المخاطر التي يتعين علينا إدارتها اليوم. دعونا ننتقل إلى سؤالنا الأول لهذا اليوم. السؤال الأول يأتي من مجهول، واختيار كلمة مجهول لطرح سؤالك هو آلية الأمان الأولى والجيدة. ما هي أفضل طريقة لإدارة العديد من كلمات المرور الفريدة والقوية إذا كنت أعاني من عسر القراءة ولست جيدًا في تذكر كلمات المرور الطويلة؟ هذا سؤال رائع. إنه سؤال رائع لأنه يتطرق إلى قضية أوسع، وهي صعوبة تذكر الأشياء. ونعتقد جميعًا أننا نستطيع التذكر بشكل أفضل مما

نستطيع في الواقع. ويعاني بعضنا من صعوبة في الذاكرة أو القراءة أو الكتابة أو أي مهارات أخرى تساعدنا في حفظ كلمات المرور. وربما يعرفون أنهم لا يستطيعون التذكر جيدًا. لذا يطرح المجهول هذا السؤال من منظور شخص يعاني من عسر القراءة، ولكن هذا ينطبق بالتساوي على الجميع. كل شخص لديه ذاكرة بشرية قابلة للخطأ. البشر سيئون حقًا في التذكر لفترات طويلة من الزمن، خاصة الأشياء التي لا تُنسى لأنها غير مرتبطة بصور أو تجارب أو عواطف. تذكر الأشياء التي لا صلة لها بحياتنا يكاد يكون مستحيلاً لأن دماغنا جيد جدًا في التخلص من المعلومات غير ذات الصلة. إذا لم يكن لديك عاطفة أو تجربة أو صورة مرتبطة بما تحاول تذكره، فسيقول الدماغ، هذا لم يعد ذا صلة بخوارزمية التخزين المؤقت الخاصة بي وسيسقطه. والكثير

من الناس ينسون كلمات المرور لهذا السبب بالتحديد. لذا سأستخدم في الواقع بعض الموارد هنا للإجابة على هذا السؤال بشكل أوسع ومساعدة الناس في الحصول على أساس في المبادئ الأساسية لكلمات المرور. لذلك، سأستخدم بعض الوسائل المرئية. لا أستخدم عادة الوسائل المرئية، لكنني أعتقد أنها ستكون مفيدة في هذه الحالة بالذات. دعونا نرى كيف ستسير الأمور. حسنًا، أول شيء سنتحدث عنه هو أنظمة إدارة كلمات المرور. لعقود من الزمن، كنا ندرب المستخدمين على إنشاء كلمات مرور أبجدية رقمية عشوائية وطويلة تحتوي على مجموعة واسعة من الأحرف. هذه كلمات مرور لا يستطيع البشر تذكرها. هذه كلمات مرور تشجع في الواقع على السلوك السيئ. إنها تشجع السلوك الذي ينتهي بك فيه الأمر باستخدام نفس النمط المخادع، Satoshi Nakamoto مع استبدال حرف O بأصفار وتكبير الحرف الأول من الكلمة الثانية واستبدال حرف T

برقم سبعة وعلامة المربع في النهاية. والآن حصلت على أرقام وأحرف صغيرة وكبيرة وأحرف. ولكن إذا كان عليك استخدامها في أكثر من موقع، فإنك تجري تغييرًا بسيطًا. ثم ربما تضطر إلى إضافة رقم في النهاية. وبعد ذلك ينتهي بك الأمر مع مشكلة الذاكرة الصعبة حقًا هذه، وهي أن المواقع تدفعك لإنشاء تنوع، لكن التنوع يجعل من المستحيل عليك التذكر فعليًا، خاصة مع كلمة مرور بهذا التعقيد. وبالتالي ينتهي بك الأمر بإعادة استخدام كلمة المرور الخاصة بك في العديد من المواقع. هذا ما يفعله الجميع تقريبًا. وهذا سيء للغاية بالنسبة للأمان. الآن، أحد أفضل الموارد لفهم كيفية حل هذه المشكلة هو في الواقع رسم كاريكاتوري. لذا ما سأفعله هو إعطائك نصيحتين. الأولى هي عدم محاولة إنشاء كلمات المرور الخاصة بك،

برامج إدارة كلمات المرور (13:50)

استخدم برنامج إدارة كلمات المرور. برنامج إدارة كلمات المرور هو برنامج يُنشئ كلمات مرور عشوائية نيابة عنك ويتذكرها لك. تحل هذه الأنظمة مشكلتين: الذاكرة البشرية عُرضة للخطأ، والعشوائية البشرية أسوأ من ذلك. نحن سيئون جداً في توليد العشوائية. نحن سيئون جداً في التذكر، ونحن أسوأ بمرتين في تذكر الأشياء العشوائية. لذا لا يمكنك حل هذه المشكلة بأن تكون أكثر انضباطاً، أو أكثر ذكاءً، أو أكثر حذراً. لا يمكنك حلها بلصق ملاحظات على شاشتك والقيام بكل الأشياء التي تراها هنا، أليس كذلك؟ والتي تراها في المكاتب طوال الوقت. كتابة كلمة المرور ليست فكرة سيئة، إذا كان المكان الذي تكتبها فيه آمناً بالفعل. لذا فإن أبسط شكل من أشكال برامج إدارة كلمات المرور هو دفتر صغير، دفتر لكلمات المرور. وكما تعلم، بقدر ما سأقول إن هذا ليس حديثاً جداً، فهو

ليس متقدماً جداً من الناحية التكنولوجية، ولا يحل مشكلة إنشاء كلمات مرور عشوائية. بصراحة، هذا هو الحل الذي يستخدمه والداي. لأنهم إذا كتبوها، يمكنهم الحصول على تنوع أكبر في كلمات المرور الخاصة بهم. وإذا احتفظوا بهذا الكتيب الصغير في مكان آمن، مثل المنزل، أو درج مقفل أو شيء من هذا القبيل، فهي آلية متينة للغاية. الآن، ربما يكون معظمكم أكثر تطوراً من الناحية التقنية من والديّ. لذا دعونا نتحدث عن حل أفضل لكم. الحل الأفضل هو تنزيل برنامج للقيام بذلك نيابة عنكم. هناك مجموعة كاملة من برامج إدارة كلمات المرور. والأخبار الرائعة هي أنه بالنسبة للوظائف الأساسية، فإن هذه البرامج مجانية. يمكنك استخدام منتج مثل LastPass، أو 1Password، أو Bitwarden، ومجموعة متنوعة من البرامج الأخرى مثل KeePass، وما إلى ذلك. الآن، ستحتوي هذه البرامج على

مجموعة من الميزات المختلفة وستحتاج إلى معرفة الميزات التي تحتاجها بالفعل. نصيحتي هي أن تبدأ بمعرفة نوع الأجهزة التي تحتاج إلى استخدام هذا البرنامج عليها، لأن إحدى المزايا الكبيرة لاستخدام برنامج إدارة كلمات المرور هي في الواقع أنه يمكنك مزامنة جميع كلمات المرور الخاصة بك عبر جميع أجهزتك. لذا إذا كنت تستخدم Windows وAndroid وiOS، فالأمر ربما يكون سهلاً. ستدعم جميع برامج إدارة كلمات المرور كل هذه المنصات وستكون على ما يرام. تريد أيضاً أن يدعم المتصفحات التي تستخدمها. مثل Chrome، أو Firefox، أو Edge، أو Opera، أو Brave، أو أي شيء آخر تستخدمه كإضافة، بحيث يمكنك ملء كلمات المرور وإرسالها تلقائياً في نماذج الويب. أعتقد أنكم جميعاً رأيتم للتو كاميرا الفيديو الخاصة بي تظهر رسالة امتلاء بطاقة الذاكرة. مباشرة في البث، كان ذلك

مفيداً. نعم، لقد امتلأت بطاقة SD الخاصة بي للتو، لذا لم أعد أسجل على الكاميرا. عذراً. حسناً، لا يهم. دعونا نكمل. إذن، إحدى الطرق التي تحتاجها لاختيار برنامج إدارة كلمات المرور، هي معرفة الأجهزة التي تحتاج إلى دعمها. وإذا كان لديك بعض الأجهزة الغريبة، فسيصبح الأمر أكثر تعقيداً بعض الشيء. بالنسبة لي، أستخدم نظام Linux على سطح المكتب. لقد كنت أستخدم Linux على سطح المكتب لفترة طويلة جداً. وكما تعلمون، أعتقد أن هذا العام هو في الواقع عام Linux على سطح المكتب. سيحدث ذلك يا رفاق. لا، لن يحدث. ولكن على أي حال، أنا أستخدمه، وهو يعمل بشكل جيد معي، ولكنه غير مدعوم على نطاق واسع. لذا لا تعمل جميع برامج إدارة كلمات المرور أو لا تعمل بشكل جيد على أجهزة سطح المكتب التي تعمل بنظام Linux. لحسن الحظ، تعمل معظم برامج إدارة كلمات المرور في المتصفح كإضافة للمتصفح، مما يجعلها في الغالب متوافقة مع منصات متعددة. لذا بالنسبة لي،

اختيار مدير كلمات مرور عبر الأجهزة (18:22)

يحتاج مدير كلمات المرور إلى العمل على أنظمة Android وWindows وLinux ومتصفحات Chrome وFirefox ونظام iOS، وما إلى ذلك. حتى أتمكن من تثبيته على جميع أجهزتي وبالتالي أكون قادراً على الوصول إلى جميع كلمات المرور الخاصة بي على جميع أجهزتي. حسناً. للإجابة على السؤال الذي طرحه شخص مجهول، ما هي أفضل طريقة لإدارة العديد من كلمات المرور القوية والفريدة إذا كنت أعاني من عسر القراءة ولست بارعاً في تذكر كلمات المرور الطويلة؟ أفضل طريقة هي استخدام مدير كلمات مرور، والذي يقوم بإنشاء كلمات مرور قوية وفريدة عشوائياً من أجلك. وبمجرد اختيارك لمدير كلمات المرور، تقوم بتعيين كلمة مرور واحدة، وتكون كلمة المرور هذه هي كلمة المرور الخاصة بمدير كلمات المرور. أقترح عليك أيضاً استخدام آلية المصادقة الثنائية حتى لا يتمكن أي شخص من تسجيل الدخول ببساطة وتنزيل ملف كلمات المرور الخاص بك باستخدام كلمة المرور الواحدة تلك. أنت بحاجة إلى عامل مصادقة ثانٍ. سنتحدث

عن ذلك في الجزء الثاني من هذا الفيديو اليوم. لدينا أيضاً سؤال متابعة من الجمهور، وهو كيف أثق في هذا البرنامج؟ حسناً، الإجابة البسيطة هي أنك تبحث عن برنامج إما أن يكون مستخدماً على نطاق واسع، أو تمت مراجعته وتدقيقه من قبل متخصصين في مجال الأمن، أو مفتوح المصدر، أو كل ما سبق. وأعتقد أن جميع البرامج التي ذكرتها سابقاً تفي بهذه المتطلبات. الآن دعونا نعود إلى الشيء الذي ذكرته من قبل، وهو، تذكر عندما قلت إن الأمان ليس مائة بالمائة وأن الأمان هو مسألة موازنة وتخفيف للمخاطر. لذا دعونا الآن نضع هذين الخطرين على الطاولة. الخطر الأول، هل يمكنني الوثوق بمدير كلمات المرور؟ وماذا يحدث إذا كان مدير كلمات المرور الذي أقوم بتنزيله مخترقاً أو قابلاً للاختراق، أو يحتوي على خطأ برمجي لم يلاحظه ملايين المستخدمين الآخرين ومتخصصي الأمن الذين يقومون

بمراجعته؟ الخطر الثاني، هل يمكنني الوثوق بعقلي؟ حسناً، إذا وضعت الأمر على هذا النحو، يصبح من الواضح أن المشكلة هنا هي أن أي مدير كلمات مرور أفضل من عدم وجود مدير كلمات مرور على الإطلاق. هذا هو نفس النوع من إدارة المخاطر الذي نقوم به عندما نتحدث عن محفظة عتادية مقابل محفظة برمجية في مجال العملات المشفرة. هل يمكنني الوثوق بالشركة المصنعة للمحافظ العتادية؟ حسناً، إلى حد ما، ليس مائة بالمائة. هناك بعض المخاطر في ذلك. كيف تقارن هذه المخاطر بعدم امتلاك محفظة عتادية؟ ومرة أخرى، الإجابة هي أن أي محفظة عتادية أفضل من عدم وجود محفظة عتادية. إذن ما هي المخاطر التي يمكنك إدارتها بالفعل؟ من المهم عند الحصول على مدير كلمات المرور هذا أن تتأكد من حصولك على البرنامج الصحيح. وألا تقوم بتنزيله من أي موقع ويب عشوائي، باستخدام قسيمة Groupon، لشيء كان مجانياً على أي حال، و

ثم تصاب ببرنامج حصان طروادة (Trojan) على نظامك. ولكن بالعودة إلى النقطة الأساسية، أي مدير كلمات مرور أفضل من عدم وجود مدير كلمات مرور. ولذلك لا ينبغي لك أن تحاول إنشاء كلمات مرور فريدة بنفسك. إذا طلب منك أحد مواقع الويب كلمة مرور أبجدية رقمية مكونة من ثمانية أحرف أو أكثر، فافعل ما أفعله. انقر على الزر الصغير الذي يقول إنشاء كلمة مرور آمنة. قم بتعيين الطول إلى 31 حرفاً، أو 75 حرفاً، أو 213 حرفاً. أحب اللعب مع مواقع الويب لأرى إلى أي مدى يمكنني جعلها طويلة قبل أن تبدأ في الصراخ بأنها طويلة جداً. بعد كل هذه السنوات من صراخ مديري كلمات المرور والأنظمة في وجهي، بأنها ليست طويلة بما يكفي. أو ليست معقدة بما يكفي. أريد أن أرى مواقع الويب تبدأ في الصراخ بأنها طويلة جداً. أو معقدة جداً. هيا يا رجل، ماذا تفعل؟ قاعدة بياناتي لا تتسع لذلك. لذا قم بإنشاء كلمة مرور عشوائية قوية. الآن، هل يمكنني تذكر كلمة المرور هذه؟

بالطبع لا. لدي 800 كلمة مرور في مديري كلمات المرور الخاصين بي، جميعها تتكون من أكثر من 20 حرفاً، وهي أبجدية رقمية عشوائية تماماً وتحتوي على رموز وأحرف كبيرة وأحرف صغيرة وأرقام. من المستحيل بالنسبة لي أن أتذكر واحدة منها، ناهيك عن تذكر الـ 800 كلمة مرور جميعها، لكنني أتذكر كلمة المرور الرئيسية الخاصة بي. حسناً، دعونا نرى ما هي الأسئلة الأخرى التي لدينا. وننتقل إلى سؤالنا التالي، والذي سيمنحني الفرصة للتحدث عن الموضوع التالي الذي أريد التحدث عنه. يسأل شخص مجهول، هل هناك حد أدنى من معايير الأمان القابلة للتطبيق لكلمات المرور أو عبارات المرور عندما أستخدم منشئ كلمات مرور قوية، فهو لا يعمل مع العديد من الأشياء. نعم. لدى مواقع الويب توقعات سخيفة لكلمات المرور، وغالباً ما تكون توقعات سيئة. فهي تشجع على سبيل المثال، على معلومات متضاربة. دعني أعطيك مثالاً. يجب أن تتكون من أكثر من ثمانية أحرف، وأن تكون أبجدية رقمية مع رموز وأرقام، لكننا قمنا بتعطيل اللصق في النموذج. ماذا

سياسات كلمات المرور السيئة (24:02)

ماذا تفعل؟ ماذا تفعل؟ لماذا تطلب مني اختيار كلمة مرور معقدة من الواضح أنني سأستخدم المولد لإنشائها ثم لا تسمح لي بلصقها. أو لا تسمح لي بلصقها في حقل التأكيد في النموذج؟ هل أنت مجنون؟ ماذا تفعل؟ توقف عن فعل ذلك. أو كلمات المرور الأخرى التي تشترط من 8 إلى 12 حرفًا. حقًا؟ تريدني أن أجعلها معقدة، ولكن ليس معقدة للغاية. بحيث لا يمكنني استخدام 13 حرفًا، هذا لا معنى له على الإطلاق. أو المجموعات الغريبة من الرموز. أوه نعم، يمكننا استخدام الرموز، ولكن فقط علامة المربع وعلامة التعجب والنجمة. أما علامة الاقتباس المفردة وعلامة @ فلا نقبلها لأن ذلك سيربك تعبيراتنا النمطية (regex). كل هذه سياسات كلمات مرور سيئة للغاية. أو سياسات تغيير كلمة المرور كل شهر، ولكن لا تعد استخدام أي كلمة استخدمتها في الشهر السابق واحتفظ بها

معقدة بشكل غريب هكذا. هذه كلها سياسات كلمات مرور غريبة وستصادف الكثير منها. الخلاصة هي أنه لا يمكنك أن تتوقع من مواقع الويب المختلفة التابعة لشركات مختلفة والتي لديها فرق أمنية وسياسات أمنية متفاوتة ومستويات متفاوتة من الوعي الأمني أن تتوصل إلى سياسة جيدة تناسب معظم مستخدميها. ضع في اعتبارك أنهم يحاولون التعامل مع مستخدمين تتراوح مستوياتهم بين شخص يحاول إدخال كلمة مرور عشوائية مكونة من 37 حرفًا تم إنشاؤها بواسطة مدير كلمات المرور الخاص به، وشخص آخر يستخدم كلمة المرور واحد، اثنان، ثلاثة، أربعة، خمسة، ستة، سبعة، ثمانية. والتي يبدو أنها كلمة المرور الأكثر شيوعًا على الإنترنت، أو كلمة المرور واحد، اثنان، ثلاثة، أربعة، والتي أعتقد أنها ثاني أكثر كلمات المرور شيوعًا على الإنترنت. لذا فإن إيجاد سياسة تناسب كل هؤلاء الأشخاص، أمر صعب للغاية بالنسبة للمواقع للتعامل معه. لذا ما أفعله

هو أنني أستمر في المحاولة. سأقوم بإدخال كلمة مرور تم إنشاؤها عشوائيًا من النوع الذي يعجبني، كما تعلم، 37 حرفًا وكلها رموز. وبعد ذلك سيشتكي موقع الويب ويقول، أنا لا أحب النجوم حقًا، لماذا تفعل هذا بي؟ لذا سأقوم بإيقاف تشغيل بعض الرموز أو سيقول إنها طويلة جدًا، لذا سأجعلها أقصر. أو سيقول، في الواقع أحتاج أيضًا إلى حرفين كبيرين على الأقل، ولكن لا يمكن أن تبدأ برقم. وأنا أقول، أوه، هيا بحقك. سأستمر في التلاعب حتى أحصل على شيء ينجح. ولكن بغض النظر عما أحصل عليه، سيكون لدينا ضمانان. ستكون طويلة ومعقدة وسيتم إنشاؤها بشكل عشوائي تمامًا ولن تعتمد على العقل البشري لإنشائها لي أو تذكرها. وأنا أستخدم أقصى قدر ممكن من التعقيد. حسنًا، إذن المجهول

يطرح السؤال التالي لنا، والذي يسمح لي بمواصلة هذا السرد. قد يكون سؤالًا غبيًا، ولكن أليس مدير كلمات المرور موجودًا في السحابة وبالتالي يمكن أن يكون هدفًا للقراصنة بسهولة؟ سؤال رائع أيها المجهول. إليك كيف تعمل هذه الأجهزة. يتم تخزين نسخة احتياطية من قاعدة بيانات كلمات المرور الخاصة بك على السحابة. ومع ذلك، فإن هذه النسخة الاحتياطية مشفرة وهي مشفرة من طرف إلى طرف. مما يعني أنها مشفرة على جهازك المحلي. يتم إرسالها مشفرة إلى السحابة، ويتم فك التشفير مرة أخرى، فقط على جهازك المحلي. الطريقة التي يتم بها التشفير وفك التشفير هي باستخدام كلمة المرور الرئيسية الخاصة بك. وكلمة المرور الرئيسية تلك نفسها يتم تمريرها عبر ما يُعرف باسم أداة التمديد. وما تفعله أداة التمديد هو أنها تأخذ خوارزمية تمديد كلمة المرور إذا صح التعبير، في الواقع إنها خوارزمية تجزئة. ما تفعله هو أنها تأخذ الكلمات أو الأحرف التي تكتبها ككلمة المرور

الرئيسية، ثم تمررها عبر آلاف الجولات من عملية التجزئة. الآن هذا يستغرق وقتًا وما ينتج عنه هو كلمة مرور لا يمكن اختراقها بالقوة الغاشمة. لأنه لنفترض أنني كتبت كلمة مرور وقمت بتشفيرها أو تجزئتها مرة واحدة ثم أرسلتها إلى الخادم. عظيم، حسنًا، هذا عرضة لهجوم صعب، أو بالأحرى سهل إلى حد ما، والذي يسمى جدول قوس قزح (rainbow table). ما سيحدث بعد ذلك هو أن المهاجم سيأخذ جميع كلمات المرور الأكثر شيوعًا التي يمكنك تخيلها، ويقوم بتجزئتها وإنتاج قاعدة بيانات لكلمات المرور المجزأة التي يمكن استخدامها في هذا الهجوم. الآن، من ناحية أخرى، أو يمكنني فقط الاستمرار في تجربة كلمات مرور مختلفة مرارًا وتكرارًا، حتى أجد الكلمة الصحيحة. هجوم قوة غاشمة نموذجي. ولكن إذا تم تجزئة كل كلمة مرور 25,000 مرة أو 50,000 مرة، أو مائة ألف مرة، في كل مرة أقوم فيها

كيف يتم تشفير قواعد بيانات كلمات المرور (29:19)

كتابتها في حاسوبي تستغرق من ثانيتين إلى ثلاث ثوانٍ. وهو أمر لا يمثل مشكلة كبيرة بالنسبة لي. ثانيتان إلى ثلاث ثوانٍ في المرة الأولى التي أسجل فيها الدخول إلى متصفحي أو حاسوبي من أجل تشغيل مديري كلمات المرور، ثانيتان إلى ثلاث ثوانٍ. ولكن إذا كان عليك إضافة ثانيتين إلى ثلاث ثوانٍ في كل مرة تكتب فيها كلمة مرور، حسناً، فإن ذلك يفسد تماماً نهج هجوم القوة العمياء. كما أنه يجعل من المستحيل إنشاء قاعدة البيانات هذه من تجزئات كلمات المرور المحسوبة مسبقاً، لأن تجربة بضعة آلاف فقط من الاحتمالات ستستغرق وقتاً طويلاً جداً. وإذا كانت كلمة المرور الرئيسية الخاصة بك معقدة بما فيه الكفاية، فسيستغرق إنتاجها أكثر بكثير من مجرد بضعة آلاف من احتمالات كلمات المرور. لذا، عادةً ما يتم تشفير قاعدة بيانات كلمات المرور باستخدام خوارزمية تشفير قياسية ومباشرة إلى حد ما. ربما تكون AES256 هي الأكثر شيوعاً واستخداماً لهذا الغرض، ولكنها شيء من هذا القبيل

ذلك. إنها خوارزمية تشفير متماثلة تستخدم مفتاحاً واحداً، وهو مفتاح خاص لتشفير البيانات وفك التشفير. يتم استخدام نفس المفتاح للتشفير وفك التشفير، ولهذا السبب تسمى خوارزمية تشفير متماثلة. ويتم إنتاج هذا المفتاح عن طريق عملية التجزئة المتكررة لعبارة المرور الرئيسية الخاصة بك. لذا، طالما أنك لا تدخل عبارة المرور الرئيسية الخاصة بك إلا على الجهاز المحلي، وكان هذا الجهاز موثوقاً، فإنك تحصل على درجة عالية من الأمان. نعم، قاعدة بيانات كلمات المرور موجودة في السحابة، ولكنها مشفرة ولا يمكن لأحد فتحها ما لم يكن لديه عبارة المرور الرئيسية الخاصة بك، والتي لا تكتبها أبداً على أي شيء آخر غير أحد أجهزتك الخاصة. هناك بعض المشاكل في ذلك بالطبع. لأنه إذا كان لديك برنامج تسجيل ضغطات المفاتيح على جهازك المحلي، فيمكنه التقاطك أثناء كتابة عبارة المرور الرئيسية. ولكن من المثير للاهتمام أن هذا لن يكون

كافياً للمهاجم إذا كان لديك مصادقة ثنائية، والسبب في أن ذلك لن يكون كافياً للمهاجم هو أنه قد يلتقط عبارة المرور الرئيسية الخاصة بك، ولكنه لا يستطيع تنزيل قاعدة البيانات المشفرة من السحابة بدون عامل المصادقة الثاني، والذي نأمل أن يكون مرتبطاً بجهازك، أو بشيء آخر. وهم لا يمتلكون هذا العامل الثاني، وسنتحدث أكثر عن المصادقة الثنائية بعد قليل. نحن نبني طبقات. لا أعرف ما إذا كنت ترى ما نفعله هنا، ولكن نعم، نحن ننظر إلى كل مشكلة من المشاكل التي يمكن أن تحدث ونضيف طبقات من الأمان. الأمان ليس مجرد شيء واحد يوقف كل شيء. الأمان هو وضع حواجز في طريق المهاجم. ونعم، يمكنك كسر هذا الحاجز، ولكن خلفه مباشرة يوجد حاجز آخر. ثم إذا كسرت ذلك الحاجز، فخلفه مباشرة يوجد

حاجز آخر. وإذا جعلت الحواجز قوية بما فيه الكفاية، ولكن أيضاً وفيرة بطبقات وطبقات وطبقات من الأمان، وتأكدت أيضاً من أن المهارات التي تحتاجها لكسر طبقة واحدة تختلف عن المهارات التي تحتاجها لكسر طبقة أخرى. وتأكدت من أن الأدوات والميزانيات التي تحتاجها لكسر طبقة واحدة تختلف عن الأخرى. فإن فرصة اختراقك لكل هذه الطبقات، دون أن ألاحظ ذلك، ودون أن أضع حداً لذلك وتنجح في الاختراق، أو حتى القيام بذلك على نطاق واسع ضد العديد والعديد من الضحايا، ستكون ضئيلة جداً جداً جداً. وهذا هو بيت القصيد. حسناً، سأتناول رشفة سريعة من القهوة هنا وأتحدث معكم قليلاً في الدردشات بينما أبحث عن أسئلة أخرى، نعم، أسئلة أخرى قد ترغبون في طرحها. دعوني أعرض

صفحة صغيرة، لأشكر جميع الداعمين الذين يجعلون من الممكن لي تقديم هذا النوع من المواد التعليمية بينما أشرب القهوة من كوبي الجديد الذي كُتب عليه "قواعد بلا حكام". وهي واحدة من أكثر محادثاتي شعبية مؤخراً. وتأتي مع عملة بيتكوين برتقالية صغيرة. يا إلهي، توقف عن الإعلان لنا، سنشتري منتجاتك. فقط استمر في تقديم المحتوى الجيد. في غضون ثانية. لقد عدنا. حسناً، يمكنني وضع هذا جانباً هناك. سأديره ليبدو جميلاً. ها نحن ذا. حسناً. لذا كنت أتصفح الأسئلة محاولاً العثور على سؤال يسمح لي بمواصلة هذا السرد الصغير وبأكثر طريقة موجزة ممكنة. لذا دعونا نتحدث الآن عن عبارات المرور، ولهذا الغرض، سأستعين ببروس الذي يسأل: ما رأيك في استخدام كلمات مرور قوية كعبارات مرور للمحفظة.

عبارات مرور المحفظة وBIP-39 (35:02)

وما يتحدث عنه بروس هنا هو عبارة المرور الاختيارية المتاحة لأولئك الذين يستخدمون العبارة التذكيرية لمعيار BIP-39. تُعرف أيضًا باسم الكلمة الخامسة والعشرين لأن العبارات التذكيرية تتكون من 24 كلمة. ونظريًا، إذا أضفت كلمة خامسة وعشرين، لكنني لن أضيف كلمة خامسة وعشرين، بل سنسميها بما هي عليه في الواقع، وهي عبارة مرور اختيارية، ويمكن أن تتكون من أكثر من كلمة واحدة. إذن هذه هي عبارة مرور المحفظة. إنها عبارة مرور اختيارية إضافية تضيفها إلى عبارتك التذكيرية لجعل العبارة التذكيرية تحتوي على عامل أمان ثانٍ. بحيث إذا سرق شخص ما الـ 24 كلمة المكتوبة على ورقة في مكتبك على سبيل المثال، فلن يتمكن من أخذ أموالك على الفور لوجود عبارة مرور للمحفظة. الآن، تذكر عندما كنا نتحدث عن كلمة المرور الواحدة، كلمة المرور الرئيسية التي

تُستخدم في مدير كلمات المرور. وقلنا إنها تُجزأ بشكل متكرر وهذا يمنع هجمات القوة الغاشمة. حسنًا، يتم فعل الشيء نفسه تمامًا مع عبارة المرور الاختيارية والعبارة التذكيرية في معيار BIP-39. تُستخدم خوارزمية تمديد كلمات المرور تسمى PBKDF2 لتمديدها باستخدام SHA-512 عن طريق تطبيق 2000 جولة من SHA-512. الآن هذا يعتبر حلاً وسطًا، إنه حل وسط في معيار BIP-39 لأن معيار BIP-39، وهو معيار العبارة التذكيرية للمحافظ، يجب أن يكون قادرًا على العمل على أجهزة المحافظ العتادية، وهي أجهزة USB صغيرة بهذا الحجم تقريبًا ولا تمتلك الكثير من قوة المعالجة. لذا فإن تشغيل 2000 جولة من SHA-512 فعليًا يستغرق بضع ثوانٍ. ثانيتين أو ثلاث ثوانٍ. الآن ما يعنيه ذلك هو أنها، للأسف، ليست حماية جيدة جدًا، إنها كافية، ولكن يمكن اختراقها بالقوة الغاشمة

إذا كان لديك جهاز كمبيوتر أكثر قوة بكثير. لذا إذا كنت تستخدم وحدة معالجة رسومات (GPU)، على سبيل المثال، أو الأفضل من ذلك، جهاز ASIC مصمم لـ SHA-512 أو جهاز FPGA لـ SHA-512، فيمكنك فعليًا إجراء 2000 جولة في جزء من الثانية. وبالتالي يمكنك تجربة المئات، وربما الآلاف من كلمات المرور أو عبارات المرور في الثانية الواحدة، على نفس البذرة. مما سيسمح لك بمهاجمة عبارة تذكيرية لمعيار BIP-39 بعبارة مرور اختيارية، باستخدام الكمية المناسبة من الأجهزة ضمن الميزانية. ولكن مرة أخرى، الأمر ليس سهلاً. لذا نحن نتحدث عن طبقات من الحماية. دعونا نتحدث إذن عن عبارات المرور. نحن نستخدم مصطلح "عبارة مرور" بدلاً من "كلمة مرور" للإشارة إلى أنها ليست كلمة واحدة. إنها في الواقع عبارة. تمامًا كما أن العبارة التذكيرية هي عبارة. إنها سلسلة من الكلمات، مفصولة بمسافات. وهذا يجعل تذكرها أسهل بكثير، بالإضافة إلى

كتابتها وقراءتها، حتى لو تدهورت حالتها قليلاً ستتمكن من قراءتها. اتضح أن البشر بارعون جدًا في التعرف على الأنماط. لذا إذا كتبت بخط يدك سلسلة من الكلمات بأحرف صغيرة، يمكنك قراءتها، حتى لو كان ثلثا الكلمة ملطخًا، أو يمكنك التخمين بشكل جيد. وإذا كانت الكلمات تعني لك شيئًا ما، أو يمكنك تكوين صورة ذهنية باستخدام تلك الكلمات، فيمكنك في الواقع تذكر العبارة بشكل أفضل بكثير من تذكر كلمة مرور تم إنشاؤها عشوائيًا وتتكون من أحرف كبيرة وصغيرة وأرقام. ولكن من أجل شرح هذا بشكل أفضل قليلاً، سأستعين ببعض المساعدة من راندال مونرو. ربما سمعتني أتحدث عن راندال مونرو في الماضي. راندال مونرو هو فنان رسوميات يصمم قصة مصورة تسمى

XKCD. وXKCD هي قصة مصورة تعرض مفاهيم تقنية مختلفة، بالإضافة إلى نقد اجتماعي مضحك للغاية وجميع أنواع الأفكار الرائعة. إنها أفكار ذكية جدًا تُعرض بشكل جيد للغاية. وكما تعلم، إنها واحدة من تلك المواقف التي يوجد فيها رسمة XKCD، هناك رسمة XKCD تقريبًا لأي مفهوم تريد شرحه جيدًا. لذا سأستخدم واحدة ربما سمع بها الكثير منكم من قبل، وتُعرف باسم "حصان بطارية مشبك صحيح" (correct horse battery staple). وإذا كان هذا يبدو وكأنه كلام فارغ، فابق معي لثانية. حسنًا، دعونا نلقي نظرة على ذلك، على شاشتنا هنا. إذن هذه تسمى، هذه تسمى كلمات المرور. من خلال 20 عامًا من الجهد، نجحنا في تدريب الجميع على استخدام كلمات مرور يصعب على البشر تذكرها، ولكن يسهل على أجهزة الكمبيوتر تخمينها. وإذا نظرت هنا إلى

مفهوم عبارة المرور في XKCD (40:47)

في الزاوية العلوية اليسرى، هذه كلمة مرور نموذجية يُطلب منك إدخالها في موقع ويب. لذا فهي عبارة عن أحرف كبيرة وصغيرة وأرقام ورموز بترتيب معين. ما تراه هنا هو الشيء النموذجي الذي يفعله المستخدمون من أجل إنشاء وتذكر هذه الكلمات، وهو محاولة العبث بكلمة ما. لذا فهذه هي كلمة Troubadour. موسيقي متجول يغني عن مآثر الأبطال. أعتقد أن هذا هو معنى Troubadour. كلمة Troubadour ورقم ثلاثة. لذا في هذه الحالة ترى شيئًا يبدو عشوائيًا نوعًا ما، ولكنه ليس عشوائيًا حقًا. الآن يمكن تحليل هذا الشيء بالتحديد من منظور حاسوبي. من منظور رياضي، ومن منظور نظرية المعلومات، لمعرفة مدى عشوائية هذا الشيء. أو مقدار العشوائية التي يحتوي عليها هذا النوع من الأشياء. لذا في هذه الحالة بالذات، لدينا حوالي 28 bits من الإنتروبيا. هذا يعني أن هذا

القدر من التعقيد يمكن التعبير عنه برقم ثنائي مكون من 28 رقمًا ثنائيًا، 2 أُس 28. والذي إذا كنت قادرًا على تخمينه بمعدل ألف تخمين في الثانية، فسيستغرق الأمر ثلاثة أيام لاختراقه بالقوة الغاشمة. لذا فهذه في الأساس خدمة ويب أو شيء من هذا القبيل حيث تحاول إجراء تخمينات متعددة في الثانية. إذا كان لديك قاعدة بيانات سرقتها من موقع ويب، فبالطبع يمكنك تطبيق أكثر بكثير من ألف تخمين في الثانية على جهاز كمبيوتر متوسط. ولكن على أي حال، من السهل في الواقع على أجهزة الكمبيوتر تخمين ذلك. ومن السهل على أجهزة الكمبيوتر تخمينه لأن 28 bits من الإنتروبيا ليست كافية، ولكن على الرغم من أنه من السهل على أجهزة الكمبيوتر تخمينه واختراقه بالقوة الغاشمة ببساطة عن طريق تجربة جميع المجموعات الممكنة من الأحرف الكبيرة والصغيرة في هذا التسلسل، إلا أنه في الواقع يصعب جدًا على البشر تذكره. ومباشرة

أدناه يوضح لنا راندال مونرو نهجًا مختلفًا، وهو استخدام كلمات إنجليزية بسيطة مفصولة بمسافات. هذه عبارة مرور تذكيرية، وليست كلمة مرور. وفي هذه الحالة، مجرد اختيار أربع كلمات بشكل عشوائي، أربع فقط. أربع كلمات عشوائية تنتج في الواقع، إذا افترضت أنها من قاموس كبير، ربما قاموس لغة إنجليزية، يتضمن مائة ألف كلمة. فإنك تحصل على حوالي 44 bits من الإنتروبيا. 44 bits من الإنتروبيا تمنحك 550 عامًا بمعدل ألف تخمين في الثانية. و55 عامًا بمعدل 10,000 تخمين في الثانية. وخمس سنوات بمعدل 100,000 تخمين في الثانية. هذا في الواقع يصعب اختراقه بالقوة الغاشمة وهو مكون من أربع كلمات فقط. ولكن الأهم من ذلك، أنه من السهل على البشر تذكره. لهذا السبب نستخدم العبارات التذكيرية في bit 39. لذا إذا فكرت في (correct horse battery staple)، يمكنك إنشاء هذا، على الرغم من عشوائية هذه

الكلمات، يمكنك إنشاء هذه الصورة الذهنية الغريبة التي تمنحك أساسًا للربط. والربط هو الطريقة التي تعمل بها الذاكرة لدى البشر. لذا لديك هذا الرسم الصغير الذي يتم رسمه هنا. هذه دبابيس بطارية، صحيح. لذا فهذا حصان يقول إن هذه دبابيس بطارية وشخص يقول صحيح، هذه دبابيس بطارية، (correct horse battery staple). وإذا قلت هذه الكلمات الأربع فقط لشخص مهووس بالتقنية، فسيعرف على الفور ما تتحدث عنه لأن هذه العبارة سهلة التذكر لدرجة أن ملايين الأشخاص عبر الإنترنت قد حفظوها بنجاح من هذا الكاريكاتير والمثال الوحيد. لذا مع الأشياء الهائلة، Xkcd.org، هو المكان الذي يمكنك الذهاب إليه ورؤية هذه السلسلة من الرسوم الكاريكاتورية. العمل الرائع. XKCD. لكنني أعتقد أن هذا يساعدك على فهم الفكرة. لذا فهذه عبارة مرور، وهذه طريقة أفضل بكثير لإنتاج

استخدام عبارات المرور للمحافظ والتشفير (45:27)

كلمة المرور الرئيسية لمدير كلمات المرور الخاص بك، بالإضافة إلى عبارة مرور اختيارية لمحفظتك. لذا يمكنك بالفعل إنشاء عبارة مرور اختيارية لمحافظك باستخدام هذا. من الصعب جدًا اختراقها باستخدام القوة الغاشمة، حتى مع وحدة معالجة الرسومات (GPU) أو مصفوفة البوابات المنطقية القابلة للبرمجة (FPGA). حتى لو تمكنت من إجراء 2000 جولة من SHA-512، فإنك لا تزال تتحدث عن أشهر إن لم يكن سنوات، قبل أن يتمكن شخص ما من اختراق شيء يتكون من أربع أو خمس كلمات فقط باستخدام القوة الغاشمة. إذا انتقلت إلى ست كلمات، فستحصل حقًا على آلية قوية جدًا. الآن، لن تكتفي باستخدام هذا فقط. لنفترض أن لديك عبارة تذكيرية من نوع BIP-39، وتريد إضافة عبارة مرور اختيارية وتقول، حسنًا، سأختار أربع كلمات عشوائيًا من القاموس. وبعد ذلك ستكون هذه هي عبارة المرور الاختيارية الخاصة بي، ويمكنني حفظ هذه الكلمات الأربع وتذكرها. وأيضًا سأقوم بنسخها

احتياطيًا في موقع ثانوي لأنه على الرغم من قدرتي على تذكرها، ماذا لو حدث لي مكروه. هل أريد أن يختفي ميراثي في المجهول لأنه لا أحد يستطيع العثور على عبارة المرور الاختيارية التي استخدمتها. لا، بالطبع لا أريد ذلك. لذا سأضطر إلى عمل نسخة احتياطية من عبارة المرور أيضًا، وسأقوم بعمل نسخة احتياطية من العبارة التذكيرية (البذرة). وسأقوم أيضًا بعمل نسخة احتياطية من عبارة المرور الاختيارية والاحتفاظ بهما في موقعين مختلفين. سأحرص أيضًا على أنه إذا ألقى شخص ما نظرة على البذرة الخاصة بي، فسأعرف أنه تمكن من الوصول إليها حتى أتمكن من نقل أموالي قبل أن يتمكن من تجربة جميع المجموعات الممكنة لعبارة المرور باستخدام حاسوب قوي. الطريقة التي أقوم بها بذلك تعتمد على تقنية بسيطة جدًا. إنها كيس بلاستيكي، كيس بلاستيكي يظهر عليه أي عبث. يمكنك شرائها في

عبوة تحتوي على مائة من بائعي التجزئة عبر الإنترنت في كل مكان. تُستخدم للتبرعات النقدية في ألعاب البينغو والكنائس وأشياء من هذا القبيل. تُستخدم لمنع الموظفين من السرقة. وهي غير شفافة، وبمجرد إغلاقها، فإن الطريقة الوحيدة لفتحها دون أن يكون ذلك واضحًا هي بتمزيقها أو قطعها، مما سيترك أثرًا. لا يمكنك تجميدها أو تسخينها أو فتحها وإعادة إغلاقها دون ترك أثر. لذا إذا وضعت عبارتك التذكيرية وعبارة المرور الاختيارية في كيس يظهر عليه العبث كهذا، وألقى شخص ما نظرة، فستعرف أنه فعل ذلك. لذا إذا قمت بمراجعة مواقع التخزين الخاصة بك كل بضعة أشهر، فسيكون لديك أساس جيد للأمان. حسنًا، سأختتم حديثي. سنستمر لمدة 45 دقيقة أخرى تقريبًا لأن لدي الكثير لأتحدث عنه، حول المصادقة

الثنائية. ولكنني أردت أن تفهموا كيف نطبق مفهوم عبارة المرور هذا. لذا، في الجزء التالي، سأتحدث عن كيفية إنشاء عبارة مرور بشكل آمن. دعونا ننتقل إلى عاصفة الرموز التعبيرية، وأرجو من جميع أعضاء مجتمع يوتيوب أن يثبتوا للجميع القوة الإبداعية والتعبيرية المذهلة للرموز التعبيرية المخصصة من قناتي من خلال إطلاق عاصفة من الرموز التعبيرية، انطلقوا. حسنًا، لقد عدت. إذن أنت تريد إنشاء عبارة مرور. وأنت تعلم أن عبارة المرور هذه من الأفضل أن تكون على شكل ما نعرفه باسم عبارة مرور XKCD، مثل (correct horse battery staple). سلسلة من الكلمات الإنجليزية التي يتم اختيارها عشوائيًا، والتي يمكنك إنشاء ارتباط ذهني وصورة تتوافق معها. ستستخدم عبارة المرور هذه، ربما ككلمة مرور رئيسية لمدير كلمات المرور الخاص بك، والتي سيتعين عليك كتابتها

إنشاء عبارات مرور بشكل آمن (50:25)

عدة مرات في اليوم على أجهزة مختلفة. أستخدم عبارات مرور مشابهة لأغراض أخرى، ولا أكرر نفس عبارة المرور. لكنني وجدت أنه يمكنني تذكر ثلاث أو أربع منها قبل أن يصبح الأمر معقدًا. لذا سأحتاج إلى عبارة مرور كهذه كعبارة مرور اختيارية لمحفظة bit 39 الخاصة بي. سأحتاج أيضًا إلى عبارة مرور كهذه لتشفير القرص الصلب على حاسوبي المحمول. أفضل استخدام قرص صلب مشفر. وقبل أن تقوم بتمهيد حاسوبي المحمول أو أي من أجهزتي، في الواقع، تحتاج إلى إدخال عبارة مرور. وعبارة المرور تلك تكون أيضًا من هذا النوع. إنها عبارة مرور تذكيرية. تستخدم سلسلة من الكلمات الإنجليزية، مفصولة بمسافات. لأغراض الاتساق، أقوم دائمًا بكتابة عبارات المرور التذكيرية الخاصة بي بأحرف صغيرة مع مسافات بسيطة بينها. لذا كلمة بأحرف صغيرة، مسافة، كلمة بأحرف صغيرة، مسافة، كلمة بأحرف صغيرة ثم إدخال. ويمكن أن

تتراوح أطوالها من أربع إلى ثماني كلمات. عليك أن تقرر مستوى الأمان الذي تحتاجه، وهذا يعتمد على مكان استخدامك لها. كم عدد جولات عملية التجزئة المستخدمة في إنشاء مفتاح التشفير المشتق من عبارة المرور تلك وما هو مستوى التهديد الذي تواجهه لهذه الأشياء. لكن أربع كلمات يجب أن تكون على الأرجح الحد الأدنى لعدد الكلمات التي تستخدمها وثماني كلمات ستكون على الأرجح الحد الأقصى قبل أن تبدأ في نسيان الأشياء والشعور بالارتباك. خاصة بالنسبة لعبارة مرور لا تستخدمها كثيرًا. كلما زاد استخدامك لعبارة المرور، وكلما كتبتها أكثر، زاد الطول الذي يمكنك جعلها عليه. لأنك حينها ستُجبر على تذكرها بالممارسة. لذا يمكنني استخدام عبارة مرور أطول قليلًا في مدير كلمات المرور الخاص بي لأنني أكتبها كل يوم. وسأستخدم عبارة مرور أقصر قليلًا،

على سبيل المثال، كعبارة مرور اختيارية على محفظة، وعبارة مرور أقصر من ذلك كعبارة مرور اختيارية على أجهزتي، لتمهيد القرص الصلب المشفر، لأنني أكتبها ربما مرة واحدة في الشهر وقد يكون من الأسهل عليّ نسيانها. إذن كيف نختار هذه الكلمات؟ هناك عدد من الطرق للقيام بذلك، لكنك تريدها أن تكون عشوائية. أنت لا تريدها أن تكون أغنية. كلمات أغنية لـ، لا أعرف. كنت على وشك ذكر أغنية، لكنني أعتقد أن ذلك سيثير الكثير من الجدل. لذا سأتجاوز ذلك تمامًا. أنت لا تريدها أن تكون هتاف فريق كرة القدم الخاص بك. أنت لا تريدها أن تكون شعار ولايتك. أنت لا تريدها أن تكون عبارة من Star Trek. لماذا؟ لأن كل تلك العبارات موجودة في قواميس قام

القراصنة بجمعها. أي شيء قد تحصل على نتيجة له إذا كتبته في Google كعبارة، والذي بالطبع لن تكتبه في Google لأن ذلك يكسر الأمان الذي يجب ألا تتخلى عنه أبدًا. يجب ألا تستخدم أبدًا عبارة قيلت من قبل، أو من المحتمل أن يقولها شخص ما. لذا بدلًا من ذلك، تريد اختيار كلمات عشوائية ثم محاولة إنشاء صورة ذهنية أو ارتباط ذي معنى بالنسبة لك. ويمكن أن تكون غريبة وعجيبة جدًا طالما أنها ذات معنى بالنسبة لك ويمكنك تكرار تلك الصورة في رأسك والقيام ببعض الممارسة. هذه طريقة جيدة للقيام بذلك. إذن كيف تختار كلمات عشوائية؟ حسنًا، هناك عدد من الطرق التي يمكنك من خلالها القيام بذلك. يمكنك فتح قاموس على صفحات مختلفة ووضع إصبعك دون النظر، وهي طريقة ليست

جيدة جدًا. من المحتمل أن تقضي معظم وقتك في اختيار الثلث الأوسط من الصفحات في القاموس والثلث الأوسط من الصفحة بإصبعك. لكنها في الواقع جيدة بما فيه الكفاية لأن القاموس يحتوي على الكثير من الكلمات. قاموس جميل وكبير وسميك. لذا ستحصل على عشوائية كافية. إذن هذه طريقة سهلة يمكنك القيام بها في المنزل دون أي جهد إضافي. إذا كنت ترغب في المضي قدمًا قليلًا، يمكنك استخدام تقنية تسمى diceware. D-I-C-E-W-A-R-E. و diceware هي آلية حيث يكون لديك قائمة بالكلمات التي يمكنك تنزيلها. يمكنك تنزيل قائمة مؤشر diceware، الموقع الذي ستجده هو... يمكنك العثور على هذا في Google بسهولة تامة. أول موقع يظهر، وهو diceware.D-M-U-T-H dmuth.org هو الموقع الصحيح. وإذا استخدمت هذا الموقع، يمكنك تنزيل القائمة. الآن ما هو

طريقة diceware (55:27)

المثير للاهتمام في تلك القائمة هو أنها مفهرسة بأرقام تحتوي على خانات بين واحد وستة، مما يتيح لك استخدام النرد، النرد العادي، النرد التقليدي. تقوم برمي النرد خمس مرات وتنشئ رقمًا مكونًا من خمس خانات حيث تكون جميع الخانات بين واحد وستة، ثم تبحث عن الكلمة التي تتوافق مع ذلك المؤشر في قائمة diceware، وتكتبها وبذلك تحصل على عشوائية. لقد حصلت على عشوائية مصممة للاستخدام مع النرد العادي، وهو أمر مريح. إذا كان لديك بعض النرد في الجوار، يمكنك القيام بذلك بسهولة. إنها طريقة غير رقمية، حيث تقوم بتنزيل القائمة على حاسوبك الخاص، وتختار ببساطة كلمات من تلك القائمة بشكل عشوائي. مرة أخرى، هذه طريقة رائعة لإنشاء إحدى عبارات المرور العشوائية هذه. وبالطبع، يمكنك أيضًا استخدام برنامج على حاسوبك. المشكلة بالطبع هي

أنه إذا كان هناك بالفعل برمجيات خبيثة من نوع حصان طروادة أو مسجل لوحة مفاتيح على حاسوبك، فقد يتسبب ذلك في بعض الصعوبة. أنا أستخدم برنامجًا يُدعى XKCD pass، والذي ينتج بالفعل عبارات مرور متوافقة مع XKCD. أقوم بإنشاء مجموعة كبيرة منها. ثم أختار واحدة بشكل عشوائي من تلك القائمة الطويلة جدًا. ولا أترك أي إشارة على حاسوبي توضح أي واحدة اخترتها. أنا فقط أقوم بالتمرير والتمرير والتمرير في قائمة طويلة جدًا. هذا يجعل من الصعب جدًا التقاطها بهذه الطريقة. مرة أخرى، يتعلق الأمر بالطبقات. إنها ليست مثالية. هناك الكثير من الصعوبات والثغرات في هذه العملية بأكملها. حسنًا. لقد تحدثنا الآن عن أمان كلمة المرور، وجمعنا عددًا من المواضيع معًا. تحدثنا عن تعقيد كلمات المرور. تحدثنا عن تطبيق الأمان في طبقات. تحدثنا عن نقاط ضعف الذاكرة البشرية والعشوائية البشرية. تحدثنا عن سبب

كون استخدام البرامج أفضل من عدم استخدامها، على الرغم من أنك لا تستطيع الوثوق بالبرامج بنسبة مائة بالمائة. تحدثنا عن كيفية إنشاء عبارة المرور الرئيسية الخاصة بك ونوع عبارة المرور الرئيسية التي يجب عليك استخدامها، والتي يمكنك استخدامها بعد ذلك لإنشاء كلمات مرور الجلسة أو كلمات مرور المواقع من مدير كلمات المرور الخاص بك، والتي تكون معقدة ومكونة من أحرف وأرقام وعشوائية يستحيل تذكرها، وتجعل مدير كلمات المرور يتذكرها نيابة عنك. لذا فإن الموضوع التالي هو المصادقة الثنائية. الآن، ما هي المصادقة الثنائية؟ المصادقة الثنائية هي عندما تستخدم طريقتين مختلفتين لمصادقة هويتك. لذا فإن المصادقة تعني أساسًا إثبات أنك الشخص الذي تدعيه. والمصادقة الثنائية تعني استخدام آليتين متميزتين لإثبات أنك الشخص الذي تدعيه. وفي أمن الحاسوب، نصف المصادقة متعددة العوامل وعوامل المصادقة كواحدة من ثلاثة أشياء. العوامل الثلاثة المحتملة التي

يمكن أن تمتلكها هي شيء تعرفه، وكلمة المرور هي مثال على شيء تعرفه. أنت تحفظها، وبالتالي أنت تعرفها. المصادقة القائمة على المعرفة هي أيضًا شكل من أشكال عامل "شيء تعرفه"، مثل أين ولدت؟ ما هي علامة أول خلاط كعك امتلكته؟ من هو أول شخص قبلته في المدرسة؟ أو أيًا كان. الآن، من الواضح أن "شيء تعرفه" هو عامل، وهو عامل جيد. فقط إذا كنت، أولاً، تستطيع تذكره ولا يمكن لأي شخص آخر تخمينه بسهولة. وهنا يأتي دور كل التعقيد الذي تحدثنا عنه بخصوص كلمات المرور. الشكل الثاني من المصادقة. عامل المصادقة هو "شيء تكونه". و"شيء تكونه" يشير عادةً إلى القياسات الحيوية، وهي قياس غير قابل للتغيير حول كيانك المادي لا يمكن تزييفه. مثل بصمة الإصبع، أو مسح قزحية العين، أو نبرة صوتك عندما

تكرر العبارة التي يُفترض بك تكرارها. طريقة مشيتك، طولك، وجهك للتعرف على الوجه، كل هذه الأشياء هي عوامل حيوية. أي "شيء تكونه". العوامل الحيوية لها مزايا وعيوب. يمكن استخدامها بالإضافة إلى عامل آخر. بالطبع، العيب الكبير في القياسات الحيوية هو أنه إذا تم نسخها أو فقدانها، فلا يمكن استبدالها. فإذا تسربت بصمات أصابعي، على سبيل المثال، وأصبح بإمكان الجميع الوصول إليها وإعادة إنشائها باستخدام اللاتكس كما رأيت في كل أفلام الجواسيس تلك، فلن أتمكن من تغيير بصمات أصابعي. وبالتالي لم يعد هذا القياس الحيوي مفيدًا لي. وقد رأينا أن القياسات الحيوية صعبة التطبيق إلى حد ما، ولكنها مفيدة جدًا كعامل ثانٍ، وليس كعامل أساسي أبدًا. لن أستخدم أبدًا القياس الحيوي كطريقة وحيدة لمصادقة هويتي، لنقل للوصول إلى

المصادقة البيومترية (1:00:44)

الهاتف. لأنه كما رأيت وكما يعرف كل طفل في الثامنة من عمره، إذا وضعت هاتف آيفون الخاص بوالدتك على إصبعها أثناء نومها على الأريكة، يمكنك الذهاب وشراء أشياء من أمازون. يمكنك أن تكون بابا نويل الخاص بك. طالما أنك تستطيع الوصول إلى إبهام والدتك أو وجه والدك من خلال حمل جهاز التعرف على الوجه أمام وجه والدك. بينما يغط والدك في نوم عميق بعد كل هذا العمل في حفلة الشواء. المصادقة البيومترية وحدها ليست كافية، لكنها تشكل عاملًا ثانيًا جيدًا جدًا. العامل الأخير هو شيء تملكه، شيء بحوزتك، وشيء يخصك. وعادة ما يتم تضمين هذا العامل البيومتري في جهاز إضافي. إنه جهاز يمثل عامل أمان تحتفظ به. المفتاح هو عامل مصادقة يعتمد على شيء تملكه. مفتاح رقمي، مفتاح خاص، أو حتى مفتاح مادي

لفتح بابك. وفي الوقت الحاضر، أصبح لدينا بشكل متزايد عوامل ثانية تعتمد على شيء تملكه وتُصنع في أجهزة USB. في الواقع، لدي واحد متصل بشكل دائم بحاسوبي المحمول. ربما سمعني الكثير منكم أتحدث عن هذه الأجهزة من قبل. هذا هو مفتاح يوبي (YubiKey)، ومفتاح يوبي هذا هو جهاز صغير جدًا لدرجة أنني عندما أضعه في منفذ USB بحاسوبي المحمول، فإن الشيء الوحيد البارز هو تلك القطعة المعدنية الصغيرة الحساسة للمس. عندما أحاول استخدام هذا، فإنه يتطلب مني لمسه. وعندما ألمسه، أقوم بتنشيطه ويرسل رمزًا من حاسوبي. الآن لا يمكنك تسجيل الدخول إلى حاسوبي والعديد من الخدمات الأخرى التي أستخدمها دون النقر للمصادقة على جانب حاسوبي. الآن، إذا سرقت قاعدة بياناتي أو عبارة المرور الرئيسية الخاصة بي، أو

خمنت كلمة المرور الخاصة بي، فلا يزال لا يمكنك فك التشفير أو فتح هذه الأجهزة أو الوصول إلى حساباتي المختلفة لأنك لا تملك هذا الشيء. أنا أملك هذا الشيء. وبالطبع هذا عامل أمان إضافي. بمفرده، ليس كافيًا لأنه إذا تمكن شخص ما من سرقة حاسوبي المحمول، فسيصبح لديه هذا الشيء الآن، ولكن لحسن الحظ ليس لديه كلمة المرور الخاصة بي، وهي العامل الآخر. لذلك بشكل عام، عندما نتحدث عن المصادقة متعددة العوامل، فإن ما نفعله هو إدراك أنه لا يوجد عامل مصادقة واحد كافٍ بمفرده. جميع عوامل المصادقة لها أنماط فشل. ولكن إذا كنت تستخدم المصادقة متعددة العوامل وكانت عوامل المصادقة الخاصة بك متنوعة، فإن نمط الفشل، أي نمط فشل أحد عوامل المصادقة يترك العامل الآخر كحماية لك. لذلك لديك طبقات. كما تعلم في كل فيلم تجسس، عندما يقومون بقطع إصبع

الشرير ويأخذونه إلى قارئ بصمات الأصابع ويستخدمونه لفتح الباب، حسنًا، لا يوجد باب يعمل بهذه الطريقة. جميعها تتطلب أيضًا رمز تعريف شخصي (PIN) تحديدًا حتى إذا سرقت رمز التعريف الشخصي، فلن يكون لديك الإصبع. وإذا سرقت الإصبع وقطعته، فلن تعرف رمز التعريف الشخصي. يتطلب الأمر كليهما. لن يقوم أي مصنع لمثل هذا الجهاز بتصميمه بحيث يمكنك فتحه بواحد فقط. وفي الواقع، عندما يقوم الأشخاص بإعداد هواتفهم لتفتح فقط باستخدام المصادقة البيومترية، فإن ذلك خطير للغاية، وتحتاج إلى التأكد من وجود آلية إضافية. سؤال متابعة رائع في الدردشة، ماذا لو فقدت مفتاح يوبي (YubiKey) الخاص بي، مفتاح الأمان الخاص بي؟ حسنًا، لدي في الواقع عدة مفاتيح. لدي ثلاثة. ولدي واحد مخزن في موقع خارجي كنسخة احتياطية نهائية.

لدي مفتاح ثانٍ لا أحتفظ به متصلًا بحاسوبي المحمول بل آخذه معي. غالبًا ما يكون شيئًا سترى مسؤولي الأمان يرتدونه في حبل تعليق حول أعناقهم، أو متصلًا كسلسلة مفاتيح. هذه الأجهزة قوية جدًا وغالبًا ما تكون مصممة ليتم إرفاقها بسلسلة مفاتيح. لذلك يمكنك أخذها مع مفاتيحك، وهو أمر منطقي. نموذج أمان مشابه، فهي شبه غير قابلة للتدمير. يمكنك دهسها بشاحنة وستظل تعمل. لذلك قمت بتسجيل جميع مفاتيح الأمان الثلاثة هذه، بحيث يعمل أي منها وسأضطر إلى فقدان الثلاثة جميعًا قبل أن أفقد الوصول. لكن جميعها في مواقع يصعب الوصول إليها. والخطر الرئيسي، التهديد الرئيسي الذي أحاول معالجته هنا هو الاختراق عن بُعد. نعم، إذا اقتحمت منزلي أو مكتبي

مفاتيح الأمان و YubiKeys (1:05:51)

أو الموقع السري رقم خمسة، وكنت أنت الخادمة الشريرة التي تقتحم غرفتي في الفندق أو أيًا كان، يمكنك العثور على هذه الأجهزة، ولكنك على الأرجح لا تملك كلمة المرور الخاصة بي. إذا قمت باختراق أنظمتي وحصلت على كلمة المرور الخاصة بي، فلن يكون لديك الجهاز. إذا حاولت استخدام كلمة المرور لتسجيل الدخول إلى أحد أجهزتي، فلن أنقر على جانب الكمبيوتر لمنحك حق الوصول. وبكل صراحة، كما تعلم عندما أترك جهاز الكمبيوتر الخاص بي دون رقابة، أقوم بإخراج YubiKey وآخذه معي. لذا مرة أخرى، يتعلق الأمر بالطبقات. لذا فإن المصادقة الثنائية تعني استخدام عاملين على الأقل لمصادقة نفسك على أي خدمة أو جهاز. وهذه العوامل هي شيء تعرفه، وشيء تملكه، وشيء يمثلك. يمكن استخدام أي من هذه الثلاثة كعامل ثانٍ. وبالطبع يمكنك

استخدام المصادقة الثلاثية، إذا أردت، على الرغم من أن ذلك غير معتاد نوعًا ما، حيث يصبح الأمر مرهقًا ومعقدًا في تلك المرحلة. يصعب الاسترداد، ويسهل فقدان إمكانية الوصول. لذا فإن الرقم اثنين هو عادة الرقم السحري، ولهذا السبب نطلق عليها 2FA (المصادقة الثنائية). يسميها أشخاص آخرون MFA للمصادقة متعددة العوامل. إنها نفس الشيء تمامًا. هناك معيار آخر، وهو معيار لتنسيق عالمي لمفاتيح الأمان مثل YubiKey الصغير الذي أريتك إياه، والذي يُستخدم في الصناعة. الآن هو معيار تم إنشاؤه بواسطة هيئة معايير تسمى Fido Alliance، ويسمى U2F (العامل الثنائي العالمي). إذا لاحظت في شريحة الكود الخاص بي يوجد تعلم U2F العامل الثنائي العالمي. حرف U، الرقم اثنان، الحرف F، U2F. هذا ببساطة معيار لجهاز متعدد العوامل يعتمد على الأجهزة يمكن توصيله أو

الإرسال عبر البلوتوث أو NFC إلى جهاز تحاول المصادقة عليه. حسنًا، لننتقل إلى سؤال. ليس هذا. أين هو؟ ربما الآن؟ حسنًا، ثانية واحدة. يبدو أن السؤال لم يتم تمييزه. لست متأكدًا من السبب. أعطني ثانية من فضلك. سأصلح هذا. أحتاج إلى تحديث متصفحي. لنأمل ألا يطلب مني كلمة مرور معقدة. حسنًا، يبدو أن هناك نوعًا من... أوه انتظر، لحظة واحدة. حدث خطأ ما في Slido الخاص بي، لذا لا يمكنني رؤية الأسئلة المميزة فعليًا. لا أعرف لماذا يحدث ذلك. لم أر ذلك من قبل. أوه، هناك استطلاع. يبدو أن هناك استطلاعًا نشطًا يعيقني الآن عن رؤية الأسئلة. لا أعرف لماذا. المعذرة. أوه، ها هو. لقد أصلح نفسه. نعتذر عن الصعوبات الفنية يا رفاق. لماذا تعتبر الرسالة

النصية مصادقة ثنائية ضعيفة، هل هي أفضل من لا شيء؟ لذا تستخدم الكثير من البنوك رسائل SMS كما أشار شخص آخر، فهم يستخدمون رسائل SMS النصية كمصادقة ثنائية. إذًا لماذا تعتبر الرسالة النصية مصادقة ثنائية ضعيفة؟ حسنًا. ما نوع العامل الذي تمثله الرسالة النصية؟ دعونا نرى ما إذا كان بإمكاننا معرفة ذلك. هل هو شيء تعرفه؟ لا، أنت لا تعرفه في ذلك الوقت. يبدو أن هناك نوعًا من الاستطلاعات قيد التشغيل والذي يتسبب في المقاطعة. عذرًا. بدأ Slido باستطلاع لسبب ما. هذا غريب. حسنًا. هل الرسالة النصية عامل ثانٍ جيد؟ ما نوع هذا العامل؟ هل هو شيء تعرفه؟ لا، لأنك لا تعرفه، عندما يتم إرساله إليك كرسالة نصية، فأنت لا تعرفه، بل تكتشفه حينها. لذا فهو ليس شيئًا تعرفه. هل هو

لماذا تعتبر الرسائل القصيرة (SMS) مصادقة ثنائية ضعيفة (1:11:00)

شيء يمثلك؟ لا، إنه ليس شيئًا يمثلك. هل هو شيء تملكه؟ نوعًا ما. قد تفكر، حسنًا، إنه شيء أملكه، أنا أملك الهاتف الذي يتلقى الرسالة النصية. لكن الرسالة النصية لا تُرسل إلى هاتف، بل تُرسل إلى رقم هاتف. هل تملك رقم الهاتف؟ والإجابة هي أن رقم الهاتف في الواقع هو شريحة الاتصال (SIM)، أو بالأحرى الحساب الذي تتصل به شريحة الاتصال في هاتفك، ومن يملك هذا الحساب؟ والإجابة هي Vodafone أو Verizon أو AT&T أو T-Mobile أو أي شركة أخرى. لذا فإن المشكلة في المصادقة الثنائية عبر الرسائل النصية هي أنك لا تملك رقم الهاتف. بل تملكه شركة الاتصالات. وشركة الاتصالات لديها أمان سيء للغاية. هذا كل شيء، الأمر بهذه البساطة حقًا. لذا كل ما عليك فعله هو الاتصال بخدمة العملاء، في شركة الاتصالات،

وتشغيل صوت طفل يبكي في الخلفية، والتظاهر بأنك تتحدث إلى جليسة أطفال محبطة بينما يصرخ الطفل. وزوجك يصرخ في وجهك أو زوجتك تصرخ في وجهك في الخلفية. وأنت تعاني من انهيار ويوم سيء للغاية. وسيقوم الأشخاص المتعاونون والمتعاطفون جدًا في خدمة العملاء بتجاوز جميع الفحوصات الأمنية لأنك لا تعرف كلمة المرور التي عينها زوجك/زوجتك على الحساب، وهذه حالة طوارئ حقًا وتحتاج بشدة إلى التواصل. وسيقومون بكل سرور بنقل الرقم إلى هاتفك الجديد الذي يحتاج إلى التفعيل الآن، لأنها حالة طوارئ. الآن، إذا كان هذا يبدو وكأنه هجوم نظري، فهناك في الواقع عرض توضيحي رائع يحدث في مؤتمرات Def Con و Black Hats وغيرها من مؤتمرات القراصنة، حيث يقومون بما يسمى بهجمات الهندسة الاجتماعية. و

من أفضل هذه العروض مقطع فيديو حيث أظهر مخترق هندسة اجتماعية ماهر جدًا لصحفي مدى سرعة استيلائه على رقم هاتفه من خلال الاتصال بشركة اتصالات، وتشغيل تسجيل لطفل يصرخ في الخلفية متوسلًا مساعدتهم في حالة الطوارئ هذه. وفي أقل من 10 دقائق حرفيًا، استولوا على رقم الهاتف، ثم استخدموا ذلك لإعادة تعيين حساب البريد الإلكتروني الخاص به، ثم استخدموا ذلك لإعادة تعيين جميع حساباته الأخرى واختراق هويته الرقمية بالكامل في أقل من 15 دقيقة. لذلك هذا هو السبب في أن الرسائل النصية هي شكل ضعيف من أشكال المصادقة الثنائية. ومن المهم جدًا ألا تستخدمها إذا كان بإمكانك تجنب ذلك. ولكن للإجابة على سؤال مجهول، هل هي أفضل من لا شيء؟ إنها أفضل من لا شيء. إنها أفضل من لا شيء إذا

كان بإمكانك تجنب استخدامها في الحسابات التي يمكنك فيها اختيار خيارات أفضل. لذا، أي حسابات يمكنك فيها استخدام شيء آخر غير الرسائل النصية، استخدمه. الشيء الآخر هو التفكير بعناية شديدة في من هو مزود خدمة الهاتف الخاص بك. لذا يستخدم الكثير من المتخصصين في مجال الأمن مزودي خدمات الهاتف الذين ليس لديهم خدمة عملاء بشرية يمكن اختراقها بالهندسة الاجتماعية وحيث تكون الحسابات نفسها محمية بمصادقة ثنائية قوية. على سبيل المثال، مشروع Fi من Google، أو F-I، وهو مشغل شبكة افتراضية، ليس لديه بشر يمكنك التحدث إليهم. وتقوم بالاتصال والوصول وتكوين حساب الهاتف هذا من خلال حساب Google الذي يمكنك تأمينه بمصادقة ثنائية قوية مثل رمز المصادقة الثنائية العالمي. هذا يعني أنه لا يمكن نقل رقمك، مما يعني أنه يمكنك بعد ذلك استخدام هذا الرقم بأمان أكبر من أجل تأمين ما يعتمد على الرسائل النصية في

المصادقة الثنائية مثل البنك الذي تتعامل معه والذي يعاني من ضعف في الأمان. لذا من حيث الشركات الأسوأ في مجال الأمان، نجد البنوك، وشركات الاتصالات، ثم مزودي الخدمات الفعليين الذين لديهم فرق أمنية جيدة. لذا فالأمر كله يتعلق بالطبقات. إذا لم يكن لديك خيار سوى استخدام الرسالة النصية كمصادقة ثنائية، فسأخبرك أن هناك بعض الخدمات التي أستخدمها حيث لا يوجد لدي خيار سوى استخدام رسالة نصية. حينها تأكد من أن هذه الرسالة النصية تذهب إلى حساب مؤمن جيدًا. حتى مع شركة الاتصالات الخاصة بك، يمكنك وضع رمز تعريف شخصي (PIN) على حسابك. يمكنك إيقاف تشغيل القدرة على نقل الرقم. يمكنك الذهاب والقيام بكل أنواع الأشياء لتقوية هذا الحساب. ولكن إذا كان بإمكانك، فمن الأفضل نقل رقمك إلى مشغل شبكة افتراضية أو مزود خدمة ليس لديه بشر يمكنهم

تأمين رقم هاتفك (1:16:25)

التعرض للهندسة الاجتماعية لنقل رقمك. وأن يكون هناك مصادقة قوية على العوامل التي تتحكم في رقم هاتفك. وإذا كان بإمكانك تجنب ذلك. تجنبه خاصة إذا كان هو العامل الثاني للاتصال بمنصة التداول الخاصة بك، حيث تخزن ما قيمته ملايين الدولارات من العملات المشفرة. وبالطبع، أنا ألمح هنا إلى أحد خبراء العملات المشفرة سيئي السمعة، والذي قام بالفعل بتخزين ملايين الدولارات من العملات المشفرة في محفظة منصة تداول، وهي محفظة ساخنة وصائية، أي أن العملات ليست ملكك، باستخدام مصادقة ثنائية عبر رسالة قصيرة (SMS) استضافتها شركة AT&T، وهو يقاضي حاليًا AT&T بسبب خسارة حوالي، لا أعرف، 50 مليونًا، أو مائة مليون دولار، أو رقم سخيف من هذا القبيل. بصراحة، هذا هو نوع القضايا القانونية التي بصفتي شاهد خبير، سأقف فيها على المنصة وأضحك لمدة 30 دقيقة في وجه

المدعي. عندما يقولون إنها كانت غلطة شخص آخر أنهم وضعوا ملايين الدولارات في منصة تداول مدعومة عبر رسالة نصية، كمصادقة ثنائية لشركة AT&T. لن أتعاطف كثيرًا مع ذلك. حسنًا. لنتحدث إذن عن المصادقة الثنائية التي تعمل بالفعل. لقد تحدثت عن مفتاح الأمان، وهو عبارة عن قطعة من الأجهزة، ولكن هناك أيضًا آلية أخرى شائعة جدًا، استخدمتموها جميعًا من قبل، وهي حيث يكون لديك رقم مكون من ستة أرقام. طرح عليّ نيراج سؤالاً مفيداً تحديداً حول هذا الموضوع. مرحباً أندرياس، كيف يعمل تطبيق المصادقة من Google أو Microsoft؟ هل هناك نظام لامركزي يمكن أن يحل محلهما؟ يا نيراج، هذه أنظمة لامركزية. على الرغم من أن التطبيق تم إنشاؤه بواسطة كيان مركزي، إلا أن التطبيق في الواقع بسيط للغاية. ونتيجة لذلك، فهو في الواقع لامركزي. الأسرار المخزنة على تطبيقات المصادقة هذه

يتم تخزينها فقط على جهازك المحلي. هناك بعض الاختلافات بالطبع. بعض هذه التطبيقات، مثل Offi على سبيل المثال، تسمح لك بعمل نسخة احتياطية ونقل الأسرار التي تشكل أساس المصادقة الثنائية الخاصة بك إلى جهاز آخر. مما يجعلها مريحة، ولكنها خطيرة. إذا كان لديك دعم لأجهزة متعددة قيد التشغيل في Offi أو أنظمة أخرى تدعم النسخ الاحتياطية، فيجب عليك إيقاف تشغيل ذلك وعدم تشغيله إلا عندما تقوم بالنقل إلى هاتف أو جهاز آخر، على سبيل المثال، عندما تحصل على ترقية لهاتفك الذكي وتحتاج إلى نقل جميع تلك الحسابات إلى جهاز جديد. قدم تطبيق المصادقة من Google بالفعل ميزة النسخ الاحتياطي والنقل في إصداره الأخير. لا أعرف كيف يعمل، ولكن إذا كان يعمل بهذه الطريقة، فتأكد من إيقاف تشغيله افتراضيًا. بحيث لا يمكن سوى لذلك الجهاز المحلي

استخدام رموز الأمان تلك. وإلا فإنها ليست مصادقة ثنائية حقًا، أليس كذلك؟ إنها ليست شيئًا تملكه. إنها كلمة مرور احتياطية. إنها شيء تعرفه، ويمكن سرقته بسهولة، أو أنه مرتبط برقم هاتفك. وفي هذه الحالة نعود إلى أمان الرسائل النصية الذي كنا نتحدث عنه سابقًا. يقوم شخص ما بنقل شريحة الاتصال (SIM) الخاصة بك، ويستولي على رقمك. ثم يقوم بتثبيت برنامج المصادقة على الهاتف الذكي. بعد ذلك يقوم بتنزيل النسخة الاحتياطية ونقلها إلى ذلك الجهاز. وبذلك يحصل على جميع المصادقات الثنائية الخاصة بك والتي لم تكن في الواقع مصادقة ثنائية. إذن هذا هو نمط الفشل، ولكن لنتحدث عن كيفية عمل هذا الشيء في المقام الأول. إذن كيف يعمل تطبيق المصادقة من Google أو Microsoft؟ أولاً، دعونا نطلق اسماً على هذا الشيء. هذه آلية تسمى كلمة المرور لمرة واحدة أو OTP. كلمات المرور لمرة واحدة موجودة منذ عقود وقد تم استخدامها، حسناً، دعني أصحح لنفسي. كلمات المرور الرقمية

لمرة واحدة على الأجهزة المحمولة، موجودة منذ عقود. كلمات المرور لمرة واحدة في حد ذاتها موجودة في الواقع منذ آلاف السنين. المفهوم العام هنا هو أنه إذا قمت بإنشاء تسلسل من الأرقام العشوائية وكان لدى طرفي الاتصال نسخة من ذلك التسلسل، أو يمكنهما إنشاء ذلك التسلسل ولا يمكن لأي شخص آخر القيام بذلك. فلن يكون هناك شيء يمكن سرقته أو تخمينه. لوحات المرة الواحدة (One-time pads) هي طريقة تشفير غير قابلة للكسر طالما يمكنك إنشاء هذه الأسرار وعدم تعرضها للسرقة. وكلمات المرور لمرة واحدة الرقمية، المكونة من رموز بستة أرقام، يصعب جداً جداً سرقتها. طالما يمكنك الحفاظ على سرية الأسرار الجذرية التي تولدها. الآن، يعد تطبيق المصادقة من Google و Microsoft فئة فرعية معينة من كلمات المرور لمرة واحدة تسمى كلمات المرور لمرة واحدة المستندة إلى الوقت. وإذا كنت ترغب في العثور على تطبيق يدعم معيار كلمة المرور لمرة واحدة المستندة إلى الوقت، فإنك تستخدم الاختصار

كلمات المرور لمرة واحدة المستندة إلى الوقت (1:21:56)

T-O-T-P. إذن OTP تعني كلمة مرور لمرة واحدة، وT-OTP تعني كلمة مرور لمرة واحدة مستندة إلى الوقت. ومستندة إلى الوقت تعني ببساطة أن الرمز مرتبط بالوقت الحالي ويتغير كل 30 ثانية. لذا تستخدم هذه الأشياء سرًا وساعة، والتي يجب أن تكون متزامنة تقريبًا مع الوقت الحالي بشكل صحيح، لإنشاء الرمز المحدد للوقت المحدد الذي تريد استخدامه فيه. ولأنها نافذة زمنية مدتها 30 ثانية، يمكنك التأخر قليلًا ولديك بعض الوقت لرؤيته على شاشتك وإدخاله في الموقع الإلكتروني. الآن، نظرًا لأن الموقع الإلكتروني الذي تتصل به أو الجهاز الذي تتصل به يمتلك نفس السر والساعة متزامنة تقريبًا، يمكنه معرفة الرمز الذي يُفترض بك إدخاله. وعادةً ما ينظر إلى الرمز السابق والرمز التالي ليعرف ما إذا كنت متأخرًا قليلًا،

مثل تجاوز 30 ثانية بقليل. وسيقبل هذه الرموز. وبعد ذلك ترى على شاشتك الرمز الحالي، وسترى عدًا تنازليًا صغيرًا. وبعد 30 ثانية، يتغير ويصبح لديك رقم جديد مكون من ستة أرقام. إذن، الطريقة التي يعمل بها هذا هي باستخدام مفتاح خاص. ومن ذلك المفتاح الخاص، يستخدم دالة اشتقاق، والتي يمكن أن تكون مجموعة متنوعة من الأشياء المختلفة. لا أعرف ما هو الاستخدام القياسي لـ T-OTP. أفترض أنها نوع من آلية التجزئة مع الوقت. وباستخدام دالة الاشتقاق تلك، فإنه ينتج رموزًا رقمية جديدة كل 30 ثانية. ويمكنك أن تحسب من التسلسل، عفوًا، من الأسرار والوقت الحالي، الرمز الصحيح للوقت الحالي. السر نفسه موجود في رمز الاستجابة السريعة (QR code) الذي تعرضه الخدمة التي تحاول استخدامها في المرة الأولى. لذا عندما تذهب لاستخدام أحد

هذه الأجهزة، وهي جميعها متوافقة، سواء كنت تستخدم Google Authenticator أو Microsoft Authenticator أو Offi أو Duo أو أي من التطبيقات الأخرى، ومعظم مديري كلمات المرور لديهم أيضًا إحدى خدمات T-OTP هذه مدمجة. كل ما عليك فعله هو مسح رمز الاستجابة السريعة (QR code) من الموقع الإلكتروني أو الخدمة التي تحاول إضافة المصادقة الثنائية إليها. ويحتوي رمز الاستجابة السريعة هذا على سر. هذا السر عبارة عن سلسلة أبجدية رقمية تم إنشاؤها بعشوائية ومرتبطة بحساباتك. ويقوم الموقع الإلكتروني بإنشائها لك بعشوائية. ويعرضها على شكل رموز استجابة سريعة (QR codes). تقوم بمسحها باستخدام جهاز Google Authenticator الخاص بك، ويسجلها جهاز Google Authenticator كسر، ثم يبدأ في إنشاء رموز للوقت الحالي. ثم تقوم بإدخال أحد هذه الرموز في الموقع الإلكتروني. ويمكنه تأكيد أنك أدخلته بشكل صحيح من خلال التتبع والقول، نعم، هذا هو الرمز الذي كنت أتوقعه

في هذه النافذة الزمنية البالغة 30 ثانية. والآن قمت بإعداد المصادقة الثنائية. الصعوبة في هذه بالطبع هي النسخ الاحتياطي. وهناك عدد من الطرق التي يمكنك من خلالها إجراء النسخ الاحتياطي. إحدى الطرق التي يمكنك من خلالها إجراء النسخ الاحتياطي، وهي في الواقع ربما الطريقة الأكثر أمانًا للقيام بذلك بصراحة، هي النسخة المطبوعة ماديًا. لذا عندما يكون لديك رمز الاستجابة السريعة هذا على شاشتك، اضغط على طباعة. أقول نسخًا مطبوعة ماديًا، لأنك قد تميل إلى القيام بشيء آخر، وهو التقاط صورة له. وبالطبع، لكي تلتقط صورة له، ستستخدم هاتفك الذكي. المشكلة هي أن هذه الصورة سيتم تخزينها في السحابة. وعند هذه النقطة لم تعد موجودة فقط على الجهاز في Google Authenticator، في مصادق T-OTP. وعند هذه النقطة، لم يعد عاملًا ثانيًا آمنًا. إن إجراء نسخ احتياطية في

السحابة لأسرار المصادقة الثنائية الخاصة بك هو فكرة سيئة. من الأفضل في الواقع استخدام ميزة النسخ الاحتياطي التي قد يحتوي عليها برنامج المصادقة الثنائية، والتي تكون على الأقل مشفرة بكلمة مرور من اختيارك. أين تضع كلمة المرور هذه في مدير كلمات المرور الخاص بك؟ نحن ندور في حلقات مفرغة هنا كما ترى، وأحيانًا قد يصبح الأمر مربكًا. لذا اطبع رمز الاستجابة السريعة إذا كنت ترغب في عمل نسخة احتياطية أو لا تفعل ذلك مع معظم الخدمات، فإذا فقدت رمز المصادقة الثنائية أو التطبيق، يمكنك أن تطلب منهم إعادة تعيينه. وسيجعلونك تمر بالعديد من الإجراءات المعقدة، مثل حمل بطاقات الهوية والتقاط صور شخصية (سيلفي) والتأكيد من خلال آليات أخرى متعددة مثل رسائل البريد الإلكتروني والمكالمات الهاتفية وأشياء من هذا القبيل. العديد من هذه الخدمات ستعطيك أيضًا سلسلة من رموز النسخ الاحتياطي، وهي رموز رقمية محسوبة مسبقًا يمكنك إدخالها بدلاً من الرموز الديناميكية

التسلسل الهرمي للمصادقة الثنائية (1:26:44)

تم إنشاء رموز ثابتة. وهذه في حال فقدت جهاز المصادقة الخاص بك. وأين تخزن هذه الرموز؟ في مدير كلمات المرور الخاص بك هو المكان الذي تخزنها فيه. لذا فإن المصادقة الثنائية باستخدام تطبيق كلمة مرور لمرة واحدة تعتمد على الوقت هي آلية قوية وفعالة وبسيطة الاستخدام يمكنك إضافتها إلى جميع حساباتك اليوم. الآن دعونا نلقي نظرة على التسلسل الهرمي للأمان. مفتاح أمان المصادقة الثنائية العالمي، يعتمد على تشفير قوي جداً. إذا قمت بتسجيل العديد منها واحتفظت بها في مواقع آمنة، فمن الصعب جداً اختراقها. من السهل جداً عمل نسخة احتياطية منها، فهي شيء مادي. يمكنك عمل نسخة احتياطية منها عن طريق الاحتفاظ بشيء مادي آخر في الجوار. من المستحيل نسخها ومن المستحيل سرقتها دون أن تلاحظ ذلك. المستوى الثاني هو كلمات المرور لمرة واحدة التي تعتمد على الوقت والتي تستخدمها عن طريق مسح رمز الاستجابة السريعة (QR) وتطبيق مثل الذي ناقشه نيراج. إنها تمنحك رمزاً مكوناً من ستة أرقام

كل 30 ثانية. مرة أخرى، هذا يجعل هاتفك، وهو الشيء الذي تملكه، العامل الثاني، وهذه يصعب قليلاً عمل نسخة احتياطية لها. وإذا سُرق هاتفك، فقد يكون من السهل اختراقها. أحب وضع بصمة إصبع على تطبيق المصادقة الثنائية نفسه بحيث لا يمكنك رؤية الرموز الرقمية دون استخدام بصمات الأصابع. الآن، هذا في الأساس عامل ثالث يضاف إلى العامل الثاني، والذي يحميني في حال سرق شخص ما هاتفي وكان مفتوحاً في ذلك الوقت ويمكنه الدخول إلى تطبيق المصادقة الثنائية الخاص بي، لكنه لا يستطيع ذلك. وأخيراً، المستوى الأدنى هو المصادقة الثنائية عبر الرسائل النصية، وهي بالطبع غير آمنة إلا إذا لم يكن لديك خيار آخر، وفي هذه الحالة تكون أفضل من عدم وجود أي شيء. إذن هذه هي مستويات المصادقة الثنائية. دعونا نرى ما هي الأسئلة الأخرى التي لدينا بينما

آخذ استراحة قصيرة هنا. وسأقوم بتشغيل مقطع فيديو من داعميّ، يخبرك لماذا يجب عليك دعم عملي على الإنترنت. لذا ما نقوم به اليوم، وما أحاول دائماً القيام به هو تزويدك بمواد تعليمية عالية الجودة حول بيتكوين وسلاسل الكتل المفتوحة بطريقة محايدة دون رعاة، ودون تأييد، ودون الخضوع للمعلنين أو الارتهان لمصالح الشركات. لا أحد يدفع مقابل هذا غيرك. لذلك إذا كنت تحب هذا التعليم، أو إذا استفدت من هذا التعليم، أو حتى إذا كنت ترغب ببساطة في رد الجميل ومساعدة الآخرين في الحصول على هذا التعليم ومساعدتي وفريقي على الاستمرار في القيام بذلك والقيام به بشكل أفضل وعلى نطاق أوسع، فيرجى التفكير في دعمي من خلال عضوية YouTube أو الأفضل من ذلك اشتراك شهري كداعم. وعلى حد تعبير داعميّ، إليك السبب.

• أنا داعم لأندرياس لأنني صادفت مقاطع الفيديو الخاصة به على الإنترنت وهكذا تعرفت على بيتكوين. هكذا تم تقديمي إلى بيتكوين. - أنا بالخارج الليلة في حدث اجتماعي نظمه أندرياس، كجزء من دعم داعميه المدفوعين. تناولت للتو بعض المشروبات في وسط مدينة لندن، لذا فقد كانت أمسية ممتعة حقاً. التقيت بالكثير من الأشخاص ذوي التفكير المماثل. - يجب أن ندعم العمل الذي يقوم به أندرياس. إنه يبذل الكثير من الجهد في جذب أشخاص جدد إلى بيتكوين وإلى تعليم بيتكوين. - إنه معلم رائع. يمكنه شرح مواضيع معقدة للغاية بطريقة سهلة الفهم. إنه صادق جداً ودقيق جداً. يمكن أن يكون مستعداً وصادقاً فكرياً. أعتقد أن هذه هي أفضل ميزة لديه. - إنه يضفي وضوحاً كبيراً على موضوع معقد حقاً وهو بيتكوين والصناعة المحيطة به. - لقد

كان مصدر إلهام جيد جداً بالنسبة لي وكل بيتكوين أعطيه إياه، سيتم استخدامه بشكل جيد للغاية في مساعدتنا على فهم بيتكوين. وأعتقد أنه سيحسن العالم في مرحلة ما. - كوني داعماً، يمكنني مقابلة أندرياس ولهذا السبب أحب أن أكون داعماً وسأستمر في أن أكون داعماً. - أعتقد أنه مجرد شيء جيد. إذا كنت مهتماً بتعلم أشياء جديدة وترغب أيضاً في دعم مجتمع بيتكوين، فعليك أن تكون داعماً. - كونك داعماً يجعلك تشعر بالتميز. يمكنك حضور جلسات الأسئلة والأجوبة المباشرة الخاصة به. يمكنك مقابلته في اللقاءات الاجتماعية (happy hours). إنه رائع حقاً، ويستحق ذلك تماماً. أنا متحمس جداً جداً لكوني داعماً. - أود أن يكون قادراً على إنتاج محتواه الرائع والقيم في مستقبل خالٍ من الإعلانات ومجرد

أسئلة وأجوبة: نقل أرقام الهواتف وأمان التطبيقات (1:31:37)

بمساعدة داعميه. ولهذا السبب أدعمه على منصة باتريون. (موسيقى هادئة) - حسنًا، قبل أن ننتقل إلى السؤال التالي، لدي بعض المتابعات الرائعة في الدردشة. والتي نشرها منتج برنامجي مشكورًا من أجلي. أولًا، لدينا متابعة من لوسيا، هل يمكن نقل أي رقم هاتف إلى خدمة عملاء لا تعتمد على الأشخاص؟ يعتمد ذلك على البلد الذي تم تسجيلك فيه. تختلف القوانين بين الدول حول إمكانية النقل بين مزودي خدمات الاتصالات. ولكن بصراحة، معظم الدول الأوروبية وبالتأكيد أمريكا الشمالية، وأنا أعلم أن هذا هو الحال في الولايات المتحدة وكندا، تلزم شركات الاتصالات باحترام طلبات النقل. وهذا يعني أنه من خلال العملية الصحيحة، يمكنك نقل رقمك دون أن تفقده والانتقال إلى شركة اتصالات جديدة. وبعد ذلك يمكنك الانتقال إلى شركة اتصالات لا تعتمد على

خدمة العملاء، ولا تعتمد على الأشخاص. Google fi هي الخدمة التي سمعت عنها أكثر من غيرها في هذا الصدد. قد يكون هناك العديد منها، وغيرها من الخدمات الآمنة بالمثل ضد هجمات نقل الأرقام. أنا أميل إلى ذلك، على الرغم من أن له بعض المخاطر على الخصوصية لأسباب واضحة. السؤال الثاني يأتي من بن، ويقول بن كيف تعرف أن تطبيقك لا يسرب المفتاح السري. يا بن، لا يمكنك معرفة أن تطبيقك لا يسرب المفتاح السري. يمكنك فقط استخدام التطبيقات التي يستخدمها الكثير من الأشخاص في بيئة أمنية، والتي تمت مراجعتها وتدقيقها، وربما تكون مفتوحة المصدر وتم تدقيق كودها، والتي تم بناؤها بواسطة شركات موثوقة. شركات تأخذ الأمان على محمل الجد، ولديها سجل حافل طويل في عدم إفساد الأمور. هذا يتطلب الثقة في طرف مقابل. ومع ذلك، فإن كل ما تحدثت عنه تقريبًا يتطلب الثقة في طرف مقابل. إذن السؤال هو ما مقدار الثقة

التي تضعها في الطرف المقابل ومن هو هذا الطرف المقابل؟ وما هو البديل؟ وإذا كان البديل هو عدم استخدام تطبيق ومحاولة الاعتماد على الذاكرة، فإن البديل في الواقع أسوأ. وهذا هو التوازن الدقيق الذي يجب عليك تحقيقه في مجال الأمان. نشهد بشكل متزايد المزيد والمزيد من الشركات التي تحاول تنفيذ آليات مختلفة للمصادقة اللامركزية، والهوية اللامركزية، والتحقق اللامركزي، والتي تعد أكثر أمانًا. تقنية متعدد التوقيعات على بيتكوين أو إيثيريوم على سبيل المثال غالبًا ما تكون أساسًا لمثل هذه الخدمات. ولكن في الوقت الحالي، لا تزال هذه الخدمات غير ناضجة نسبيًا، وغير منتشرة على نطاق واسع، وليست مناسبة بعد لهذه الأنواع من الحلول. لذلك أنا متفائل جدًا بالمستقبل في هذا المجال. في غضون ذلك، السؤال الذي يجب أن تطرحه هو: أيهما أفضل، استخدام خدمة مركزية لها سجل حافل جيد أم عدم استخدام خدمة على الإطلاق، ومحاولة الاعتماد على

الذاكرة؟ ويمكنني الإجابة على ذلك بشكل قاطع بأنه من الأفضل استخدام مدير كلمات مرور من شركة موثوقة أو شركة لها سجل حافل جيد، بدلًا من عدم استخدام مدير كلمات مرور ومحاولة الاعتماد على ذاكرة قابلة للخطأ، وعشوائية قابلة للخطأ، وحلول افعلها بنفسك (DIY) التي قد تتجاوز كفاءتك الفنية. دعونا ننتقل إلى السؤال التالي. إنه من تريكسي: أندرياس، أحببت النظارات. أنا أيضًا. شكرًا لك تريكسي. باستخدام هذه النظارات، يمكنني بالفعل قراءة ما هو موجود على حاسوبي المحمول. هناك نوعان من البث المباشر الذي أقوم به. بعضها يكون عفويًا أكثر، ويعتمد أكثر على الأسئلة. لا أحتاج إلى قراءة الكثير مما يحدث على حاسوبي المحمول. لدي شاشة استوديو لطيفة هناك، وهي بعيدة بما يكفي لأتمكن من قراءتها مع ضعف بصري. وبعضها مثل بث اليوم يكون أكثر تعقيدًا قليلًا. أحتاج إلى القيام بالكثير

سؤال وجواب: تحويل رسائل البنك النصية إلى مصادقة أقوى (1:36:01)

من القراءة. لدي حاسوبي المحمول على الطاولة. ولذا أحتاج إلى هذه الأشياء. ولكن شكرًا لك، لقد استطردنا. بالعودة إلى صلب هذا السؤال. سأبدأ من جديد من أجل المحرر. تسأل تريكسي، هل هناك طريقة يمكنني من خلالها تحويل رسائل البنك النصية الغبية تلك إلى Authy أو شيء مشابه؟ نظام كلمة مرور لمرة واحدة مستند إلى الوقت. Authy هو أحد أنظمة T-OTP المستندة إلى الوقت، أي كلمات المرور لمرة واحدة المستندة إلى الوقت. لا يا تريكسي، لا يوجد. ما لم يكن لدى البنك الذي تتعاملين معه آلية تدعم شيئًا آخر غير الرسائل النصية، فلا يمكنك استخدام كلمة مرور لمرة واحدة مستندة إلى الوقت. الإجابة الصحيحة في هذه الحالة هي استخدام المراسلة النصية، ولكن مع تغيير مزود خدمة الهاتف الخاص بك إلى مزود يشترط آلية مصادقة قوية، مثل كلمة مرور لمرة واحدة مستندة إلى الوقت، أو الأفضل من ذلك، مصادقة ثنائية عالمية باستخدام مفتاح أمان أو حيث يمكنك تكوين تلك الخيارات. بحيث لا يمكن نقل رقمك لأن ذلك يتطلب مصادقة قوية. و

إذا كان يمكن نقل رقمك، فإن رسالة البنك النصية الخاصة بك ستكون أكثر أمانًا بكثير. لذا كان هذا سؤالًا رائعًا من تريكسي. دعونا نرى ما لدينا من أسئلة أخرى هنا. لا أرى الكثير من الأسئلة الأخرى، لذا، أوه، ها نحن ذا. أوه، يقوم المشرفون الآن بسحب الأسئلة بشكل محموم ووضعها في قائمة انتظار لي، حتى نتمكن من العثور على المزيد من الأسئلة. آمل أن تكونوا مستمتعين بجلسة اليوم. لذا دعوني أقوم بمراجعة سريعة لما تعلمناه حتى الآن. الأمان ليس مضمونًا بنسبة مائة بالمائة أبدًا، فالأمان يتعلق بإدارة المخاطر الواقعية ضمن كفاءتك الفنية باستخدام الحل الأبسط والأكثر تطبيقًا باستمرار الذي يمكنك العثور عليه، والذي يتم وضعه في طبقات مع حلول أخرى لتوفير سلسلة من الحواجز ضد أي مهاجم مصمم. إذا قمت بتطبيق الأمان بشكل صحيح، فستصبح مرتاحًا لهذه التدابير. يمكنك تطبيقها باستمرار، و

سيكون لديك ما يكفي من الطبقات التي تتناسب بعناية مع كل من مهاراتك وبيئة التهديد الخاصة بك لجعل الأمر بحيث لا يمتلك المهاجم الوقت، أو الموارد، أو الميزانية، أو الاهتمام، أو المكافأة، في الواقع لمهاجمتك. وبدلاً من ذلك يهاجمون شخصًا يمثل هدفًا أسهل، وهذا هو الأمان باختصار. لا يمكنك أن تكون مثاليًا في ذلك. في الواقع، أنت إنسان. لذا ستكون، بطبيعة الحال، غير مثالي. يجب أن تكون قادرًا على تنفيذه باستمرار وضمن مستوى مهارتك، مما يعني أنه يجب أن يكون بسيطًا بما يكفي. لا يمكن حله باستخدام أداة أو تقنية أو ممارسة أو إجراء واحد، لذا يجب عليك استخدام أدوات متعددة، وتقنيات متعددة، وإجراءات متعددة، متراكبة معًا، ويُفضل أن تكون آليات أمان متنوعة تتطلب مهارات مختلفة من المهاجمين وتحمي من التهديدات المختلفة بحيث يمكنك وضعها في طبقات وإنشاء نظام شامل. وحتى ذلك لن يوصلك

إلى أمان بنسبة مائة بالمائة، ولكن، كما تعلم، إذا قمت بذلك باستمرار، وإذا قمت بذلك عن عمد، وإذا قمت بتخصيصه جيدًا، بما يتناسب مع احتياجات التهديد الخاصة بك ومستوى مهاراتك، يمكنك الانضمام إلى مجموعة النخبة من الأشخاص الذين يمكنهم القول بصدق، لم أتعرض للاختراق منذ سنوات. هذا أفضل ما يمكنك فعله، ولكنه عادة ما يكون جيدًا جدًا. ويرفعك إلى مستوى أعلى بكثير من الكثير من الأشخاص الآخرين. يسأل مجهول، هل يمكنك مشاركة أي مخاوف أو اقتراحات حول مديري كلمات المرور لشخص لم يتسن له بعد المقارنة أو التعلم عن كثب أو تجربة أي منها. لقد استخدمت العديد من مديري كلمات المرور المختلفين على مر السنين، وهناك بعض البرامج الشائعة الاستخدام جدًا والتي ليست المفضلة لدي. والتي أستخدمها على مضض من وقت لآخر أو طوال الوقت، اعتمادًا على الجهاز الذي أستخدمه. هناك بعض البرامج التي تراجعت

أو فقدت شعبيتها. وهناك بعض البرامج الجديدة التي تكتسب أهمية. لا يمكنني حقًا إخبارك بما سيكون مناسبًا لك. يمكنني أن أخبرك أن النظامين الأكثر شيوعًا على الأرجح هما نظام يسمى LastPass ونظام يسمى 1Password، رقم واحد، متبوعًا بكلمة password، كلها كلمة واحدة. من المحتمل أن يكون 1Password و LastPass هما الأكثر شهرة. وبخلاف ذلك، هناك عدد من الأنظمة الأخرى المتاحة بقدرات ومميزات متفاوتة. أحد الأنظمة الأحدث قليلاً التي أنظر إليها باهتمام هو Bitwarden، لأن هذا نظام مفتوح المصدر متعدد المنصات ومصمم بشكل جيد للغاية. ولكن في نهاية المطاف، وكما قدمت نفس النصيحة للشركات المصنعة للمحافظ العتادية، على سبيل المثال، سأقدم لك نفس النصيحة لمديري كلمات المرور لدينا. الاختلافات بين، لنقل، أفضل ثلاثة أو أربعة،

أسئلة وأجوبة: مقارنة برامج إدارة كلمات المرور (1:41:43)

خمس شركات في هذا المجال حيث المنتجات فيها اختلافات صغيرة، صغيرة جداً. جميعها جيدة جداً. جميعها آمنة جداً. جميعها متسقة جداً. الفرق بين استخدام أحد أفضل أربعة أو خمسة برامج لإدارة كلمات المرور وعدم وجود برنامج لإدارة كلمات المرور على الإطلاق، أو محاولة الاعتماد على ذاكرتك أو محاولة بناء حلك الخاص هو فرق شاسع. لذا فإن السؤال ليس، أي من هذه البرامج يجب أن أستخدم؟ بل هل يجب أن أستخدم واحداً، والإجابة هي نعم، ولا تضيع الكثير من الوقت. إحدى الطرق للتفكير في الأمر هي ماذا يستخدم الأشخاص الآخرون في عائلتك؟ حتى تتمكن من مشاركة كلمات المرور معهم بسهولة. معظم هذه الأشياء عبارة عن أنظمة بيئية مغلقة. لذا إذا كان كل فرد في عائلتك لديه bit warden، فمن الأفضل أن تستخدم bit warden. إذا كانت شركتك أو صاحب العمل يستخدم واحداً، فمن المحتمل أنك

من الأفضل أن تستخدم نفس البرنامج لأغراضك الشخصية طالما يمكنك الاحتفاظ بحسابين منفصلين، فقط حتى لا تضطر إلى تشغيل الكثير من التطبيقات ومواجهة الكثير من التعقيد. مرة أخرى، اجعل الأمر بسيطاً. السؤال الوحيد الذي يجب أن تطرحه هو ما مدى سرعة تشغيل أحد هذه البرامج ثم تأمينه بشكل صحيح، ثم البدء في تغيير جميع كلمات المرور على جميع مواقع الويب، بدءاً بالأهم أولاً. يسأل مجهول هل الإعداد الأولي لتطبيق Google Authenticator، وتنفيذ مفتاح متماثل، على عكس بيتكوين، الذي يستخدم تشفير غير متماثل. نعم، هو كذلك. ولا أعرف ما هو معيار T-OTP لأنني لم أطلع عليه من قبل. قد لا يكون حتى تشفير متماثل. قد تكون خوارزمية تمديد كلمة المرور. في الواقع، من المحتمل أن يكون نوعاً من التسلسل الذي يعتمد على

الاشتقاق باستخدام عمليات التجزئة. ولكنني لا أعرف، لم أبحث في الأمر. إنه ليس غير متماثل، يمكنني أن أؤكد لك ذلك. لذا فهو ليس نظام مفتاح خاص وعام. ما هو التشفير المتماثل؟ وما هو التشفير غير المتماثل؟ هذا سؤال آخر طُرح في الدردشة. التشفير غير المتماثل هو عندما يكون هناك مفتاحان في زوج ونطلق عليهما مفتاح خاص ومفتاح عام، وأي شيء يتم تشفيره بواسطة أحدهما لا يمكن فك تشفيره إلا بواسطة الآخر والعكس صحيح. لذا إذا قمت بتشفير شيء ما باستخدام مفتاحك الخاص، فلا يمكن فك تشفيره إلا باستخدام مفتاحك الخاص، أقصد مفتاحك العام. وإذا قمت بتشفير شيء ما باستخدام مفتاح عام، فإن الشخص الذي يمتلك المفتاح الخاص فقط هو من يمكنه فك تشفيره. ويُستخدم الجمع بين هذه التقنيات للتوقيعات الرقمية. ويُستخدم لتشفير وفك تشفير البيانات بين مستلمين اثنين. ومع ذلك، ما يعنيه هذا هو

أنه إذا كنت تريد فك تشفير شيء لي، فأنت بحاجة إلى مفتاحي العام. إذا قمت بتشفيره باستخدام مفتاحي العام، وهو عام ويسهل مشاركته، فأنا فقط من يمكنني فك تشفيره. إذا كنت ترغب في تشفيره للعديد من الأشخاص، فأنت بحاجة إلى جميع مفاتيحهم العامة وتحتاج إلى تشفيره بشكل منفصل لجميع مفاتيحهم العامة. التشفير المتماثل هو حيث يكون لديك مفتاح واحد للتشفير وفك التشفير معاً. وفي الواقع، حتى السبعينيات كان التشفير المتماثل هو آلية التشفير الوحيدة. لم يُخترع التشفير غير المتماثل، على ما أعتقد إن لم أكن مخطئاً، حتى السبعينيات. إذن هذا هو الفرق بين التشفير المتماثل وغير المتماثل. دعني أرى، أعتقد أن لدي سؤالاً آخر هنا. سؤال متابعة آخر من كارلوس. متى سنستخدم توقيعات بيتكوين للمصادقة؟ يمكنك استخدام توقيعات بيتكوين للمصادقة اليوم. المشكلة هي أنه يجب عليك أن تكون

حذراً في كيفية هيكلتها وفهم ما تثبته بالضبط. يثبت توقيع بيتكوين، وبشكل عام استخدام التوقيعات الرقمية للمصادقة، مجموعة محددة وضيقة جداً من الأشياء. لذا لنفترض أنك طلبت مني توقيع رسالة باستخدام مفتاح بيتكوين الخاص بي وإنتاج توقيع، ثم مشاركة ذلك مع العالم. حسناً، إليك بعض الأشياء التي أثبتها. أثبت أنه في الوقت الذي تم فيه إنشاء التوقيع، كنت أمتلك المفتاح الخاص. بالطبع، هذا لا يعني أنني لم أنتج ذلك التوقيع منذ سنوات في الماضي. أنت لا تعرف متى تم إنتاج التوقيع. الشيء الآخر هو أنه من أجل استخدام ذلك في مخطط قابل للتطبيق، يحتاج الشخص الذي يطلب التوقيع إلى القيام بما يسمى الاستجابة للتحدي. لا يمكنني فقط أن أقول وقّع على شيء ما، لأنني إذا حصلت على

سؤال وجواب: توقيعات بيتكوين للمصادقة (1:47:01)

لاختيار الرسالة، يمكنني ببساطة اختيار رسالة وقعها شخص آخر منذ فترة طويلة في الماضي، وتقديم التوقيع الذي طبقه وإخبارك أنني فعلت ذلك للتو. وليس لديك أي طريقة لمعرفة ما إذا كان ذلك صحيحًا أم لا. لذا بدلاً من ذلك في هذا السيناريو، تحتاج إلى استجابة التحدي. لذا ما سأقوله هو من فضلك يا CarlosM، قم بتوقيع رسالة تقول، أنا CarlosM في الخامس من ديسمبر، هل اليوم هو الخامس؟ لا أعرف حتى، في الخامس من ديسمبر 2020، أمتلك مفتاحي الخاص. وأنا أوقع هذه الرسالة بناءً على طلب أندرياس. هل تفهم ما أقوله هنا؟ ما يفعله هذا هو أنه يربطها بوقت محدد. لن تعرف ما هي الرسالة حتى أطلب منك توقيع رسالة معينة. أنت تربطها بنشاط معين. لقد طلبت

منك وضع معلومات حول الوقت الذي وقعتها فيه وهوية المُوقّع هناك. هذا يجعل الأمر أصعب بكثير، ولكن مع ذلك، لا أعرف ما إذا كان كارلوس قد وقع هذا. أجرينا محادثة مماثلة عندما تحدثنا عن التوقيع باستخدام المحافظ من أجل إثبات أنك تمتلك عنوانًا لقواعد السفر الجديدة التي يتم اقتراحها في الولايات المتحدة والتي تم تنفيذها بالفعل في الاتحاد الأوروبي. وبالطبع، إذا أراد كارلوس إثبات أنه يمتلك عنوانًا وأعطيته رسالة من هذا القبيل، فكل ما كان عليه فعله هو إعطاء تلك الرسالة إلى جيمي، وجعل جيمي يوقعها قائلاً، هذا كارلوس، ثم يعيدها إلى كارلوس، ويعطيها كارلوس لي، وأعتقد أن هذا يثبت أن كارلوس لديه المفتاح الخاص بينما في الواقع جيمي هو من يمتلكه وهما يعملان معًا. لذا فإن هذا معقد. إنه

ليس بسيطًا كما يبدو للوهلة الأولى. حسنًا، دعنا نرى. سأجيب ربما على سؤال واحد آخر. أوه، هذا سؤال جيد. لقد أعجبني هذا حقًا. هذا سؤال من جيف. يسأل جيف تيزوس، ماذا عن كلمات المرور التي تحتاج إلى إدخالها يدويًا باستخدام جهاز التحكم عن بُعد على التلفزيون أو ما شابه ذلك مثل Amazon أو Netflix. كم يجب أن تكون طويلة وصعبة؟ جيف، لقد عانيت من هذا. ولدي إجابتي على هذا، والتي سأعطيك إياها في غضون ثانية واحدة. الآن، تخيل السيناريو الذي يتحدث عنه جيف، لقد استخدمت مدير كلمات المرور الخاص بك لإنشاء مفتاح أبجدي رقمي فريد مكون من 32 حرفًا مع رموز لحساب Netflix الخاص بك. الآن عليك إدخاله على لوحة مفاتيح تلفزيون Roku الذكي، حيث يجب إدخال كل حرف عن طريق تحريك المؤشر الصغير إلى الحرف الصحيح على لوحة المفاتيح، والضغط على إدخال،

ثم العودة والنزول إلى زر الحروف الكبيرة (caps lock) وتشغيله والتحرك لأعلى والذهاب إلى الحرف الكبير ثم إيقاف تشغيل زر الحروف الكبيرة ثم الانتقال إلى الرمز والتبديل إلى لوحة المفاتيح الرقمية. يا إلهي، سيستغرق الأمر ساعات، ساعات. ولذا نعم، في تلك الحالات، نفس الشيء الذي سأقوله في الحالات التي لا يكون فيها أمانك بالغ الأهمية، تحتاج إلى القيام بشيء حيث تضطر غالبًا إلى مشاركة هذا المفتاح مع أشخاص آخرين. مثال جيد سيكون كلمة مرور شبكة wifi الخاصة بك، أليس كذلك؟ لذا في تلك الحالات، ما سأفعله هو استخدام كلمة مرور رقمية أو أبجدية بسيطة. كلها من فئة واحدة من الأحرف وجعلها أطول قليلاً. لذا لا يهمني إذا اخترق شخص ما حساب Netflix الخاص بي ولاحظ أنني أشاهد مسلسل Queen's Gambit. بالطبع، أنا أشاهد Queen's Gambit. الجميع

يشاهد Queen's Gambit. إنه أسبوع Queen's Gambit. لا يهم حقًا بالنسبة لي، على الرغم من وجود بعض الاعتبارات الأمنية، مثل القدرة على معرفة مكاني عندما أشاهد ذلك. لذا ما زلت بحاجة إلى كلمة مرور. لكن لا يجب أن تكون طويلة جدًا لأنه من غير المحتمل أن يحاول شخص ما اختراقها. المشكلة الحقيقية هي هل تذكرت إعادة ضبط تلفزيون Roku عندما غادرت Airbnb. أها. هذا سؤال جيد. إذن ماذا أفعل؟ عادةً ما أختار كلمة مرور رقمية أو كلمة مرور أبجدية أو بأحرف صغيرة وأقوم بتجميعها في مجموعات. لذا فإن الطريقة الكلاسيكية التي سأفعلها هي 12 رقمًا مفصولة بعلامات ناقص أو واصلة. هذا يعني أنني سأقوم بعمل ثلاث مجموعات من أربعة أو أربع مجموعات من ثلاثة أرقام. لذا ستكون كلمة المرور الخاصة بي شيئًا مثل تسعة ثلاثة سبعة شرطة ثلاثة واحد اثنان شرطة ثلاثة

أسئلة وأجوبة: كلمات المرور لأجهزة التحكم عن بعد للتلفزيون والأجهزة منخفضة الأمان (1:52:10)

ثلاثة واحد شرطة أربعة واحد خمسة. أنا فقط أختار أرقامًا بشكل عشوائي في هذه المرحلة. عشوائية ليست جيدة جدًا بالمناسبة. سأستخدم مُنشئ أرقام عشوائية في مدير كلمات المرور الخاص بي. سأطلب منه أن يعطيني أرقامًا فقط وأن يجعل طولها 12. وبعد ذلك سأكتبها مع شرطات بينها مجمعة في مجموعات لطيفة من أربعة، لأنه من الأسهل بالنسبة لي قراءتها من الشاشة وكتابتها على لوحة المفاتيح. وعادة ما تكون الأرقام والشرطة على نفس لوحة المفاتيح وتكون على مسافة قصيرة جدًا، لذا يمكنني القيام بذلك بسرعة أو حتى أفضل، تتيح لك العديد من أجهزة التحكم عن بعد استخدام الجزء الرقمي من لوحة المفاتيح، والذي كان مخصصًا لـ... في الأيام الخوالي، كان لدينا قنوات على تلفزيوننا وتم اختيار تلك القنوات بواسطة رقم القناة الرقمي. أعلم أنها تقنية مذهلة.

لذا فإن العديد من أجهزة التحكم عن بعد تحتوي على لوحة مفاتيح رقمية. وهذا مرة أخرى يجعل كتابة عبارة المرور أسهل بكثير. شكرًا لك يا جيف. لقد كان هذا سؤالًا رائعًا. وسؤال عملي جدًا حول الموازنة بين الأمان. هل تريد حقًا، حقًا أن تمر بكل هذا العناء لحماية حساب ليس بهذا القدر من الأمان وحيث يكمن الخطر الأكبر في أن تنسى مسح أو إعادة تعيين كلمة المرور هذه عندما تغادر Airbnb وتتركها ليجدها أشخاص آخرون، وفي هذه المرحلة، قد يكون الأمر صعبًا بعض الشيء. سؤال مشابه من جيف. عفوًا. أوه لا، إنه ليس جيف. آسف، ثانية واحدة. ها نحن ذا. هل نجح ذلك؟ هناك بعض التأخير في تطبيقاتي اليوم. ما مدى أمان استخدام رمز PIN المكون من أربعة أرقام فقط، مثل ذلك المستخدم في جميع البطاقات المصرفية على سبيل المثال، يسأل مايك. مايك، هذا يعتمد، إنه

يعتمد على المكان الذي يمكنك كتابة رمز PIN فيه. لذا فإن السبب في أن رمز PIN المكون من أربعة أرقام آمن على البطاقات المصرفية، هو أنه لا يُسمح لك بكتابته إلا في جهاز أمان، مثل لوحة إدخال رمز PIN أو جهاز الصراف الآلي (ATM). تم تصميم هذه الأجهزة لمنعك من المحاولة أكثر من عدد معين من المرات. وإذا كانت أجهزة خاضعة للإشراف، مما يعني أنك في محطة الوقود، أو عند شباك الدفع في سوبر ماركت، أو أيًا كان، فهناك شخص يقف هناك وستقوم بالكتابة أكثر من بضع مرات. يمكنهم رؤيتك تفعل ذلك وسيتصلون بالأمن، إذا حاولت كتابة 4,000 مجموعة مختلفة. وعندما يكون جهازًا غير خاضع للإشراف حيث يمكنك الجلوس هناك والمحاولة لساعات وساعات في جميع المجموعات الممكنة، فإنه سيقفل بالفعل ويبتلع بطاقتك كما تعلم، مع أجهزة الصراف الآلي. لذا

إذا كتبته بشكل خاطئ أربع مرات، أو ست مرات، أو ثلاث مرات، اعتمادًا على سياسة البنك، فسوف يبتلع بطاقتي ولن يمنحني فرصة أخرى للمحاولة. لذا فالأمر لا يقتصر على رمز PIN فحسب، بل يتعلق بسياق كيفية استخدام رمز PIN هذا. أين يتم إدخاله، وكم عدد المرات التي يمكنك المحاولة فيها وماذا يحدث إذا فشلت في آليات الأمان متعددة الطبقات هذه. لذا نعم، يعد رمز PIN المكون من أربعة أرقام آمنًا بدرجة كافية في سياق أجهزة الوصول الخاضعة للرقابة مثل أجهزة الصراف الآلي ولوحات إدخال رمز PIN، حيث توجد طبقات إضافية من الأمان مثل ابتلاع بطاقتك إذا كتبته بشكل خاطئ، أو عدم السماح لك بالمحاولة مرات عديدة. أعتقد أن هذا جيد. لقد غطينا الكثير من المواضيع. شكرًا جزيلاً لكم على كل هذه الأسئلة الرائعة. شكرًا لترك تعليقات جيدة حقًا. أخبرني بما أعجبك في

هذه الجلسة بالذات. كانت مختلفة قليلاً عن الجلسات الأخرى التي قمنا بها. أخبرني بما تود معرفته أيضًا لمساعدتك في هذه الرحلة مع بيتكوين وسلاسل الكتل (Blockchains) المفتوحة. ولا تنسَ، لدينا عدد من هذه الجلسات القادمة. دعني أريك أحداثنا القادمة وهي، محادثات العطلات المحرجة، محادثات العطلات المحرجة. هذا هو الحدث التالي القادم. سأقوم بتسليحك بالإجابات الصحيحة وأيضًا بقصص مرحة من أشخاص آخرين يشاركون حاليًا في التعليقات على باتريون (Patreon) ومنصات أخرى، محادثات عطلاتهم العائلية المحرجة. معظمها حول بيتكوين وسلاسل الكتل المفتوحة، وأحيانًا حول مواضيع تجعلها أكثر إحراجًا بكثير والتي لن نغطيها في البث المباشر. ثم لدينا جلسة الأسئلة والأجوبة المفتوحة لشهر ديسمبر، حيث يمكنك طرح أي سؤال وقد أختار الإجابة عليه. و

الختام (1:57:25)

ثم أخيرًا لدينا حدث Extravaganza لعام 2021. لذا، لمعرفة موعد إقامة هذه الأحداث والتعرف عليها، يرجى الاشتراك في قناتي. قم بتفعيل الإشعارات من خلال الضغط على أيقونة الجرس، وبهذه الطريقة ستكون أول من يعلم بهذه الأحداث الجديدة. شكرًا لانضمامكم إليّ اليوم، كان لدينا أكثر من 300 شخص على القناة في البث المباشر اليوم والذين انضموا إلينا في هذا العرض التقديمي الذي استمر قرابة الساعتين، ولكن كان لدينا الكثير لنغطيه. الآن، وأنا أقوم بذلك، ربما لاحظتم أن لدي مجموعة من الكتب الملونة بشكل رائع بألوان مختلفة. وحسنًا، ستحتاجون إلى النسخة المطبوعة منها للاستمتاع بالألوان، ولكن يمكنكم في الواقع قراءة المحتوى ككتاب إلكتروني. ويمكنكم الحصول على هذا الكتاب الإلكتروني من متجري antonov.com/shop. يمكنكم أيضًا الحصول على أكواب مثل هذا الكوب. و

بالمناسبة، هذه الأكواب رائعة حقًا. إنها كبيرة وثقيلة. وتحتفظ بالحرارة. ومن الصعب جدًا كسرها. أعلم ذلك لأنني حاولت. لقد أسقطتها عدة مرات وهي تتسع للكثير من القهوة، والتي سنحتاجها جميعًا لتجاوز تلك المحادثات المحرجة في العطلات. لذا، حتى يوم الاثنين، ولمدة اليومين القادمين، لدينا تخفيضات العطلة، والتي تمنحكم خصمًا بنسبة 20% على جميع المنتجات. من الأشياء التي يمكنكم شراؤها أيضًا ورشة عمل "اختر عملتك المشفرة". وينطبق خصم 20% على ذلك أيضًا. تخفيضات عطلة 2020 متاحة في المتجر، اذهبوا إلى الصفحة الرئيسية للمتجر للعثور على قسيمة الخصم antonov.com/shop. لا تنسوا ترك تعليقاتكم بالأسفل على هذا الفيديو. شكرًا جزيلاً على المشاهدة. أتمنى لكم عطلة نهاية أسبوع رائعة. وداعًا للجميع.