المصادقة في أمنية المعلومات

1. ‫الثالثة‬ ‫المحاضرة‬
‫و‬
‫الرابعة‬
:
(
Lecture 3,4
)
‫ا‬
‫لمصـــــــــــادقة‬
(
Authentication
)

2. ‫محترفي‬
‫األمنية‬
(
Security professionals
)
‫لديهم‬
‫أدوات‬
‫يستخدمونها‬
‫بشكل‬
‫متكرر‬
‫وهذه‬
‫األدوات‬
‫هي‬
:
•
‫المصادقة‬
(
(Authentication
•
‫السيطرة‬
‫على‬
‫الوصول‬
(
Access control
)
•
‫التشفير‬
(
Cryptography
)

3. 
‫غالبا‬
‫فإن‬
‫السيطرة‬
‫على‬
‫الهجمات‬
‫واالختراقات‬
‫تتضمن‬
‫سياسة‬
‫يثب‬
‫تها‬
‫مالك‬
‫النظام‬
 A system owner establishes a security policy
that Includes:

‫والتي‬
‫تحدد‬
‫مايلي‬
:
-

‫من‬
‫األشخاص‬
‫الذين‬
‫يمكنهم‬
‫الوصول‬
who (which subjects)
can access )

‫ماهي‬
‫او‬
‫أي‬
‫من‬
‫الكائنات‬
‫يمكن‬
‫الوصول‬
‫إليها‬
(
what (which
objects)
)

‫كيف‬
‫وماهي‬
‫طريقة‬
‫الوصول‬
‫إلى‬
‫الكائنات‬
(
how (by which
means).
)

4. 
‫فإننا‬ ‫صحيحة‬ ‫بصورة‬ ‫األمنية‬ ‫سياسات‬ ‫على‬ ‫للتأكيد‬
:
To enforce security policies properly

‫لتحديد‬ ‫طرقا‬ ‫نحتاج‬
‫مابعد‬
‫دق‬ ‫تكون‬ ‫األشخاص‬ ‫هوية‬ ‫أن‬ ‫بحيث‬ ‫المنطقي‬ ‫الشك‬
‫يقة‬

we need ways to determine beyond a reasonable
doubt that a subject’s identity is accurate.

ِ ‫المصادقة‬ ‫تدعى‬ ‫الدقيقة‬ ‫المطابقة‬ ‫خاصية‬
Authentication)
)
 The property of accurate identification is called
authentication

‫من‬ ‫بمجموعة‬ ‫المصادقة‬ ‫وتتمثل‬ ‫األمنية‬ ‫لمحترفي‬ ‫حرص‬ ‫أداة‬ ‫هي‬ ‫والمصادقة‬
‫والتقنيات‬ ‫الطرق‬

The first critical tool for security professionals is
authentication and its techniques and technologies

5. 
‫فإن‬ ‫األمنية‬ ‫سياسات‬ ‫نطبق‬ ‫عندما‬
:

‫يك‬ ‫عندما‬ ‫معين‬ ‫بنمط‬ ‫معين‬ ‫شيء‬ ‫إلى‬ ‫بالوصول‬ ‫له‬ ‫المسموح‬ ‫الشخص‬
‫ون‬
‫بذلك‬ ‫أولى‬
,
‫مالم‬
‫مقبول‬ ‫غير‬ ‫فإنه‬
.
A subject is allowed to access an object in a
particular mode but, unless authorized,

‫الكائن‬ ‫هذا‬ ‫إلى‬ ‫الوصول‬ ‫لهم‬ ‫يسمح‬ ‫ال‬ ‫اآلخرين‬ ‫األشخاص‬ ‫كل‬
.
 all other subjects are not allowed to access the
object

‫لوجه‬ ‫وجها‬ ‫التفاعالت‬ ‫من‬ ‫بعدد‬ ‫تبدل‬ ‫الحواسيب‬
Computers have replaced many face-to-face
interactions with electronic ones;

6. 
‫له‬ ‫المخول‬ ‫غير‬ ‫عن‬ ‫لهم‬ ‫المخول‬ ‫لفصل‬ ‫أو‬ ‫لعزل‬ ‫آلليات‬ ‫يحتاجون‬ ‫األشخاص‬
‫م‬
 people need other mechanisms to separate
authorized from unauthorized parties

‫يسمح‬ ‫األشخاص‬ ‫فبعض‬ ‫الوصول‬ ‫على‬ ‫السيطرة‬ ‫هي‬ ‫الحاسوب‬ ‫أمنية‬ ‫أساس‬
‫لهم‬
‫األشياء‬ ‫بعض‬ ‫على‬ ‫إجراء‬ ‫بعمل‬
.
someone is authorized to take some action on
something

‫الش‬ ‫من‬ ‫تحديد‬ ‫يتم‬ ‫وعليه‬ ‫اآلخرين‬ ‫لتمييز‬ ‫بيانات‬ ‫على‬ ‫الحاسوب‬ ‫يعتمد‬
‫الذي‬ ‫خص‬
‫مخول‬ ‫فعليا‬ ‫هو‬
.
Computers depend on data to recognize others

‫منفصلتين‬ ‫خطوتين‬ ‫من‬ ‫األشخاص‬ ‫تمييز‬ ‫عملية‬ ‫تتكون‬
:

‫المطابقة‬
(
Identification
)

‫المصادقة‬
Authentication)
:)
‫الشخص‬ ‫لهذا‬ ‫ومطابقة‬ ‫تأكيد‬ ‫عمل‬
‫األمنية‬ ‫سياسات‬ ‫تطبيق‬
(
Applying the Security Polices
)

7. 
‫التالية‬ ‫الكيانات‬ ‫األمنية‬ ‫تتضمن‬
:

‫أشخاص‬
(
People
)

‫حاسوبية‬ ‫عمليات‬
(
Computer processes
)

‫بالشبكة‬ ‫ارتباطات‬
(
network connections
)
‫أجهزة‬ ‫و‬
(
devices
)

‫مشابهة‬ ‫كيانات‬
(
similar active entities
)

‫مواضيع‬ ‫تسمى‬ ‫الكيانات‬ ‫هذه‬
(
subjects
)

‫متعارضين‬ ‫يكونا‬ ‫الغالب‬ ‫في‬ ‫والمصادقة‬ ‫المطابقة‬ ‫مفهومي‬
-
‫محمية‬ ‫ليست‬ ‫ولكن‬ ‫وعامة‬ ‫جيد‬ ‫بشكل‬ ‫معروفة‬ ‫تكون‬ ‫مثال‬ ‫األسماء‬
-
‫محمية‬ ‫األسماء‬ ‫هذه‬ ‫تكون‬ ‫أن‬ ‫الضروري‬ ‫من‬ ‫المصادقة‬

‫المعرفات‬
(
Identifiers
)
‫واسع‬ ‫بشكل‬ ‫معروفة‬ ‫تكون‬ ‫ربما‬
‫أوسهلة‬
‫التحديد‬
.

8. 
‫المصادقة‬
‫يجب‬
‫أن‬
‫تكون‬
‫موثوقة‬
‫فإذا‬
‫كانت‬
‫المطابقة‬
‫تؤكد‬
‫أنك‬
‫الشخ‬
‫ص‬
‫المعني‬
‫وعليه‬
‫فإن‬
‫المصادقة‬
‫هي‬
‫إثبات‬
‫أن‬
‫الهوية‬
‫مؤكدة‬
.
 If identification asserts your identity,
 authentication confirms that you are who you purport

‫المصادقة‬
‫يجب‬
‫أن‬
‫تكون‬
‫خاصة‬
(
private
)
‫فإذا‬
‫كانت‬
‫عملية‬
‫المصادقة‬
‫ليست‬
‫قوية‬
‫بما‬
‫فيه‬
‫الكفاية‬
‫فإنها‬
‫سوف‬
‫لن‬
‫تكون‬
‫مأمونة‬
.
 Authentication should be private;
 if the authentication process is not strong enough, it
will not be secure.

9. 
‫تمثل‬
‫أي‬
‫ثالث‬
‫وسائل‬
‫كفؤة‬
‫تستخدم‬
‫لتأكيد‬
‫هوية‬
‫المستخدم‬
.
‫في‬
‫بعض‬
‫ا‬
‫ألشياء‬
‫يعرفها‬
‫المستخدم‬
‫مثل‬
:
‫كلمات‬
‫المرور‬
,
‫رقم‬
PIN
,
‫المصافحة‬
‫السرية‬
,
‫اسم‬
‫األم‬
‫األوسط‬
‫و‬
‫غيرها‬
.

‫بعض‬
‫األشياء‬
‫يكون‬
‫المستخدم‬
‫من‬
‫األشخاص‬
‫الموثوقون‬
(
authenticators
)
‫من‬
‫خالل‬
‫مقاييس‬
‫تدعي‬
‫بالمقاييس‬
‫الحيوية‬
(
biometrics
)
‫وهذه‬
‫المقاييس‬
‫تعتمد‬
‫على‬
‫خصائص‬
‫فيزيائية‬
‫للمستخدمين‬
‫مثل‬
‫بصمة‬
‫األصبع‬
(
fingerprint
)
‫ونمط‬
‫الصوت‬
‫أو‬
‫الوجه‬
(
the pattern of a person’s voice
)
‫و‬
‫بصمة‬
‫العين‬
(
Eye Print
)
‫و‬
‫غيرها‬
.

‫وطرق‬
‫المصادقة‬
‫هذه‬
‫قديمة‬
‫لكنها‬
‫بدأت‬
‫بأن‬
‫تكون‬
‫مستخدمه‬
‫في‬
‫المصادقة‬
‫المع‬
‫تمدة‬
‫على‬
‫الحاسوب‬
.
 .
‫المصادقة‬ ‫آليات‬
(
Authentication mechanisms
)

10. 
-
‫هوية‬
‫انتساب‬
(
Identity badge
)

-
‫مفاتيح‬
‫فيزيائية‬
(
physical keys
)

-
‫رخصة‬
‫قيادة‬
(
a driver’s license
)

‫أو‬
‫أشياء‬
‫رسمية‬
‫شائعة‬
‫االستخدام‬
‫مثل‬
‫التي‬
‫تجعل‬
‫األشخاص‬
‫من‬
‫السه‬
‫ل‬
‫تمييزهم‬

‫نموذج‬
‫أو‬
‫أكثر‬
‫يمكن‬
‫ربطهم‬
‫مع‬
‫بعض‬
‫مثل‬
‫كرت‬
‫البنك‬
(
bank card
)
‫ورقم‬
PIN
‫فالشخص‬
‫لديه‬
‫كرت‬
‫البنك‬
‫مع‬
‫بعض‬
‫األشياء‬
‫التي‬
‫تجعل‬
‫ه‬
‫يعرف‬
‫رقم‬
PIN
.

.

11. 
‫سرقتها‬ ‫يمكن‬ ‫ال‬
(
cannot be stolen,
)

‫نسيانها‬ ‫يمكن‬ ‫ال‬
(
cannot be forgotten,
)

‫فقدانها‬ ‫يمكن‬ ‫ال‬
(
cannot be lost,

‫مشاركتها‬ ‫يمكن‬ ‫ال‬
(
cannot be shared,
)

‫متاحة‬ ‫دائما‬ ‫تكون‬
(
is always available
)

‫تزويرها‬ ‫صعوبة‬
(
impossible to forge
)

12. FIGURE 2-3: Hand Vein Reader (Permission
for image provided courtesy of Fujitsu
Frontech)
FIGURE 2-2: Hand Geometry Reader
(Graeme Dawes/Shutterstock)

13. 
‫تكون‬
‫حديثة‬
‫نسبيا‬
(
Biometrics are relatively new
)
‫ويمكن‬
‫لبعض‬
‫األشخاص‬
‫التطفل‬
‫عليها‬

‫أجهزة‬
‫تمييز‬
‫هذه‬
‫المقاييس‬
‫غالية‬
(
cost per device should go down
)

‫قارىء‬
‫المقاييس‬
‫الحيوية‬
‫و‬
‫المقارنات‬
‫يمكن‬
‫أن‬
‫يصبح‬
‫نقطة‬
‫بسيطة‬
‫للفشل‬
Biometric readers and comparisons can become a single
point of failure

‫كل‬
‫أجهزة‬
‫قراءة‬
‫المقاييس‬
‫الحيوية‬
‫تستخدم‬
‫عينات‬
‫و‬
‫تثبت‬
‫بداية‬
‫لقبول‬
‫مطابق‬
‫ة‬
‫متقاربة‬
(
All biometric readers use sampling and establish a
threshold for acceptance of a close match,

‫السرعة‬
‫في‬
‫أي‬
‫من‬
‫التمييز‬
‫يجب‬
‫فعله‬
‫محدود‬
‫الدقة‬
 (The speed at which a recognition must be done limits
accuracy)

14. 
‫بالرغم‬
‫من‬
‫دقة‬
‫أجهزة‬
‫المقاييس‬
‫و‬
‫تحسنها‬
‫إال‬
‫أن‬
‫القراءة‬
‫الخاطئة‬
‫مازال‬
‫يحدث‬
 Although equipment accuracy is improving, false
readings still occur.

‫مطابقة‬
‫المقاييس‬
‫الحيوية‬
‫ليست‬
‫دقيقة‬
Biometric matches are not exact

‫المقاييس‬
‫الحيوية‬
‫معتمدا‬
‫عليها‬
‫في‬
‫المصادقة‬
‫لكنها‬
‫أقل‬
‫اعتمادية‬
‫في‬
‫المط‬
‫ابقة‬
 Biometrics are reliable for authentication but are
much less reliable for identification,
‫المقاييس‬
‫الحيوية‬
‫تعتمد‬
‫على‬
‫خصائص‬
‫فيزيائية‬
‫و‬
‫التي‬
‫تتغير‬
‫من‬
‫يوم‬
‫إلى‬
‫اخر‬
‫أو‬
‫تتأثر‬
‫بالعمر‬

Biometrics depend on a physical characteristic that
can vary from one day to the next or as people age

15. 
‫كانت‬
‫أول‬
‫نموذج‬
‫للمصادقة‬
‫في‬
‫الحاسوب‬
‫وتبقى‬
‫شائعة‬
‫وهناك‬
‫طرق‬
‫أو‬
‫نماذج‬
‫أخرى‬
‫أصبحت‬
‫أسهل‬
‫في‬
‫االستخدام‬
‫وأرخص‬
‫وأكثر‬
‫شيوعا‬
.
 Passwords were the first form of computer
authentication and remain popular.

‫الحماية‬
‫باستخدام‬
‫كلمة‬
‫المرور‬
‫تبدو‬
‫مناسبة‬
‫ألن‬
‫تقدم‬
‫حماية‬
‫نسبية‬
‫للنظام‬
‫مع‬
‫التأكيد‬
‫على‬
‫المعلومات‬
‫المطابقة‬
‫المتعلقة‬
‫بالهوية‬
.
 Password protection seems to offer a relatively secure
system for confirming identity related information.

‫لكن‬
‫المستخدمين‬
‫المتدربين‬
‫قد‬
‫يقللون‬
‫من‬
‫جودتها‬
.
 But human practice sometimes degrades its quality.
‫المرور‬ ‫كلمات‬ ‫على‬ ‫المعتمدة‬ ‫المصادقة‬
Authentication based on Passwords
)

16. 1
-
‫يدخل‬
‫المستخدم‬
‫بعض‬
‫المقاطع‬
‫النصية‬
‫المتعلقة‬
‫بالمطابقة‬
‫مثل‬
‫االسم‬
‫ورقم‬
‫المستخدم‬
‫المخصص‬
.
A user enters some piece of identification, such as a name or an
assigned user ID
2
-
‫يطلب‬
‫نظام‬
‫الحماية‬
‫كلمة‬
‫المرور‬
‫من‬
‫المستخدم‬
‫فإذا‬
‫كانت‬
‫كلمة‬
‫المرور‬
‫مطابقة‬
‫مع‬
‫التي‬
‫على‬
‫الملف‬
‫الخاص‬
‫بالمستخدم‬
‫فإن‬
‫المستخدم‬
‫تمت‬
‫المصادقة‬
‫عليه‬
‫ومسموح‬
‫له‬
‫بالوصول‬
‫مالم‬
‫فإن‬
‫النظام‬
‫يطلب‬
‫إعادة‬
‫إدخ‬
‫ال‬
‫كلمة‬
‫المرور‬
.
‫وفي‬
‫حالة‬
‫تكرار‬
‫إدخال‬
‫الكلمة‬
‫الخطأ‬
‫أكثر‬
‫من‬
‫العدد‬
‫المس‬
‫موح‬
‫يغلق‬
‫النظام‬
‫على‬
‫المستخدم‬
.
The protection system then requests a password from, the user, if
it is correct the user is authenticated and allowed access.
(Steps of use the Password ‫المرور‬ ‫كلمة‬ ‫استخدام‬ ‫خطوات‬
(

17. 
‫مع‬
‫أن‬
‫كلمات‬
‫المرور‬
‫مستخدمة‬
‫بشكل‬
‫واسع‬
‫إال‬
‫أنها‬
‫تعاني‬
‫من‬
‫صعوبات‬
‫ف‬
‫ي‬
‫االستخدام‬
‫تتمثل‬
‫فيما‬
‫يلي‬
:
1
-
‫االستخدام‬
(
use
)
:
‫تجهيز‬
‫كلمة‬
‫المرور‬
‫لكل‬
‫وصول‬
‫إلى‬
‫كائن‬
‫يمكن‬
‫أن‬
‫يكو‬
‫ن‬
‫غير‬
‫مالئم‬
‫أو‬
‫غير‬
‫مريح‬
.
Supplying a password for each access to an object can be
inconvenient and time consuming.
2
-
‫الكشف‬
(
Disclosure
)
:
‫فإذا‬
‫كشف‬
‫المستخدم‬
‫كلمة‬
‫المرور‬
‫لشخص‬
‫غير‬
‫مخول‬
‫فإن‬
‫الكائن‬
‫يصبح‬
‫قابال‬
‫للوصول‬
‫بشكل‬
‫فوري‬
.
If a user discloses a password to an unauthorized
individual, the object becomes immediately accessible
‫المرور‬ ‫كلمة‬ ‫استخدام‬ ‫عيوب‬
(
Disadvantages of using Passwords
:)
-

18. 3
-
‫اإللغاء‬
‫أو‬
‫اإلبطال‬
(
Revocation
)
:
‫لسحب‬
‫صالحية‬
‫الوصول‬
‫لمستخدم‬
‫إلى‬
‫كائن‬
‫قد‬
‫يحتاج‬
‫البعض‬
‫إلى‬
‫تغيير‬
‫كلمة‬
‫المرور‬
‫األمر‬
‫الذي‬
‫قد‬
‫يسبب‬
‫مشاكل‬
‫مثل‬
‫الكشف‬
.
 To revoke one user’s access right to an object,
− someone must change the password, thereby causing
the same problems as disclosure
4
-
‫الفقدان‬
(
Loss
)
:
‫وهذا‬
‫يعتمد‬
‫على‬
‫كيف‬
‫يتم‬
‫تنفيذ‬
‫كلمة‬
‫المرور‬
‫وربما‬
‫ي‬
‫صبح‬
‫من‬
‫غير‬
‫الممكن‬
‫استرجاع‬
‫كلمة‬
‫مرور‬
‫مفقودة‬
‫آو‬
‫منسية‬
.
 Depending on how the passwords are implemented, it
may be impossible to retrieve a lost or forgotten
passwords
‫المرور‬ ‫كلمة‬ ‫استخدام‬ ‫عيوب‬
(
Disadvantages of using Passwords

19. 
‫يحاول‬
‫المهاجم‬
‫أن‬
‫يجد‬
‫كلمة‬
‫المرور‬
‫فقد‬
‫تكون‬
‫كلمة‬
‫المرور‬
‫يتم‬
‫تخمين‬
‫ها‬
‫بخطوات‬
‫عديدة‬
‫منها‬
:

‫قد‬
‫ال‬
‫توجد‬
‫كلمة‬
‫المرور‬
‫فقد‬
‫تكون‬
‫نفس‬
‫اسم‬
‫المستخدم‬
no password, the same as the user ID

‫مشتقة‬
‫من‬
‫اسم‬
‫المستخدم‬
(
the user’s name or is derived from its
)

‫يتم‬
‫الحصول‬
‫عليها‬
‫بالقوة‬
‫أو‬
‫بوحشية‬
(
obtained by brute force
)
‫المرور‬ ‫كلمة‬ ‫وحماية‬ ‫الهجوم‬
(
Attacking and Protecting Passwords
)

20. 
‫بعض‬
‫مواقع‬
‫الشبكات‬
‫تضع‬
‫قواميس‬
‫تمثل‬
:
-

‫عبارات‬
(
phrases
)
-
‫أماكن‬
(
places
)
-
‫أسماء‬
‫الزوجات‬
(
mythological
names
)
,
‫كلمات‬
‫صينية‬
(
Chinese words
)
‫وقوائم‬
‫أخرى‬
‫خاصة‬
(
other
specialized lists
)
.

‫وهذه‬
‫القواميس‬
‫تسمح‬
‫بعض‬
‫تطبيقات‬
‫الخدمات‬
‫مثل‬
‫كوبس‬
(
COPS
)
‫و‬
‫كراك‬
(
Crack
)
‫و‬
‫ستان‬
(
SATAN
)
‫للمدراء‬
‫في‬
‫تحديد‬
‫المستخدمين‬
‫الذين‬
‫لديهم‬
‫كلمات‬
‫مرور‬
‫ضعي‬
‫فة‬
‫يختارونها‬
‫ولكن‬
‫وبنفس‬
‫الوقت‬
‫فإن‬
‫المهاجمين‬
‫يمكنهم‬
‫استخدام‬
‫هذه‬
‫القواميس‬
‫إذا‬
‫ك‬
‫ان‬
‫مدراء‬
‫الشبكات‬
‫غير‬
‫محصنين‬
.
The COPS, Crack, and SATAN utilities allow an
administrator to scan a system for weak passwords,
But these same utilities, or other homemade ones, allow
attackers to do the same.
‫القاموس‬ ‫هجمات‬
(
Dictionary Attacks
)

21. 
‫يتم‬
‫اختيار‬
‫كلمة‬
‫المرور‬
‫بعناية‬
‫حتى‬
‫تصبح‬
‫قوية‬
‫للمصادقة‬
‫واستخدام‬
‫كلمة‬
‫مرور‬
‫جيدة‬
‫يمكن‬
‫من‬
‫تحسين‬
‫األمنية‬
.

‫ومن‬
‫اإلرشادات‬
‫في‬
‫استخدام‬
‫أو‬
‫اختيار‬
‫كلمة‬
‫مرور‬
‫جيدة‬
‫ما‬
‫يلي‬
:

‫استخدام‬
‫رموز‬
‫ليس‬
‫فقط‬
‫من‬
A-Z
(
Use characters other than just a–z;
)

‫استخدام‬
‫كلمة‬
‫مرور‬
‫طويلة‬
(
Choose long passwords
)

‫تجنب‬
‫استخدام‬
‫أسماء‬
‫فعلية‬
‫أو‬
‫كلمات‬
(
Avoid actual names or words
)

‫استخدام‬
‫نص‬
‫أو‬
‫سلسلة‬
‫أحرف‬
‫يمكن‬
‫تذكرها‬
(
Use a string you can
remember
)

‫استخدام‬
‫متغيرات‬
‫لكلمة‬
‫مرور‬
‫متعددة‬
(
Use variants for multiple
passwords;

‫تغيير‬
‫كلمة‬
‫المرور‬
‫بشكل‬
‫منتظم‬
(
Change the password regularly
)

‫عدم‬
‫كتابة‬
‫كلمة‬
‫المرور‬
‫تنازليا‬
(
Don’t write it down
)

‫عدم‬
‫إخبار‬
‫أي‬
‫شخص‬
‫بكلمة‬
‫المرور‬
‫الخاصة‬
‫بك‬
(
Don’t tell anyone else
)
‫الجيدة‬ ‫المرور‬ ‫كلمة‬
(
GOOD PASSWORDS
)

22. 
‫في‬
‫ديسمبر‬
2009
,
‫قامت‬
‫شركة‬
‫أمنية‬
‫للحاسوب‬
‫بتحليل‬
34
‫مليون‬
‫كلمة‬
‫مرور‬
‫في‬
‫الفيس‬
‫بوك‬
‫والتي‬
‫كشفها‬
‫سابقا‬
‫وأظهرت‬
‫التقارير‬
‫ما‬
‫يلي‬
:
1
-
‫حوالي‬
30
%
‫من‬
‫المستخدمين‬
‫يختارون‬
‫كلمة‬
‫مرورها‬
‫أقل‬
‫من‬
7
‫رموز‬
2
-
‫تقريبا‬
50
%
‫من‬
‫األشخاص‬
‫يستخدمون‬
‫األسماء‬
‫أو‬
‫كلمات‬
‫عامية‬
,
‫كلمات‬
‫قاموس‬
,
‫أو‬
‫كلمات‬
‫مرور‬
‫تافهة‬
‫تحتوي‬
‫على‬
‫أرقام‬
‫متتالية‬
.
3
-
‫معظم‬
‫كلمات‬
‫المرور‬
‫الشائعة‬
‫تضمنت‬
1234567
,
I love
you
,
12345,123456
‫وكانت‬
‫هذه‬
‫الكلمات‬
‫هي‬
‫أعلى‬
‫عشر‬
‫كلمات‬
‫تم‬
‫استخدامها‬
.
‫المستخدمون‬ ‫يستخدمها‬ ‫التي‬ ‫تلك‬ ‫تشابه‬ ‫مرور‬ ‫كلمات‬ ‫استنتاج‬
Inferring Passwords Likely for a User

23. ‫المرور‬ ‫كلمات‬ ‫أنواع‬ ‫توزيع‬

24. 
‫يجد‬
‫الشخص‬
‫بعض‬
‫األشياء‬
‫في‬
‫عملية‬
‫كلمة‬
‫المرور‬
‫حيث‬
‫أنها‬
‫صعبة‬
‫أو‬
‫مزعجة‬
.
People find something in the password process that is difficult or
unpleasant.

‫بعض‬
‫األشخاص‬
‫غير‬
‫قادرين‬
‫على‬
‫اختيار‬
‫كلمات‬
‫مرور‬
‫جيدة‬
‫ربما‬
‫بسبب‬
‫الضغ‬
‫ط‬
‫والحالة‬
‫النفسية‬
‫أو‬
‫غيرها‬
.
 Some people are unable to choose good passwords;
 perhaps because of the pressure of the situation.

‫يخاف‬
‫بعض‬
‫المستخدمون‬
‫من‬
‫أنهم‬
‫سوف‬
‫ينسون‬
‫كلمات‬
‫مرور‬
‫معتادة‬
.
they fear they will forget solid passwords

‫و‬
‫في‬
‫كل‬
‫الحاالت‬
‫فإن‬
‫كلمات‬
‫المرور‬
‫ليست‬
‫دائما‬
‫موثوقة‬
‫بشكل‬
‫جيد‬
.
 In either cases, passwords are not always good authenticators
‫ضعيفة‬ ‫مرور‬ ‫لكلمات‬ ‫األشخاص‬ ‫استخدام‬ ‫أسباب‬

25. 
‫المخترقون‬
(
Penetrators
)
‫يبحثون‬
‫عن‬
‫كلمات‬
‫مرور‬
‫إلدراكها‬
‫وهذه‬
‫من‬
‫طبائعهم‬
‫كي‬
‫يستخدمونها‬
‫لمصالحهم‬
‫و‬
‫لذلك‬
‫فإن‬
‫هؤالء‬
‫المخترقين‬
‫يحاولون‬
‫باستخدام‬
‫طرق‬
‫و‬
‫أ‬
‫ساليب‬
‫و‬
‫تقنيات‬
‫مختلفة‬
‫والتي‬
‫قد‬
‫يعتقدون‬
‫أنها‬
‫توصلهم‬
‫إلى‬
‫النجاح‬
‫السريع‬
.
Penetrators searching for passwords realize these very human
characteristics and use them to their advantage

‫إذا‬
‫فضل‬
‫األشخاص‬
‫كلمات‬
‫المرور‬
‫القصيرة‬
‫على‬
‫كلمات‬
‫المرور‬
‫الطويلة‬
‫فإن‬
‫المخت‬
‫رقين‬
‫سوف‬
‫يخططون‬
‫للوصول‬
‫إلى‬
‫كل‬
‫كلمات‬
‫المرور‬
‫وذلك‬
‫بمحاولة‬
‫ترتيبها‬
‫باستخدام‬
‫طولها‬
.
If people prefer short passwords to long ones, the penetrator will plan
to try all passwords but to try them in order by length

‫فمثال‬
‫إذا‬
‫كان‬
‫طول‬
‫كلمة‬
‫المرور‬
‫ثالثة‬
‫أحرف‬
‫أو‬
‫أقل‬
‫فإنه‬
‫يمكن‬
‫أن‬
‫يتم‬
‫توليد‬
18378
‫كلمة‬
‫مرور‬
(
‫ال‬
‫تراعي‬
‫حالة‬
‫األحرف‬
)
.

‫األشخاص‬
‫غالبا‬
‫يستخدمون‬
‫أي‬
‫شيء‬
‫سهل‬
‫والذي‬
‫يأتي‬
‫إلى‬
‫العقل‬
‫ككلمة‬
‫مرور‬
‫ولذل‬
‫ك‬
‫فإن‬
‫المهاجمين‬
‫ربما‬
‫ينجحون‬
‫بالمحاولة‬
‫باستخدام‬
‫كلمات‬
‫مرور‬
‫قليلة‬
‫شائعة‬
.
 People often use anything simple that comes to mind as a password
‫محتملة‬ ‫مرور‬ ‫كلمات‬ ‫تخمين‬
(
Guessing Probable Passwords
)

26. 
‫أسهل‬
‫من‬
‫تخمين‬
‫كلمة‬
‫المرور‬
‫هو‬
‫فقط‬
‫قراءتها‬
‫من‬
‫جدول‬
.
Easier than guessing a password is just to read one from a table

‫نظام‬
‫التشغيل‬
‫يتحقق‬
‫من‬
‫المستخدم‬
‫بسؤاله‬
‫عن‬
‫االسم‬
‫وكلمة‬
‫المرور‬
‫والتي‬
‫يق‬
‫وم‬
‫نظام‬
‫التشغيل‬
‫بالتأكد‬
‫منها‬
‫أو‬
‫تدقيقها‬
‫وذلك‬
‫من‬
‫خالل‬
‫مقارنة‬
‫كلمة‬
‫المرور‬
‫التي‬
‫أدخل‬
‫ها‬
‫مع‬
‫القيمة‬
‫المخزنة‬
‫في‬
‫الجدول‬
.

‫لكن‬
‫ذلك‬
‫الجدول‬
‫يصبح‬
‫كنزا‬
‫مدفونا‬
‫بالنسبة‬
‫لمنفذي‬
‫الشر‬
‫أو‬
‫الشريرين‬
.
The OS authenticates a user by asking for a name and password,
which it then has to validate;

‫الحصول‬
‫على‬
‫جدول‬
‫كلمات‬
‫المرور‬
‫يعطي‬
‫وصوال‬
‫إلى‬
‫كل‬
‫الحسابات‬
‫ألنه‬
‫ال‬
‫يحوي‬
‫فقط‬
‫كلمة‬
‫واحدة‬
‫لكل‬
‫مستخدم‬
‫لكن‬
‫كل‬
‫أرقام‬
‫المستخدمين‬
‫المميزة‬
(
IDs
)
‫مع‬
‫كلمات‬
‫المرور‬
‫المطابقة‬
.
Obtaining the table gives access to all accounts because it contains
not just one but all user IDs and their corresponding passwords
‫التمويه‬ ‫أو‬ ‫اإلخفاء‬ ‫على‬ ‫المخترقين‬ ‫تغلب‬
Concealment
Defeating

27. 
‫تضع‬
‫نظم‬
‫التشغيل‬
‫عائقا‬
‫للمهاجمين‬
‫من‬
‫خالل‬

‫طريقة‬
‫تتمثل‬
‫بخزن‬
‫كلمات‬
‫المرور‬
‫ليس‬
‫في‬
‫صيغتها‬
‫العامة‬
‫بل‬
‫بص‬
‫يغة‬
‫مخفية‬
(
concealed form
)
.
 OSs stymie that approach by storing passwords not in
their public form but in a concealed form;

‫فعندما‬
‫ينشئ‬
‫المستخدم‬
‫كلمة‬
‫مرور‬
‫فإن‬
‫نظام‬
‫التشغيل‬
‫يقبلها‬
‫وبش‬
‫كل‬
‫فوري‬
‫ويقوم‬
‫بإخفائها‬
‫من‬
‫خالل‬
‫خزنها‬
‫بنسخة‬
‫غير‬
‫قابل‬
‫للقراءة‬
.
 When a user creates a password, the OS accepts and immediately
conceals it, storing the unreadable version
‫المخترقين‬ ‫أمام‬ ‫التشغيل‬ ‫نظم‬ ‫عقبات‬
Oss Difficulties Against Attackers

28. 
‫النقطة‬
‫الحرجة‬
(
critical point
)
‫في‬
‫هذه‬
‫الطريقة‬
‫هي‬
‫أن‬
‫عملية‬
‫اإلخفاء‬
‫باتجاه‬
‫واحد‬
.
 critical point is that the concealment process be one-way:.

‫تحويل‬
‫كلمة‬
‫مرور‬
‫إلى‬
‫شكل‬
‫مخفي‬
‫هي‬
‫سهلة‬
.
Converting a password to its concealment form is simple,

‫الذهاب‬
‫إلى‬
‫طرق‬
‫أخرى‬
‫الشتقاق‬
‫كلمة‬
‫مرور‬
‫مطابقة‬
‫تكون‬
‫غير‬
‫ممكنة‬
‫بشكل‬
‫فعال‬
,
but going the other way to deriving the corresponding
password is effectively impossible

‫على‬
‫بعض‬
‫مواقع‬
‫االنترنت‬
‫فإن‬
‫النظام‬
‫ال‬
‫يخبر‬
‫المستخدم‬
‫ما‬
‫هي‬
‫كلمة‬
‫المرور‬
‫الت‬
‫ي‬
‫نساها‬
.
on some websites, the system cannot tell you what your
forgotten password was
‫اإلخفاء‬ ‫مشاكل‬
(
Concealment Process Problems
)

29. 
‫إلجراء‬
‫مصادقة‬
‫فعالة‬
‫فإن‬
‫معظم‬
‫األنظمة‬
‫تقفل‬
‫على‬
‫المستخدم‬
‫الذي‬
‫يفشل‬
‫في‬
‫ع‬
‫دد‬
‫من‬
‫المحاوالت‬
‫للدخول‬
.
most systems lock out a user who fails a small number of successive
login attempts,

‫إذا‬
‫حصل‬
‫المهاجم‬
‫على‬
‫اسم‬
‫جدول‬
‫كلمات‬
‫المرور‬
‫المشفرة‬
‫وتعلم‬
‫خوارزمية‬
‫اإلخفاء‬
‫ف‬
‫إن‬
‫برنامج‬
‫الحاسوب‬
‫يستطيع‬
‫بسهولة‬
‫اختبار‬
‫مئات‬
‫اآلالف‬
‫من‬
‫التخمينات‬
‫في‬
‫دق‬
‫ائق‬
‫معدودة‬
.
if the attacker obtains an encrypted password table and learns the
concealment algorithm, a computer program can easily test
hundreds of thousands of guesses in a matter of minutes.

‫يستطيع‬
‫المهاجم‬
‫أو‬
‫المخترق‬
‫أن‬
‫ينشىء‬
‫ما‬
‫يسمى‬
‫جدول‬
‫قوس‬
‫قزح‬
(
rainbow
table
)
‫والذي‬
‫هو‬
‫قائمة‬
‫بالصيغ‬
‫المخفية‬
‫لكلمات‬
‫المرور‬
‫الشائعة‬
.
The interceptor can; creates what is called a rainbow table that is
a list of the concealed forms of the common passwords

‫يعترض‬
(
intercepts
)
‫الجدول‬
‫ويستطيع‬
‫معرفة‬
‫أن‬
‫المستخدمين‬
A, B
‫لديهما‬
‫نفس‬
‫كلمة‬
‫المرور‬
.
‫فهو‬
‫يستطيع‬
‫أن‬
‫يخمن‬
‫أن‬
‫كال‬
‫المستخدمين‬
‫يختاران‬
‫كلمات‬
‫مرور‬
‫ش‬
‫ائعة‬
‫و‬
‫يبدأ‬
‫بمحاولة‬
‫البحث‬
‫عن‬
‫الكلمات‬
‫المعتادة‬
‫وهكذا‬
.
‫الفعالة‬ ‫المصادقة‬
ِ(
Active authentication
)

30. 
‫تستخدم‬
‫بعض‬
‫األنظمة‬
‫قطعة‬
‫خارجية‬
‫تدعى‬
‫ملح‬
(
Salt
)
some systems use an extra piece called the salt,
‫وقطعة‬
‫الملح‬
‫هي‬
‫حقل‬
‫بيانات‬
‫خارجي‬
‫مختلف‬
‫لكل‬
‫مستخدم‬
.
A salt is an extra data field different for each user

‫قيمة‬
‫الملح‬
‫ترتبط‬
‫مع‬
‫كلمة‬
‫المرور‬
‫قبل‬
‫أن‬
‫يتم‬
‫تحويل‬
‫هذا‬
‫االرتباط‬
‫باستخدام‬
‫ا‬
‫إلخفاء‬
‫إلى‬
‫صيغة‬
‫أخرى‬
.
The salt value is joined to the password before the combination is
transformed by concealment

‫في‬
‫هذه‬
‫الطريقة‬
‫مثال‬
:
Pat+aaaaaa
‫لديها‬
‫قيم‬
‫إخفاء‬
‫مختلفة‬
‫من‬
Roz+aaaaaa

‫أيضا‬
‫فإن‬
‫المهاجم‬
‫ال‬
‫يستطيع‬
‫إنشاء‬
‫جدول‬
‫قوس‬
‫قزح‬
‫ألن‬
‫كلمات‬
‫المرور‬
‫الشائعة‬
‫ا‬
‫آلن‬
‫كلها‬
‫لديها‬
‫مكونات‬
‫مختلفة‬
‫فريدة‬
(
unique component
)
.

‫وعد‬ ‫إحصاء‬
‫الهجمات‬
(
Counting the threats
)

31. 
‫في‬
‫الهجوم‬
‫الشامل‬
‫أو‬
‫هجوم‬
‫القوة‬
‫الغاشمة‬
(
Brute Force Attack
)
‫يحاول‬
‫المهاجم‬
‫الوصول‬
‫إلى‬
‫كل‬
‫كلمات‬
‫المرور‬
‫الممكنة‬
‫و‬
‫عادة‬
‫ما‬
‫يكون‬
‫في‬
‫بعض‬
‫األنماط‬
‫االتوماتيكية‬
(
automated fashion
)
.
 the attacker tries all possible passwords, usually in
some automated fashion.

‫عدد‬
‫كلمات‬
‫المرور‬
‫الممكنة‬
‫يعتمد‬
‫على‬
‫تنفيذ‬
‫نظام‬
‫حوسبة‬
‫معين‬
‫فمثال‬
:
‫الحرو‬
‫ف‬
‫المستخدمة‬
‫في‬
‫كتابة‬
‫كلمة‬
‫المرور‬
‫و‬
‫طول‬
‫كلمة‬
‫المرور‬
.
the number of possible passwords depends on the implementation
of the particular computing system

‫كل‬
‫هذه‬
‫الطرق‬
‫إلفشال‬
‫كلمات‬
‫المرور‬
‫ترتبط‬
‫ب‬
‫قضايا‬
‫سهولة‬
‫استخدام‬
‫النظام‬
(
usability issues
)
‫و‬
‫هذا‬
‫يوضح‬
‫أننا‬
‫نحتاج‬
‫إلى‬
‫طرق‬
‫أخرى‬
‫للمصادقة‬
.
 All these techniques to defeat passwords, combined with usability
issues; that indicate that we need to look for other methods of
authentication
‫الشامل‬ ‫الهجوم‬
(
Exhaustive Attack
)

32. 
‫تستخدم‬
‫بعض‬
‫الشركات‬
‫استبيانات‬
‫بدال‬
‫من‬
‫كلمات‬
‫المرور‬
‫لتحدي‬
‫د‬
‫من‬
‫الشخص‬
‫الصح‬
‫الذي‬
‫يرغب‬
‫باإلجابة‬
.
 Instead of passwords, some companies use questions to which
(presumably) only the right person would know the answer.

‫تتضمن‬
‫هذه‬
‫االستبيانات‬
:

‫االسم‬
‫األوسط‬
‫لألم‬
(
mother’s maiden name
)
–

‫اسم‬
‫الشارع‬
(
street name
)

‫اسم‬
‫المدرس‬
‫المفضل‬
(
name of favorite teacher
)
‫و‬
‫غيرها‬
.
‫االستبيانات‬ ‫باستخدام‬ ‫المصادقة‬
(
Security Questions
)

33. 
GrIDSure authentication system

‫و‬
‫هذا‬
‫النظام‬
‫معروض‬
‫على‬
‫الموقع‬
:
http://www.gridsure.com

‫تم‬
‫تطوير‬
‫هذا‬
‫النظام‬
‫من‬
‫قبل‬
‫شركة‬
‫ميكروسوفت‬
(
Microsoft’s
Unified Access Gateway (UAG) platform;

‫يسمح‬
‫هذا‬
‫النظام‬
‫للمستخدم‬
‫أن‬
‫يقوم‬
‫بالمصادقة‬
‫بنفسه‬
‫ب‬
‫كود‬
‫عبو‬
‫ر‬
‫اعتمادا‬
‫على‬
‫نمط‬
‫مربعات‬
‫يتم‬
‫اختيارها‬
‫من‬
‫شبكة‬
‫خطوط‬
(
a grid
)
.

ImageShield product

‫و‬
‫هذا‬
‫المنتج‬
‫من‬
‫قبل‬
‫شركة‬
Confident Technologies

‫يقوم‬
‫هذا‬
‫النظام‬
‫بسؤال‬
‫المستخدم‬
‫للتسجيل‬
‫و‬
‫اختيار‬
‫ثالث‬
‫فئات‬
‫م‬
‫ن‬
‫القائمة‬
‫تعرض‬
‫للمستخدم‬
‫شبكة‬
‫خطوط‬
‫تحوي‬
‫مجموعة‬
‫من‬
‫الصور‬
‫بحسب‬
‫الف‬
‫ئة‬
‫التي‬
‫اختارها‬
‫لكل‬
‫صورة‬
‫تحوي‬
‫حرفا‬
‫واحدا‬
‫أو‬
‫رقما‬
.

‫أدوات‬
‫و‬
‫للمصادقة‬ ‫حاسوب‬ ‫أنظمة‬
(
Authentication Tools
)

34. 
‫كلمات‬
‫المرور‬
‫و‬
‫المقاييس‬
‫الحيوية‬
‫و‬
‫الكروت‬
‫المغناطيسية‬
‫يمكنها‬
‫ج‬
‫ميعا‬
‫أن‬
‫تشترك‬
‫في‬
‫المصادقة‬
‫اآلمنة‬
.

‫لكن‬
‫بالطبع‬
‫ال‬
‫يعني‬
‫أن‬
‫استخدام‬
‫أي‬
‫منها‬
‫أو‬
‫كلها‬
‫يضمن‬
‫المصادقة‬
‫اآل‬
‫منة‬
.

‫لتحقيق‬
‫األمنية‬
‫الصحيحة‬
‫نحتاج‬
‫أن‬
‫نفكر‬
‫بتمهل‬
‫عن‬
.1
‫ما‬
‫هي‬
‫المشكلة‬
‫التي‬
‫نحاول‬
‫حلها‬
‫و‬
‫األدوات‬
‫التي‬
‫لدينا‬
.
.2
‫حجب‬
‫الهجمات‬
‫و‬
‫المهاجمين‬
3.
‫اآلمنة‬ ‫المصادقة‬
(
Secure Authentication
)