PwdHash هو مشروع قديم بدأ العمل فيه في جامعة ستانفورد في العام 2004، ونظراً لأني لم أكن أعلم عنه شيئاً حتى قرأت عنه اليوم، وجدت أن من الضروري الكتابة عنه للذين لا يعلون عنه مثلي!
PwdHash وهو اختصار لجملة Web Password Hashing هو مشروع يقوم عليه خمسة أشخاص من جامعة ستانفورد معظمهم يحمل درجة بروفيسور ومعظمهم يمارس التدريس في ستانفورد، أحد هؤلاء الخمسة هو Blake Ross الذي ندين له بظهور فايرفوكس عندما كان يعمل في موزيلا وكان حينها في التاسعة عشرة من عمره، فقط!
يعالج هذا المشروع مشكلتين خطيرتين في مجال الأمن عند استخدام مواقع الإنترنت، المشكلة الأولى هو الخطأ الشائع الذي يقع فيه حدد لا يحصى من الناس، وهو استخدام نفس كلمة المرور في جميع المواقع التي يسجلون بها، والمشكلة الثانية هي المواقع المزورة والتي يطلق عليها مواقع الـPhishing.
تكمن مشكلة استعمال نفس كلمة المرور في عدد كبير من المواقع بأنه لو تم معرفة كلمة المرور التي يستعملها المستخدم من قبل صاحب أحد المواقع المشبوهة أو من قبل أحد المخترقين الذي استطاع أن يخترق موقع ضعيف الحماية قام المستخدم بالتسجيل فيه لأصبحت كلمة المرور الخاصة به معروفة ويمكن استعمالها في مواقع مهمة كمواقع التجارة الإلكترونية أو موقع المصرف الذي يتعامل مع المستخدم.
وأما مواقع الـPhishing المزورة فهي تقوم بمحاكاة موقع مشهور ومهم (كـPayPal مثلاً) وإيهام الزوار أنها ذلك الموقع نفسه لجعلهم يقومون بإدخال كلمات مرورهم إلى الموقع المزور وبالتالي سرقة حسابهم في الموقع الأصلي.
هذا المشروع يقترح حل على شكل إضافة للمتصفح الذي تستعمله، يقوم بالحصول على كلمة المرور التي تنوي استعمالها في الموقع الذي تزوره، ويقوم بالحصول على عنوان نطاق الموقع، ثم يقوم بعمل تشفير Hash لهذا الزوج من كلمة المرور وعنوان الموقع مما يعطي كلمة مرور فريدة لذلك الموقع، في حال تمت سرقتها فهي لن تعمل إلا في الموقع الذي سرقت منه، وفي حال أدخلتها إلى أحد مواقع الـPhishing فهي لن تعمل على الموقع الأصلي، كونه يختلف في العنوان عن الموقع الأصلي، وبالتالي فكلمة المرور المولدة له تختلف عن كلمة المرور المولدة للموقع الأصلي.
البعض انتقد هذه الطريقة وقال أنه عند سرقة كلمة مرور الخاصة بأحد المواقع، وعلى اعتبار أن السارق يعلم كلمة المرور المشفرة ويعلم عنوان الموقع الذي سرقت منه، يمكن أن يقوم بتجريب كلمات مرور مختلفة ويشفرها مع العنوان حتى يحصل على كلمة المرور المشفرة نفسها، وبالتالي يكون قد عرف كلمة المرور الأصلية، طبعاً نحن نعلم الصعوبة الشديدة لهذا، وخاصةً مع كلمات مرور معقدة تحوي أرقام ورموز مما يجعل الأمر شبه مستحيل.
هذه الإضافة متوافرة للمتصفحات الشهيرة : Firefox 3.5, IE6/7, Opera، كما أن هناك موقع آمن لإصدار كلمة المرور في حال أردت استعمال الطريقة دون إضافات للمتصفح.