مقدمة: شاشة الدخول هي الباب الرئيسي لنظامك
قبل أن نتحدث عن الفهرسة أو الكاش أو النسخ الاحتياطي، هناك نقطة واحدة يمر منها كل شيء: شاشة تسجيل الدخول.
أي ضعف في هذا الباب يعني:
– إمكانية وصول غير مصرح به لحسابات حساسة.
– استخدام كلمات مرور ضعيفة أو مكررة عبر أنظمة متعددة.
– صعوبة تتبع محاولات الدخول الفاشلة أو محاولات الاختراق.
يومي ERP بُني ليعمل في بيئات حساسة مثل السعودية والخليج، لذلك يمكن تشغيله ضمن سياسات صارمة لكلمات المرور وتسجيل الدخول، بدون تعقيد غير ضروري على المستخدمين.
أولاً: سياسات كلمات المرور (Password Policy)
يمكن لمدير التقنية بالتعاون مع فريق يومي ضبط سياسات كلمات مرور تتوافق مع أفضل الممارسات:
– تعقيد الكلمة:
– طول أدنى (مثلاً 8 أو 10 أحرف على الأقل).
– مزيج من حروف كبيرة وصغيرة وأرقام ورموز عند الحاجة.
– صلاحية كلمة المرور:
– إجبار تغيير كلمة المرور للحسابات الحساسة كل فترة زمنية محددة (مثلاً كل 90 يوماً)، إذا كانت سياسة الشركة تتطلب ذلك.
– منع كلمات المرور الشائعة:
– رفض كلمات مرور معروفة الضعف (123456، password، qwerty، إلخ).
ثانياً: حماية من المحاولات المتكررة (Brute Force Protection)
لمنع محاولات تخمين كلمات المرور:
– يمكن تطبيق منطق:
– إيقاف مؤقت للحساب بعد عدد معيّن من المحاولات الفاشلة خلال فترة زمنية قصيرة.
– أو طلب خطوة تحقق إضافية (مثل كود يُرسل عبر قناة آمنة) بعد تكرار فشل الدخول.
– تسجيل محاولات الدخول الفاشلة:
– تخزين عنوان IP، التوقيت، واسم المستخدم المُستخدَم في المحاولة، ما يسهّل تحليل أي نشاط مشبوه.
ثالثاً: تشغيل HTTPS (SSL/TLS) بشكل إلزامي
في أي نشر عملي لـ Yaomy ERP يجب:
– تفعيل شهادة SSL صحيحة على النطاق أو النطاقات الفرعية المستخدمة (بما في ذلك نطاقات الشركات).
– توجيه جميع الطلبات من HTTP إلى HTTPS.
الفوائد:
– حماية اسم المستخدم وكلمة المرور من أي اعتراض في الطريق (Man-in-the-Middle).
– حماية كوكيز الجلسة من السرقة عبر الشبكات غير الآمنة (مثل Wi-Fi عام).
رابعاً: الدمج مع 2FA والجلسات الآمنة
تأمين شاشة الدخول لا يتوقف عند كلمة المرور:
– مع 2FA (انظر مقالة 524):
– حتى لو تسربت كلمة المرور، لا يمكن استغلالها دون عامل التحقق الثاني.
– مع سياسات الجلسة (انظر مقالة 525):
– يتم التحكم في مدة الجلسة، وارتباطها بالشركة والفرع، ومنع إعادة استخدام الجلسة في سياقات غير مصرّح بها.
خامساً: توصيات عملية لتطبيق تأمين تسجيل الدخول في شركتك
– ابدأ بالحسابات الحرجة:
– مدراء النظام.
– المدراء الماليون.
– مدراء الفروع الكبيرة.
– ضع سياسة مكتوبة مبسطة للموظفين:
– ما هي متطلبات كلمة المرور؟
– كيف يتصرف الموظف عند الشك في اختراق حسابه؟
– لمن يبلغ في حال لاحظ رسائل تصيّد مرتبطة بيومي ERP؟
– اربط بين تقنية الأمان وثقافة الشركة:
– قدّم أمثلة من واقع السوق (شركات تعرضت لاختراق بسبب كلمات مرور ضعيفة).
– وضّح أن حماية النظام تحمي رواتب الموظفين، بيانات العملاء، والتعاملات الضريبية.
سادساً: ملاءمة هذا النموذج لسوق الخليج
في السعودية ودول الخليج:
– كثير من الشركات بدأت تطبّق أطر حوكمة تقنية وأمن معلومات (مثل ISO 27001 أو ضوابط محلية).
– وجود سياسات واضحة لتسجيل الدخول وكلمات المرور في Yaomy ERP:
– يساعد في تقارير التدقيق الداخلي.
– يقوّي موقف الشركة في المناقصات والعقود الكبرى مع جهات حكومية أو شركات كبرى.
دعوة لاتخاذ خطوة عملية (CTA)
لو كان الوصول إلى نظام ERP في شركتك اليوم يتم بكلمات مرور بسيطة تُكتب على ورقة قرب الشاشة، فهذا يعني أن الوقت قد حان لإعادة ضبط سياسة تسجيل الدخول.
تواصل مع فريق يومي ERP أو مع فريق تقنية المعلومات لديك لـ:
– تقييم قوة سياسات كلمات المرور الحالية.
– تفعيل طبقات الحماية المتاحة (SSL، 2FA، سياسات المحاولات الفاشلة).
– وضع دليل داخلي بسيط للموظفين حول “أفضل ممارسات كلمة المرور في يومي”.
روابط داخلية مقترحة
– صفحة: المصادقة الثنائية (2FA) في يومي ERP (Cluster 15 – id 524).
– صفحة: الجلسات الآمنة وإدارة تسجيل الدخول (Cluster 15 – id 525).
– صفحة: أمان البيانات والصلاحيات في يومي ERP (Cluster 15 – id 521).
– صفحة: أسئلة شائعة عن الأمان والأداء في Yaomy ERP (Cluster 15 – id 540).