كلمات المرور بها مشاكل. يمكن أن تكون ضعيفة للغاية ، ويمكن إعادة استخدامها على أنظمة متعددة ، ومشاركتها عمدًا مع مستخدمين آخرين ، ومصممة اجتماعياً. لكن هذا ليس خطأ كلمة المرور. المشكلة هي الشعب.
كلمات المرور والطبيعة البشرية
قد تكون كلمات المرور أطفالًا لعصر قوة الزهور ، لكن لا يمكننا أن نكون متحمسين ومتحررًا معهم. منذ أن اخترع فرناندو جيه كورباتو كلمة المرور لتوفير بعض الخصوصية والأمان لمستخدمي جهاز الكمبيوتر متعدد المستخدمين المتوافق مع نظام مشاركة الوقت في أوائل الستينيات ، واجه الأشخاص مشكلات في اختيار كلمات مرور قوية وفريدة من نوعها.
تعني الطبيعة البشرية أن الكثير من الناس يفضلون الراحة على الأمن. يطلق عليه الاحتكاك الأمني. إنه الدفع الخلفي الذي تحصل عليه عندما يتطلب تحسين الأمان تغييرًا في سير العمل ، أو خطوة إضافية ، أو بعض التفكير والجهد من جانب المستخدم.
الحصول على كلمة مرور واحدة أسهل ، أليس كذلك؟ ما عليك سوى تذكر شيء واحد. يمكنك استخدامه في كل مكان ويمكنك أن تكون سريعًا حقًا في كتابته. إذا اضطررت إلى تغيير كلمة المرور الخاصة بك بشكل دوري ، فقم فقط بتغيير الرقم أو التاريخ الذي قمت بوضع علامة عليه في النهاية. إذا أراد أحد الزملاء استخدام حسابك ، فلماذا لا تقوم بتسليم بيانات الاعتماد الخاصة بك؟
من الواضح أن بعض اللوم يقع على أصحاب كلمات المرور. ولكن ربما يقع بعض اللوم على أولئك منا الذين فشلوا في الوصول إلى هؤلاء المستخدمين. نحتاج إلى معرفة كيفية تغيير رسالتنا بحيث يتم احتضان محتواها وتبنيه بدلاً من اعتباره مصدر إزعاج وتجاهل.
ونحن نعلم أنه يتم تجاهله. نظر تقرير صدر عام 2021 عن NordPass في قاعدة بيانات تضم 275 مليون كلمة مرور ، ولا يزال جميع المشتبه بهم المعتادين موجودين في قائمة كلمات المرور الأكثر استخدامًا.
كلمات المرور الأكثر استخدامًا
عندما يكون هناك خرق للبيانات ، تظهر البيانات المكشوفة – عاجلاً أم آجلاً – على الويب المظلم. قد يكون معروضًا للبيع أو ، مثل 533 مليون سجل شخصي لمستخدمي Facebook ، متاح مجانًا. تأخذ المنظمات المختلفة نسخًا من قواعد البيانات المخترقة وتستخرج عناوين البريد الإلكتروني وكلمات المرور. وأشهر هذه المواقع هو موقع Have I Been Pwned .
يوفر وسيلة بحث تتيح لك التحقق مما إذا كان بريدك الإلكتروني قد تم اكتشافه في أي خروقات للبيانات. إذا كان الأمر كذلك ، فسيتم إخبارك بمواقع الويب أو المنظمات التي جاءت البيانات منها. يمكنك تغيير كلمة المرور الخاصة بك لتلك الحسابات وتأمينها مرة أخرى. وفي كل مكان آخر استخدمت كلمة المرور نفسها.
هذه قائمة بأكثر عشر كلمات مرور شيوعًا تم العثور عليها في البيانات التي تم اختراقها في عام 2020. الأرقام الموجودة بين قوسين هي عدد المرات التي تم فيها العثور على كلمة المرور في قاعدة البيانات.
وفقًا لـ Experte Password Checker ، يمكن كسر كل هذه الأشياء في أقل من ثانية واحدة ، باستثناء “picture1” التي قد تستغرق حوالي دقيقة واحدة. لكن التهديد الأكبر هو أن كلمات المرور هذه موجودة بالفعل في شبكة الإنترنت المظلمة في قواعد البيانات الجاهزة للاستخدام كذخيرة في هجمات حشو بيانات الاعتماد.
سواء جاءت كلمة المرور في قاعدة البيانات من أحد حساباتك أم لا ، فستظل تعمل على حسابك. وقد شوهد الإدخال الأعلى “123456” في قواعد بيانات الخرق 2.5 مليون مرة ، لكنه تم كشفه في 23.5 مليون انتهاك.
إنه لأمر مدهش بقدر ما هو محبط أن الناس ما زالوا يستخدمون كلمات مرور مثل هذه اليوم. وينطبق الشيء نفسه على الأشخاص الذين ينشئون منصات تتيح للمستخدمين إنشاء كلمات مرور مثل هذه. يجب حجز كلمات المرور السيئة ورفضها تلقائيًا في وقت إنشائها. إذا كان المستخدمون لن يتبعوا الإرشادات تحت علمهم ، يحتاج مصممو النظام إلى جعل من المستحيل إنشاء حسابات بكلمات مرور غير آمنة.
مديرو وسياسات كلمات المرور
في مكان العمل ، يمكنك توفير سياسة كلمة المرور التي تحدد ما هي كلمة المرور المقبولة وما هو غير مقبول. قم بتشديد قواعد التحقق من كلمة المرور على جميع الأنظمة بحيث يتم فرض كلمات مرور قوية. شجِّع على استخدام عبارات المرور التي تربط بين ثلاث أو أربع كلمات غير ذات صلة مرتبطة بعلامات ترقيم.
على الرغم من أنه قد يبدو لمكافحة بديهية، والنظر في اتباع نصيحة من المعهد الوطني للمعايير والتكنولوجيا (NIST)، والمملكة المتحدة المركز الوطني الأمن السيبراني (NCSC)، و مايكروسوفت ، و إزالة متطلبات كلمات السر لتغييرها دوريا.
لا تضيف التغييرات المنتظمة لكلمة المرور شيئًا إلى الأمان وتشجع دون قصد على اختيارات كلمات المرور السيئة. يُجبر المستخدمين على الاحتفاظ بكلمة مرور أساسية وتعديلها في كل مرة يتم فيها فرض تغيير ، عادةً عن طريق إضافة رقم أو تاريخ إليها.
من الأفضل للأشخاص اختيار كلمات مرور قوية وفريدة من نوعها والاحتفاظ بها إلى أجل غير مسمى. يجب تغيير كلمات المرور فقط عندما يغادر المستخدم المؤسسة أو عندما يكون هناك شك في أن كلمة المرور قد تم اختراقها.
يزيل مديرو كلمة المرور الكثير من الألم
شجع أو فرض استخدام مدير كلمات المرور المعتمد من الشركة. سيؤدي ذلك إلى إنشاء كلمات مرور فريدة وقوية لكل حساب ولكل مستخدم. يتم إنشاء كلمات مرور قوية للغاية لك تلقائيًا ، ويتم إدخالها تلقائيًا من أجلك ، ولا يلزمك سوى تذكر كلمة مرور واحدة – تلك الخاصة بمدير كلمات المرور.
تعد إدارة كلمات المرور متعددة الأجهزة ومتعددة المنصات ، لذا يمكنك الاستفادة منها على جميع أجهزتك. يتم تخزين كلمات المرور باستخدام نوع من التشفير الذي يتطلب مفتاحًا من جهازك لفك تشفيرها. حتى إذا تعرضت شركة إدارة كلمات المرور لخرق ، فلن يتم كشف كلمات المرور الخاصة بك.
يوفر مديرو كلمات المرور أيضًا مزايا أمان أخرى أيضًا. غالبًا ما تحتوي رسائل البريد الإلكتروني المخادعة على روابط ترسل المستخدم غير الحذق إلى موقع ويب مشابه يقوم بجمع بيانات الاعتماد. لن يقوم مدير كلمات المرور بإدخال بيانات الاعتماد الخاصة به لأنه لن يتعرف على عنوان URL المزيف.
توثيق ذو عاملين
تضيف المصادقة ذات العاملين طبقة أخرى من الحماية. يتطلب شيئين من المستخدم. شيء يعرفونه ، كلمة المرور الخاصة بهم ، بشيء لديهم ، مثل هواتفهم الذكية. سيعرض التطبيق الموجود على هاتفك الذكي رمزًا لمرة واحدة يجب إدخاله مع كلمة المرور الخاصة بك.
هذا يعني أنه حتى إذا تم الكشف عن كلمة المرور في خرق ، فلن يتمكن المهاجمون من الوصول إلى هذا الحساب. لاحظ أن المصادقة المستندة إلى SMS لم تعد آمنة. استخدم الأنظمة التي تتطلب فوب أو جهازًا مخصصًا أو تطبيق هاتف ذكي.
تأخذ المصادقة متعددة العوامل خطوة إلى الأمام. فضلا عن شيء تعرفه وشيء لديك، فإنه يتطلب شيء هي ، مثل صاحب بصمة فريدة من نوعها، القزحية، أو صوت.
لسوء الحظ ، لا تتوفر المصادقة ذات العاملين على مستوى العالم. هناك عدد كبير جدًا من الأنظمة – من شبه المؤكد غالبية الأنظمة – التي لا تزال تعتمد على زوج بيانات الاعتماد المعرف بالوقت وكلمة المرور. هذا يتغير ببطء ، لكن نموذج المصادقة المعرف وكلمة المرور سيظل موجودًا لفترة طويلة جدًا.
خطوات عملية يجب اتخاذها
- السياسات : تحتاج إلى تحديد متطلباتك لكلمات المرور المقبولة وقواعد حمايتها في وثيقة سياسة. إذا لم يتم تدوينها فهي ليست سياسة. يجب أن تغطي قوة كلمات المرور وعبارات المرور وأن تقدم إرشادات بشأن حماية كلمات المرور. لا تكتبها أبدًا ، ولا تشاركها أبدًا ، ولا تستخدمها أبدًا في أكثر من نظام واحد.
- مديرو كلمات المرور : حدد مديري كلمات المرور المعتمدين من شركتك ، وشجعهم على استخدامهم أو فرضه عليهم. هناك الكثير للاختيار من بينها. NordPass و Bitwarden و 1Password كلها منتجات جيدة مع خطة مجانية أو نسخة تجريبية مجانية حتى تتمكن من معرفة ما إذا كانت تناسب احتياجاتك.
- المصادقة ثنائية العوامل ومتعددة العوامل: عند توفر مصادقة ثنائية أو متعددة العوامل ، استخدمها. وتذكر أنه لمجرد أنك أضفت طبقة أخرى من المصادقة ، فإن جودة كلمات المرور وحمايتها وتفردها لا تقل أهمية عن أي وقت مضى.
- تصميم النظام : إذا كتبت برنامجًا ، فتأكد من تصفية كلمات المرور الضعيفة ورفضها عند إنشاء الحسابات. يمكنك تضمين قوائم رفض لكلمات المرور التي لا يمكن استخدامها مطلقًا. يمكنك أيضًا البحث فقط في الموارد المتوفرة عبر الإنترنت مثل Have I Been Pwned للتحقق مما إذا كان قد تم العثور على كلمة مرور في خروقات البيانات السابقة. يمكنك تنزيل قاعدة البيانات الكاملة لكلمات المرور المخترقة من Have I Been Pwned إذا كنت ترغب في استضافتها محليًا.
- التعليم : لطالما ظهرت “123456” في قوائم كلمات المرور الأكثر استخدامًا ، علينا أن نستمر في محاولة جمع الأساسيات الأساسية حول كلمات المرور.