إن تغيير كلمات المرور بشكل إلزامي على فترات زمنية منتظمة هو حقيقة واقعة في العديد من المؤسسات. ويؤيد المؤيدون هذه الممارسة القديمة باعتبارها تدبيرًا أمنيًا أساسيًا جيدًا للتخفيف من مخاطر فقدان كلمة المرور. ولكن هل لا تزال هذه الممارسة صالحة بعد عقود من ظهورها لأول مرة؟
ما الذي يحله انتهاء صلاحية كلمة المرور؟
أولاً، من المهم أن نفهم سبب انتشار انتهاء صلاحية كلمة المرور القسرية. تتطلب معظم المؤسسات تغيير كلمة المرور كل 30 أو 90 يومًا. تواريخ من الخلفية التاريخية من الممكن اختراق كلمات المرور البسيطة بسرعة نسبية. عندما كان بإمكان المهاجم اختراق كلمة المرور في غضون بضعة أشهر، اقترح خبراء الأمن أن التغييرات التي يتم إجراؤها خلال هذا الإطار الزمني من شأنها أن تساعد في الحفاظ على أمان المستخدمين.
يبدو نموذج التهديد اليوم مختلفًا إلى حد ما. كلمات المرور المشفرة بآليات التجزئة الحديثة قد يستغرق الأمر مليارات من السنوات لكسر بنجاح.
في الوقت الحاضر، يقوم المجرمون بجمع كلمات المرور بطرق تركز عليك، كمستخدم، بدلاً من الخدمة التي تخزنها. وتعد هجمات التصيد الاحتيالي والهندسة الاجتماعية من أخطر المخاطر، فضلاً عن هجمات القاموس المنسقة باستخدام قوائم بكلمات المرور المعروفة. يتم الحصول على هذه القوائم من خروقات البيانات السابقة.
تعني التغييرات في مشهد التهديدات أن انتهاء صلاحية كلمات المرور لم يعد يحل المشكلة التي كانت مخصصة لها. تحدث الاختراقات في ثوانٍ. وبحلول الوقت الذي تغير فيه كلمة المرور الخاصة بك، ربما يكون المهاجمون قد رحلوا منذ فترة طويلة.
المشاكل المتعلقة بانتهاء صلاحية كلمات المرور
إن تغيير كلمات المرور بشكل إجباري يشكل إحباطًا شائعًا بين المستخدمين. فقد يميلون إلى اختيار سلسلة من كلمات المرور القصيرة التي يسهل تذكرها. ويقوم بعض المستخدمين بتدوين كل كلمة مرور، مما قد يعرضها للخطر – سواء في ملف نصي أو كملاحظة على سطح المكتب.
الأبحاث في جامعة نورث كارولينا تم العثور على مهاجم لديه إمكانية الوصول يمكن أن يؤدي تغيير كلمات المرور السابقة إلى تحديد كلمة المرور الحالية للمستخدم في أقل من 3 ثوانٍ في 41% من الحالات. وهذا يوفر دليلاً قويًا على أن العديد من المستخدمين يقومون فقط بتغييرات بسيطة على كلمات المرور الخاصة بهم في الفترة الزمنية المطلوبة.
الغرض من انتهاء صلاحية كلمات المرور هو وضع حد زمني لوصول المهاجم إلى نظام مخترق. وفي ظل المشهد المتغير اليوم، قد يكون لدى المتسلل بالفعل وصول مستمر بحلول الوقت الذي يسرق فيه قائمة كلمات المرور. يؤدي تثبيت مسجل مفاتيح أو أي برنامج ضار آخر مماثل على الفور إلى تجنب جميع فوائد انتهاء صلاحية كلمة المرور.
أخيرًا، أصبح هناك مختبرو اختراق في العالم الحقيقي وقد صرحوا بأنهم لا تخضع لسياسة انتهاء صلاحية كلمة المرور. غالبًا ما تكون السياسات دفاعية ضد التهديدات التي لا يمكنها أن تأمل في احتوائها. في هذه الأيام، يجب النظر إلى تغييرات كلمة المرور المنتظمة على أنها جهد لتشجيع المستخدمين على الحفاظ على الأمان. في الممارسة العملية، لا تصلح هذه السياسة أيضًا، لأنها تمثل إزعاجًا سيحاول المستخدمون تجنبه.
لقد تحول التيار ضد تغيير كلمة المرور الخاصة بك
وقد أدت هذه العوامل مجتمعة إلى تحول العديد من المنظمات البارزة ضد سياسات تغيير كلمة المرور في السنوات الأخيرة. من المملكة المتحدة المركز الوطني للأمن السيبراني (NCSC) إلى مايكروسوفت خط الأساس الرسمي لأمان Windowsلقد أصبحت هذه الممارسة التي كانت منتشرة في كل مكان في وقت سريع غير مرغوب فيها.
في منشور على إحدى المدونات في عام 2016، أوضح المركز الوطني للأمن الإلكتروني أن انتهاء الصلاحية يمثل “تكلفة قابلية الاستخدام” للمستخدمين والتي تفوق الفوائد الأمنية المشكوك فيها بالفعل:
إن هذا أحد السيناريوهات الأمنية التي تتعارض مع البديهيات؛ فكلما اضطر المستخدمون إلى تغيير كلمات المرور بشكل متكرر، كلما زادت احتمالات تعرضهم للهجوم. وقد تبين أن ما بدا وكأنه نصيحة معقولة تمامًا ومستقرة منذ فترة طويلة لا تصمد أمام تحليل صارم للنظام بأكمله.
من المرجح أن يؤدي تأثير إرهاق كلمة المرور إلى إضعاف الموقف الأمني العام للمؤسسة، حيث يختار المستخدمون كلمات مرور أقل أمانًا ويفقدون حذرهم من التهديدات المستمرة. لن ينزعج المهاجمون من سياسة انتهاء صلاحية كلمة المرور – تتم سرقة المعلومات في لحظة، وعادةً قبل وقت طويل من تغيير كلمة المرور المجدول الذي قد يخفف من التأثير.
ماذا نستخدم بدلا من ذلك؟
لا يزال لدى مسؤولي النظام العديد من الأدوات لحماية مؤسساتهم. ومن بين الخيارات المتاحة، يمكن أن يكون التعليم أحد أقوى الأساليب طويلة الأجل. اشرح للمستخدمين مخاطر كلمات المرور منخفضة الأمان لتشجيعهم على اتخاذ خيارات أكثر أمانًا.
يجب عليك أيضًا تبني نهج مصادقة متعدد العوامل. فإضافة تطبيق مصادقة إلى المعادلة يمنع المهاجمين من استخدام كلمات المرور، حتى إذا نجحوا في سرقتها. ولم يكن هذا ممكنًا في السابق عندما بدأ اعتماد سياسات انتهاء صلاحية كلمات المرور لأول مرة.
إذا كنت لا تزال تصر على تغيير كلمات المرور بانتظام، أو إذا كانت صناعتك تتطلب ذلك بموجب تشريعات، فابحث عن طرق لمساعدة المستخدمين. إن توفير برنامج معتمد لإدارة كلمات المرور سيسمح للمستخدمين بإنشاء كلمات مرور آمنة وتخزينها، دون اللجوء إلى عبارات بسيطة مكتوبة بخط اليد على ورق الملاحظات.
إن إلغاء صلاحية كلمات المرور لا يعني التخلي عن جميع آليات التحكم في كلمات المرور. لا يزال بإمكانك فرض حد أدنى من الطول والتعقيد لتوجيه المستخدمين نحو خيارات قوية. بالإضافة إلى ذلك، يجب عليك الاحتفاظ بالقدرة على إبطال كلمات المرور حتى تتمكن من قفل أنظمتك بسرعة في حالة حدوث خرق.
النتيجة: حان الوقت للتوقف عن استخدام كلمات مرور منتهية الصلاحية
كانت عمليات انتهاء صلاحية كلمات المرور فعالة بشكل معقول في إيقاف الهجمات الإلكترونية التي كانت تحدث على شبكة الإنترنت في الماضي. أما الآن فقد أصبحت هذه العمليات تسبب مشاكل أكثر من قيمتها الحقيقية. إن الاستمرار في فرض تغييرات منتظمة لكلمات المرور من شأنه أن يسبب إحباط المستخدمين، ويتسبب في زيادة الاستفسارات من قسم المساعدة في تكنولوجيا المعلومات، ويخلف تأثيرات ضئيلة – أو سلبية – على وضعك الأمني.
كانت سياسات انتهاء الصلاحية مفيدة عندما كان الإنترنت مكانًا أصغر وأبطأ. لقد تطور الإنترنت والتهديدات التي يشكلها بشكل كبير على مدار العقدين الماضيين. أصبح من الشائع الآن أن يخبر المستخدمون المهاجم بكلمة المرور الخاصة بهم، في رسالة بريد إلكتروني احتيالية أو في مكالمة احتيالية، بدلاً من أن “يسرق” المتسلل كلمة المرور فعليًا.
بالنسبة للأنظمة التي يشكل الوصول المستمر إليها خطرًا، فإن الحصول على كلمة مرور مستخدم مميز مرة واحدة يمنح المهاجم القدرة على تثبيت باب خلفي أو إعداد حساب مستخدم خاص به. ومع تراكم العديد من العوامل ضد انتهاء صلاحية كلمة المرور كإجراء للتخفيف من المخاطر الأمنية، أصبح من المهم الآن التركيز على نظافة كلمة المرور الأساسية والصورة الأكبر للدفاعات السيبرانية.
إن إلغاء سياسة انتهاء صلاحية كلمة المرور من شأنه أن يرضي المستخدمين ويساهم في تعزيز وضعك الأمني. قارن بين الفوائد الأمنية لممارسات كلمة المرور الخاصة بك وتكلفة قابلية الاستخدام المتمثلة في إعادة تعلم المستخدمين لبيانات اعتمادهم كل بضعة أشهر. لا تزال العديد من لوائح الامتثال مثل PCI-DSS وHIPAA تتطلب تغييرات منتظمة لكلمة المرور، ولكن في الصناعات غير الخاضعة للتنظيم، يجب عليك الآن التفكير مرتين قبل استخدام انتهاء صلاحية إلزامي.