انتهى الوقت: لماذا يجب عليك تغيير سياسة انتهاء صلاحية كلمة المرور الخاصة بك
طالبت أفضل الممارسات منذ فترة طويلة بوضع سياسات لفرض انتهاء صلاحية كلمات المرور بشكل دوري. لقد كنت شخصياً دائمًا ما أكون متشككًا بشأن عملية انتهاء صلاحية كلمة المرور القسرية ، ولكن هذه الممارسة متأصلة بعمق في ثقافة تكنولوجيا المعلومات لدرجة أنني لم أرغب أبدًا في التغلب على هذه المشكلة من خلال تقديم المشورة ضد استخدام هذه السياسات. بطريقة ما ، كان القيام بذلك يبدو غير مسؤول. ومع ذلك ، قامت Microsoft مؤخرًا بنشر قواعد الأمان الخاصة بها لنظامي التشغيل Windows 10 1903 و Windows Server 1903. في هذا الدليل ، أوصت Microsoft بعدم استخدام سياسات انتهاء صلاحية كلمة المرور. السؤال هو لماذا.
لفهم الأساس المنطقي وراء هذه الخطوة غير المتوقعة إلى حد ما ، عليك التفكير مرة أخرى في الأيام الأولى لتكنولوجيا المعلومات. في ذلك الوقت ، كان من الصعب جدًا اكتشاف استخدام أوراق الاعتماد المسروقة. وفي هذه الحالة ، تم تنفيذ سياسات انتهاء صلاحية كلمة المرور كوسيلة لضمان أنه إذا نجح شخص ما في سرقة كلمة مرور ، فلن تكون كلمة المرور المسروقة ذات فائدة إلا لفترة محدودة.
وفقًا لمعايير اليوم ، فإن هذا النهج مثير للسخرية. إذا تمكن شخص ما من سرقة كلمة مرور ، فيمكنه إلحاق أضرار لا توصف في غضون دقائق. هل من الذكي حقًا السماح لهذا الشخص بالحصول على حكم مجاني من الحساب المخترق حتى تنتهي صلاحية كلمة المرور خلال بضعة أسابيع؟ بالطبع لا. يجب معالجة الانتهاكات الأمنية في الوقت الفعلي.
ضعف الأمن ، وليس تعزيزه
على الجانب الآخر من المشكلة ، فإن المطالبة بتغييرات كلمة المرور الدورية يمكن أن يضعف في الواقع أمن المنظمة. لا يسعني إلا أن أفكر مرة أخرى في منظمة عملت معها في بداية حياتي المهنية في تكنولوجيا المعلومات. مثل كل المنظمات الأخرى التي يمكنني التفكير فيها ، طلبت هذه الشركة بالذات إعادة تعيين كلمة المرور الدورية. ومع ذلك ، فعلوا ذلك بطريقة مختلفة تماما عن أي شيء رأيته في أي مكان آخر. بدلاً من مطالبة المستخدم بإدخال كلمة المرور الخاصة به ، قام النظام بتعيين كلمات مرور للمستخدمين. تتكون كلمات المرور هذه من كلمتين عشوائيتين (عادةً اسم واحد أو اثنين من مقاطع مقطع لفظي) ، مفصولة عن بعضها البعض بمسافة. مثال على كلمة المرور التي أنشأها النظام قد تكون “فندق الكنيسة”.
شيء واحد ستلاحظه حول نموذج كلمة المرور هذه هو بساطته. على الرغم من أن كلمة المرور بطول 12 حرفًا ، إلا أنها تتكون من كلمتين ، مقطع واحد مقطع ، وكلتاهما موجودة في القاموس. ومع ذلك ، يمكنني أن أتذكر بوضوح الأشخاص الذين يواجهون صعوبة في تذكر كلمات المرور الخاصة بهم. كان عليّ مرة واحدة إعادة تعيين كلمة المرور لأنني لم أستطع تذكر كلمة المرور الجديدة التي خصصها النظام لي.
الآن ، قارن بين كلمة المرور البسيطة التي أوضحتها للتو لما تطلبه الكثير من المنظمات اليوم. ليس من غير المألوف أن يبلغ طول كلمة المرور الحديثة 12 حرفًا ، تمامًا مثل كلمة المرور الخاصة بي منذ فترة طويلة. لكن الأمر المختلف هو أن كلمات المرور الحديثة تميل إلى أن تكون مجموعات عشوائية تمامًا من الحروف والأرقام والرموز العليا والصغيرة. إذا واجه المستخدمون صعوبة في حفظ زوج من الكلمات البسيطة ذات مقطع واحد ، فعليك فقط تخيل مدى صعوبة المستخدم في حفظ سلسلة معقدة من الأحرف العشوائية ، خاصةً عندما تتغير كلمة مرور المستخدم كل بضعة أسابيع.
في رأيي ، لا حرج في كلمات المرور المعقدة والعشوائية. يجب أن تكون كلمات المرور معقدة بشكل كافٍ لتجنب التعرض للاختراق أثناء هجوم القاموس. ومع ذلك ، فإن طلب استخدام كلمات مرور طويلة ومعقدة وكذلك تتطلب تغييرات متكررة لكلمة المرور هو مجرد طلب لبدأ مشكلة. سيواجه معظم المستخدمين مشكلة في تذكر كلمة المرور الحالية ، والتي تؤدي إما إلى إعادة تعيين كلمة المرور بشكل ثابت أو عادات كلمة المرور السيئة أو كليهما. إذا كنت بحاجة إلى مثال ملموس ، فلا تنظر إلى أبعد من وكالة إدارة الطوارئ في هاواي ، التي تلقت انتقادات حادة بعد أن تم تصوير أحد موظفيها أمام جهاز كمبيوتر مكتوب عليه كلمة مرور المستخدم في ملاحظة لاصقة.
كان أكثر الأمثلة جرأة على استخدام كلمة المرور المتهورة التي رأيتها شخصيًا هو موقف استخدم فيه المستخدم شاشة توقف Windows 3D Text لعرض كلمة مروره. لا يمكنك تكوين هذه الأشياء.
على أي حال ، فإن سياسات تغيير كلمة المرور هي من بقايا الأيام الماضية وكانت تهدف إلى تحديد آلية وصول المهاجمين إلى حساب مخترق. اليوم ، ومع ذلك ، فإن خروقات الأمان المتعلقة بكلمة المرور أسهل بكثير في اكتشافها عما كانت عليه من قبل. إذا كانت المنظمة واثقة من قدرتها على اكتشاف خرق الحساب ، فلا يوجد سبب يدعو المستخدم لتغيير كلمة المرور الخاصة به ما لم يتم اختراق حسابه.
مستقبل كلمات المرور
فكرة أن سياسات انتهاء صلاحية كلمة المرور أصبحت بالية تثير نقطة مهمة. كثير من الناس يعتبرون كلمات المرور نفسها قديمة. وفقًا لمقالات كلمات 2012 السلكية ، يمكن تتبع جذورها إلى مشروع معهد ماساتشوستس للتكنولوجيا من 1960s. تتكهن بعض المصادر أن استخدام كلمات المرور قد يكون أقدم من ذلك.
بغض النظر عن الوقت الذي تم فيه اختراع كلمات المرور فعليًا ، فمن الإنصاف القول إن كلمات المرور موجودة منذ أكثر من نصف قرن. لقد شهد عدد قليل جدًا من تقنيات تكنولوجيا المعلومات هذا النوع من طول العمر ، ومع ذلك يظل مفهوم كلمة المرور بدون تغيير نسبيًا لأكثر من خمسين عامًا. في حين أن البعض قد يقول أن كلمات المرور صمدت أمام اختبار الزمن ، فإن البعض الآخر (من بينهم أنا) قد يقول إن كلمات المرور تجاوزت فائدتها.
المشكلة الرئيسية مع كلمات المرور هي أنه يمكن اختراقها بسهولة. من المحتمل أننا سمعنا جميعًا قصصًا عن كلمة مرور يسرقها شخص يقوم بتصفح الكتف (يقف وراء شخص أثناء قيامه بكتابة كلمة المرور الخاصة به). ومع ذلك ، أصبح الفعل البسيط المتمثل في مراقبة شخص ما أثناء كتابة كلمة المرور الخاصة به أكثر تطوراً. بالأمس فقط ، أخبرني شخص ما عن استغلال يقوم فيه ممثلون سيئون باستخدام كاميرات التصوير الحراري للبحث عن تواقيع الحرارة على المفاتيح لمعرفة أي المفاتيح تم الضغط عليها. من خلال ما قيل لي ، يتم استخدام هذا الاستغلال بشكل أساسي على أجهزة الصراف الآلي لمعرفة أرقام التعريف الشخصية ، ولكن يمكن تطبيق المفهوم الأساسي نفسه بسهولة على سرقة كلمة المرور.
في السنوات الأخيرة ، قدمت لنا التكنولوجيا بدائل أفضل وأكثر أمانًا وأقل تعقيدًا لاستخدام كلمة المرور. على سبيل المثال ، تم تكوين الكمبيوتر المحمول Microsoft Surface Book 2 الخاص بك لإجراء مصادقة تستند إلى التعرف على الوجه. تعمل عملية تسجيل الدخول بشكل جيد بشكل مدهش ، ولا توجد كلمات مرور لتذكرها. أفضل للجميع ، هناك فرصة ضئيلة لشخص ما لسرقة كلمة مرور ، لأنه لا توجد كلمة مرور. منحت ، يستخدم Surface Book 2 رقم PIN رقمي كآلية مصادقة احتياطية ، لكن رقم التعريف الشخصي مطلوب فقط في حالة فشل التعرف على الوجه ، وتعمل آلية التعرف على الوجه بشكل جيد بما فيه الكفاية بحيث تكون حالات فشل المصادقة نادرة جدًا.
تغيير سياسة انتهاء الصلاحية: تحذير واحد
في رأيي ، فإن هذه الخطوة للتخلص من سياسات انتهاء صلاحية كلمة المرور طال انتظارها. لا تؤدي متطلبات تغييرات كلمة المرور الدورية إلى نتائج جيدة في العالم الحديث ، وقد تضعف الأمان بالفعل. قبل التخلي تمامًا عن سياسة تغيير كلمة المرور الخاصة بك ، من المهم أن تتذكر أن التخلي عن هذه السياسات قد لا يكون خيارًا في المنظمات الخاضعة للتنظيم. قد تحتوي بعض مجموعات المتطلبات التنظيمية على متطلبات محددة حول التردد الذي يجب تغيير كلمات المرور الخاصة به.