لا تعذب الأشخاص بقواعد تكوين كلمات مرور معقدة للغاية ، ولكن ضع قائمة سوداء بكلمات المرور شائعة الاستخدام ، بالإضافة إلى طرق أخرى لمساعدة الأشخاص على مساعدة أنفسهم - ومؤسستك بأكملها
عندما كتب المهندس بيل بور من المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) في عام 2003 ما سيصبح قريبًا في العالم المعيار الذهبي لأمن كلمة المرورنصح الأشخاص والمؤسسات بحماية حساباتهم من خلال اختراع سطور طويلة و "فوضوية" من الأحرف والأرقام والعلامات - وتغييرها بانتظام.
بعد أربعة عشر عامًا ، اعترف بور بأنه نادم على نصيحته السابقة. "إنها تدفع الناس فقط إلى الموز ولا يختارون كلمات مرور جيدة بغض النظر عما تفعله" ، قال وقال وول ستريت جورنال.
أو ، كما هو مشهور وقد وضعت هزلية xkcd ذلك: "خلال 20 عامًا من الجهد ، نجحنا في تدريب الجميع على استخدام كلمات مرور يصعب على البشر تذكرها ، ولكن يسهل على أجهزة الكمبيوتر تخمينها."
في هذه الأيام ، شخص عادي لديه ما يصل إلى 100 كلمة مرور لتذكرها، مع تزايد العدد بوتيرة سريعة في السنوات الأخيرة (على الرغم من أن بعض الناس في الواقع تستخدم حوالي 50 كلمة مرور، بما في ذلك عدد من الرموز غير المتصلة بالإنترنت ، حتى منذ سنوات ، وقد أشار بعض خبراء الأمان إلى أن عادات وسياسات كلمات المرور هذه غير مستدامة.)
في الواقع ، وجدت الدراسات أن الناس يتذكرون عادة ما يصل إلى خمس كلمات مرور فقط واتخذ الاختصارات من خلال إنشاء ملفات كلمات مرور سهلة التخمين وثم إعادة تدويرها عبر حسابات مختلفة عبر الإنترنت. قد يقوم البعض في الواقع باستبدال الأرقام والأحرف الخاصة بالأحرف (على سبيل المثال ، تتحول "كلمة المرور" إلى "P4 ؟؟ WØrd") ، ولكن هذا لا يزال يجعل كلمة المرور سهلة الاختراق.
في السنوات الأخيرة ، قامت المنظمات الرائدة مثل The Open Web Application Security Project (OWASP) وبالطبع NIST نفسها حول سياساتهم ونصائحهم نحو نهج أكثر سهولة في الاستخدام - كل ذلك مع زيادة أمان كلمة المرور.
في نفس الوقت ، عمالقة التكنولوجيا مثل مایکروسافت و شراء مراجعات جوجل تشجع الجميع على التخلي عن كلمات المرور تمامًا و انطلق بدون كلمة مرور بدلاً من. ومع ذلك ، إذا لم يكن عملك الصغير أو المتوسط جاهزًا للتخلي عن كلمات المرور حتى الآن ، فإليك بعض الإرشادات التي ستضعك أنت وموظفيك في وضع جيد في عام 2023.
توقف عن فرض قواعد معقدة لا داعي لها لتكوين كلمة المرور
لم تعد أي قواعد تكوين معقدة للغاية (مثل مطالبة المستخدمين بتضمين كل من الأحرف الكبيرة والصغيرة ، ورقم واحد على الأقل وحرف خاص) أمرًا ضروريًا. هذا لأن مثل هذه القواعد نادرًا ما تشجع المستخدمين على تعيين كلمات مرور أقوى ، مما يدفعهم بدلاً من ذلك إلى التصرف بشكل متوقع والتوصل إلى كلمات مرور "ضربة مزدوجة" - كلاهما ضعيف ويصعب تذكره.
قم بالتبديل إلى عبارات المرور
بدلاً من كلمات المرور الأقصر ولكن الصعبة ، ابحث عن عبارات المرور. إنها أطول وأكثر تعقيدًا ولكن لا يزال من السهل تذكرها. على سبيل المثال ، قد تكون جملة كاملة عالقة في رأسك لسبب ما ، يتم رشها بالأحرف الكبيرة والأحرف الخاصة والرموز التعبيرية. على الرغم من أنه ليس معقدًا للغاية ، إلا أن الأدوات الآلية لا تزال تستغرق وقتًا طويلاً لتكسره.
قبل بضع سنوات ، كان الحد الأدنى لطول كلمة المرور الجيدة ثمانية أحرف ، والتي تتكون من الأحرف الصغيرة والعليا والعلامات والأرقام. اليوم ، يمكن لأدوات كسر كلمة المرور الآلية تخمين كلمة المرور هذه في دقائق ، خاصة إذا كانت مؤمنة بوظيفة التجزئة MD5.
هذا وفقا ل الاختبارات التي تديرها Hive Systems وتم نشره في أبريل 2023. على العكس من ذلك ، فإن كلمة المرور البسيطة التي تحتوي على أحرف صغيرة وكبيرة فقط ولكن بطول 18 حرفًا تستغرق وقتًا أطول بكثير للتكسير.
المصدر أنظمة الخلية
يجب ألا يقل طولها عن 12 حرفًا - وكلما زاد عدد الأحرف ، كان ذلك أفضل!
تقر إرشادات NIST بالطول كعامل رئيسي في قوة كلمة المرور وتقدم حدًا أدنى للطول المطلوب يبلغ 12 حرفًا يصل إلى 64 حرفًا كحد أقصى بعد دمج المسافات المتعددة. كل الأشياء متساوية ، كلما كان ذلك أفضل.
قم بتمكين مجموعة متنوعة من الشخصيات
عند تعيين كلمات المرور الخاصة بهم ، يجب أن يتمتع المستخدمون بحرية الاختيار من بين جميع أحرف ASCII و UNICODE القابلة للطباعة ، بما في ذلك الرموز التعبيرية. يجب أن يكون لديهم أيضًا خيار استخدام المسافات ، والتي تعد جزءًا طبيعيًا من عبارات المرور - وهي بديل يوصى به كثيرًا لكلمات المرور التقليدية.
تضييق الخناق على إعادة استخدام كلمة المرور
إنها الحكمة التقليدية الآن لا يجب على الأشخاص إعادة استخدام كلمات المرور الخاصة بهم عبر حسابات مختلفة عبر الإنترنت ، لأن خرق أحد الحسابات يمكن أن يؤدي بسهولة إلى اختراق حسابات أخرى.
ومع ذلك ، فإن العديد من العادات تموت بشدة ، وحوالي نصف المستجيبين في دراسة معهد بونيمون لعام 2019 اعترفوا بإعادة استخدام ما معدله خمس كلمات مرور عبر حسابات أعمالهم و / أو حساباتهم الشخصية.
لا تحدد تاريخ "استخدام بحلول" لكلمات المرور
توصي NIST أيضًا بعدم المطالبة بتغييرات كلمة المرور بشكل منتظم ما لم يطلبها المستخدم أو ما لم يكن هناك دليل على وجود حل وسط. الأساس المنطقي هو أن المستخدمين لديهم الكثير من الصبر فقط لضرورة التفكير باستمرار في كلمات مرور جديدة قوية بشكل معقول. ونتيجة لذلك ، فإن حملهم على القيام بذلك على فترات منتظمة يمكن أن يضر أكثر مما ينفع.
عندما أعلنت Microsoft عن إسقاط سياسات انتهاء صلاحية كلمة المرور قبل ثلاث سنوات ، تساءلت عن الفكرة الكاملة لانتهاء صلاحية كلمة المرور.
"إذا تم التسليم بأنه من المحتمل أن تتم سرقة كلمة المرور ، فكم عدد الأيام هي المدة الزمنية المقبولة للاستمرار في السماح للسارق باستخدام كلمة المرور المسروقة؟ الافتراضي لنظام Windows هو 42 يومًا. ألا يبدو هذا وقتًا طويلاً يبعث على السخرية؟ حسنًا ، إنه كذلك ، ومع ذلك فإن خط الأساس الحالي لدينا يشير إلى 60 يومًا - وكان يقول 90 يومًا - لأن فرض انتهاء الصلاحية المتكرر يؤدي إلى مشاكله الخاصة ، " يقرأ مدونة مايكروسوفت.
ضع في اعتبارك أن هذه مجرد نصيحة عامة. إذا كنت تقوم بتأمين تطبيق مهم لعملك وجذاب للمهاجمين ، فلا يزال بإمكانك إجبار موظفيك على تغيير كلمات المرور بشكل دوري.
تلميحات الخندق والمصادقة القائمة على المعرفة
كما أن تلميحات كلمة المرور وأسئلة التحقق القائمة على المعرفة قد عفا عليها الزمن. في حين أن هذه قد تساعد المستخدمين في الواقع في البحث عن كلمات المرور المنسية ، إلا أنها قد تكون ذات قيمة كبيرة للمهاجمين. أوضح زميلنا جيك مور في عدة مناسبات كيف يمكن للقراصنة استخدام صفحة "كلمة المرور المنسية" لاقتحام حسابات أشخاص آخرين ، على سبيل المثال PayPal و إنستغرام.
على سبيل المثال ، يمكن بسهولة تخمين سؤال مثل "اسم حيوانك الأليف الأول" من خلال القليل من البحث أو الهندسة الاجتماعية ، ولا يوجد حقًا عدد لا حصر له من الاحتمالات التي يجب أن تمر بها أداة آلية.
إضافة كلمات المرور الشائعة إلى القائمة السوداء
بدلاً من الاعتماد على قواعد التكوين المستخدمة سابقًا ، تحقق من كلمات المرور الجديدة مقابل "القائمة السوداء" لـ الأكثر استخداما و / أو كلمات المرور التي تم اختراقها مسبقًا وتقييم محاولات المطابقة على أنها غير مقبولة.
في 2019، فحصت مايكروسوفت تقارن حسابات المستخدمين أسماء المستخدمين وكلمات المرور بقاعدة بيانات تضم أكثر من ثلاثة مليارات مجموعة من بيانات الاعتماد المسربة. وجدت أن 44 مليون مستخدم لديهم كلمات مرور مخترقة وأجبرت على إعادة تعيين كلمة المرور.
تقديم الدعم لمديري كلمات المرور والأدوات
تأكد من أن وظيفة "النسخ واللصق" وأدوات كلمات مرور المتصفح ومديري كلمات المرور الخارجية مسموح لهم بالتعامل مع متاعب إنشاء كلمات مرور المستخدمين وحفظها.
يجب على المستخدمين أيضًا اختيار إما عرض كلمة المرور المقنعة بالكامل مؤقتًا أو آخر حرف مكتوب من كلمة المرور. وفقًا لإرشادات OWASP، الفكرة هي تحسين إمكانية استخدام إدخال بيانات الاعتماد ، لا سيما فيما يتعلق باستخدام كلمات مرور أطول وعبارات مرور ومديري كلمات مرور.
حدد فترة صلاحية قصيرة لكلمات المرور الأولية
عندما يُنشئ موظفك الجديد حسابًا ، يجب إنشاء كلمة المرور الأولية أو رمز التفعيل الذي ينشئه النظام بشكل آمن عشوائيًا ، بطول ستة أحرف على الأقل ، وقد يحتوي على أحرف وأرقام.
تأكد من انتهاء صلاحيتها بعد فترة قصيرة من الوقت ولا يمكن أن تصبح كلمة المرور الحقيقية وطويلة المدى.
إعلام المستخدمين بتغييرات كلمة المرور
عندما يغير المستخدمون كلمات المرور الخاصة بهم ، يجب أن يُطلب منهم أولاً إدخال كلمة المرور القديمة الخاصة بهم ، وبشكل مثالي ، تمكين المصادقة الثنائية (2FA). بمجرد الانتهاء ، يجب أن يتلقوا إشعارًا.
كن حذرًا بشأن عملية استعادة كلمة المرور الخاصة بك
لا يجب ألا تكشف عملية الاسترداد كلمة المرور الحالية فحسب ، بل يجب أن ينطبق الأمر نفسه أيضًا على المعلومات المتعلقة بما إذا كان الحساب موجودًا بالفعل أم لا. بمعنى آخر ، لا تزود المهاجمين بأي معلومات (غير ضرورية)!
استخدم CAPTCHA وعناصر التحكم الأخرى المضادة للأتمتة
استخدم عناصر التحكم في مكافحة الأتمتة للتخفيف من اختبار بيانات الاعتماد المخترق والقوة الغاشمة وهجمات تأمين الحساب. تتضمن هذه الضوابط حظر كلمات المرور الأكثر شيوعًا التي تم اختراقها ، أو عمليات الإغلاق الناعمة ، أو تحديد المعدل ، أو اختبار CAPTCHA ، أو التأخيرات المتزايدة باستمرار بين المحاولات ، أو قيود عنوان IP ، أو القيود القائمة على المخاطر مثل الموقع ، أو تسجيل الدخول لأول مرة على الجهاز ، أو المحاولات الأخيرة لإلغاء قفل الحساب ، أو مشابه.
وفقًا لمعايير OWASP الحالية ، يجب أن يكون هناك 100 محاولة فاشلة على الأكثر في الساعة على حساب واحد.
لا تعتمد فقط على كلمات المرور
بغض النظر عن مدى قوة كلمة المرور وفريدة من نوعها ، فإنها تظل حاجزًا واحدًا يفصل بين المهاجم وبياناتك القيمة. عند استهداف حسابات آمنة ، يجب اعتبار طبقة مصادقة إضافية ضرورة مطلقة.
لهذا السبب يجب عليك استخدام المصادقة الثنائية (2FA) أو المصادقة متعددة العوامل (MFA) كلما أمكن ذلك.
ومع ذلك ، ليست كل خيارات 2FA متساوية. الرسائل النصية القصيرة ، رغم أنها أفضل بكثير من عدم وجود 2FA على الإطلاق ، فهي عرضة لتهديدات عديدة. تتضمن البدائل الأكثر أمانًا استخدام أجهزة مخصصة ومولدات كلمات المرور لمرة واحدة (OTP) المستندة إلى البرامج ، مثل التطبيقات الآمنة المثبتة على الأجهزة المحمولة.
ملاحظة: هذه المقالة هي نسخة محدثة وموسعة من هذه المقالة التي نشرناها في عام 2017: لا مزيد من متطلبات كلمة المرور غير المجدية
ربما تحقق من منشئ كلمة مرور ESET?
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
