لماذا يعد إلغاء صلاحية كلمات المرور خطوة محفوفة بالمخاطر على أمنك الرقمي؟
إلغاء انتهاء صلاحية كلمات المرور قد يخفف من إزعاج المستخدمين وفرق الدعم، لكنه قد يعرض مؤسستك لمخاطر أمنية أكبر على المدى الطويل.
يمكن أن تكون إعادة تعيين كلمة المرور محبطة للمستخدمين النهائيين. لا أحد يحب أن تتم مقاطعته من خلال إشعار “حان وقت تغيير كلمة المرور الخاصة بك” – ويحبون ذلك بشكل أقل عندما يتم رفض كلمات المرور الجديدة التي يقومون بإنشائها بواسطة سياسة كلمة المرور الخاصة بمؤسستهم. تتقاسم فرق تكنولوجيا المعلومات الألم، حيث تمثل إعادة تعيين كلمات المرور عبر تذاكر مكتب الخدمة ومكالمات الدعم عبئًا يوميًا. وعلى الرغم من ذلك، فمن المقبول عمومًا أن جميع كلمات المرور يجب أن تنتهي صلاحيتها بعد فترة زمنية محددة.
لماذا هذا هو الحال؟ هل تحتاج إلى انتهاء صلاحية كلمة المرور على الإطلاق؟ اكتشف سبب وجود فترات انتهاء الصلاحية ولماذا قد يؤدي تعيين كلمات المرور على “لا تنتهي صلاحيتها أبدًا” إلى توفير بعض المتاعب، ولكنها ليست أفضل فكرة للأمن السيبراني.
لماذا لدينا انتهاء صلاحية كلمة المرور؟
تنبع سياسة إعادة تعيين كلمة المرور التقليدية لمدة 90 يومًا من الحاجة إلى الحماية منها هجمات القوة الغاشمة. تقوم المؤسسات عادةً بتخزين كلمات المرور على هيئة تجزئة، وهي عبارة عن إصدارات مشفرة من كلمات المرور الفعلية التي تم إنشاؤها باستخدام وظائف تجزئة التشفير (CHFs). عندما يقوم المستخدم بإدخال كلمة المرور الخاصة به، يتم تجزئتها ومقارنتها بالتجزئة المخزنة. يجب على المهاجمين الذين يحاولون اختراق كلمات المرور هذه تخمين الكلمة الصحيحة عن طريق تشغيل كلمات المرور المحتملة من خلال نفس خوارزمية التجزئة ومقارنة النتائج. يمكن أن تكون العملية أكثر تعقيدًا بالنسبة للمهاجمين من خلال تقنيات مثل التمليح، حيث تتم إضافة سلاسل عشوائية إلى كلمات المرور قبل التجزئة.
تعتمد هجمات القوة الغاشمة على عدة عوامل، بما في ذلك القوة الحسابية المتاحة للمهاجم وقوة كلمة المرور. تم اعتبار فترة إعادة التعيين البالغة 90 يومًا بمثابة نهج متوازن لتجاوز هجمات القوة الغاشمة مع عدم إثقال كاهل المستخدمين بإجراء تغييرات متكررة للغاية. ومع ذلك، أدى التقدم التكنولوجي إلى تقليل الوقت اللازم لاختراق كلمات المرور، مما دفع إلى إعادة تقييم هذه السياسة. على الرغم من ذلك، يظل انتهاء الصلاحية لمدة 90 يومًا بمثابة توصية في العديد من معايير الامتثال، بما في ذلك PCI.
لماذا تخلصت بعض المنظمات من انتهاء الصلاحية؟
إحدى الحجج الرئيسية ضد انتهاء صلاحية كلمة المرور العادية هي أنها يمكن أن تؤدي إلى إعادة استخدام كلمات المرور الضعيفة. يقوم المستخدمون غالبًا بإجراء تغييرات طفيفة على كلمات المرور الحالية، مثل تغيير ‘Password1!’ إلى ‘Password2!’. تقوض هذه الممارسة الفوائد الأمنية لتغييرات كلمة المرور. لكن المشكلة الحقيقية هنا ليست عملية إعادة تعيين كلمات المرور بل سياسة المنظمة التي تسمح بكلمات مرور ضعيفة في المقام الأول.
السبب الأكبر وراء اختيار المؤسسات لكلمات المرور “التي لا تنتهي صلاحيتها أبدًا” هو تقليل عبء تكنولوجيا المعلومات ومكتب الخدمة. تعد تكلفة وعبء إعادة تعيين كلمة المرور في مكاتب مساعدة تكنولوجيا المعلومات أمرًا كبيرًا. تقدر شركة Gartner أن ما بين 20 إلى 50% من مكالمات مكتب مساعدة تكنولوجيا المعلومات مرتبطة بإعادة تعيين كلمة المرور، مع كل عملية إعادة تعيين تكلف حوالي 70 دولارًا في العمل وفقا لشركة فوريستر. وهذا يزيد الأمر سوءًا، خاصةً عندما ينسى المستخدمون كلمات المرور الخاصة بهم بشكل متكرر بعد إجبارهم على إنشاء كلمات مرور جديدة.
ولذلك قد تميل بعض المؤسسات إلى إجبار المستخدمين النهائيين على إنشاء كلمة مرور واحدة قوية جدًا ثم تعيين كلمات المرور على “لا تنتهي صلاحيتها أبدًا” من أجل تقليل عبء تكنولوجيا المعلومات وإعادة ضبط التكاليف.
ما هي مخاطر كلمات المرور “التي لا تنتهي صلاحيتها أبدًا”؟
إن امتلاك كلمة مرور قوية وعدم تغييرها مطلقًا قد يمنح الشخص إحساسًا زائفًا بالأمان. كلمة المرور القوية ليست محصنة ضد التهديدات؛ يمكن أن يكون عرضة لمخططات التصيد الاحتيالي أو خروقات البيانات أو أنواع أخرى من الحوادث السيبرانية دون أن يدرك المستخدم ذلك. وجد تقرير Specops لكلمات المرور المخترقة أن 83% من كلمات المرور التي تم اختراقها تفي بالمعايير التنظيمية للطول والتعقيد.
قد يكون لدى إحدى المؤسسات سياسة كلمة مرور قوية حيث يُجبر كل مستخدم نهائي على إنشاء كلمة مرور قوية مقاومة لهجمات القوة الغاشمة. ولكن ماذا يحدث إذا قرر الموظف إعادة استخدام كلمة المرور الخاصة به في Facebook وNetflix وجميع التطبيقات الشخصية الأخرى أيضًا؟ يزداد خطر اختراق كلمة المرور بشكل كبير، بغض النظر عن إجراءات الأمن الداخلي التي تطبقها المنظمة. استطلاع بواسطة LastPass وجدت أن 91% من المستخدمين النهائيين يفهمون مخاطر إعادة استخدام كلمة المرور – لكن 59% فعلوا ذلك على أي حال.
هناك خطر آخر يتعلق بكلمات المرور “التي لا تنتهي صلاحيتها أبدًا”، وهو أن المهاجم قد يستخدم مجموعة من بيانات الاعتماد المخترقة لفترة طويلة من الزمن. وجد معهد بونيمون أن الأمر عادةً ما يتطلب وجود مؤسسة ما 207 يوما لتحديد الانتهاك. في حين أن فرض انتهاء صلاحية كلمة المرور قد يكون مفيدًا هنا، فمن المحتمل أن يكون المهاجم قد حقق أهدافه بالفعل بحلول وقت انتهاء صلاحية كلمة المرور. وبالتالي، تنصح NIST والمبادئ التوجيهية الأخرى المؤسسات بتعيين كلمات مرور بحيث لا تنتهي صلاحيتها أبدًا إذا كانت لديها آليات لتحديد الحسابات المخترقة.
كيفية اكتشاف كلمات المرور المخترقة
يجب على المؤسسات اعتماد استراتيجية شاملة لكلمة المرور تتجاوز انتهاء الصلاحية المنتظم. يتضمن ذلك توجيه المستخدمين لإنشاء عبارات مرور قوية تتكون من 15 حرفًا على الأقل. ومن الممكن أن تؤدي مثل هذه السياسة إلى الحد بشكل كبير من التعرض لهجمات القوة الغاشمة. ويمكن أيضًا تشجيع المستخدمين النهائيين على إنشاء كلمات مرور أطول من خلال التقادم على أساس الطول، حيث يُسمح باستخدام كلمات مرور أطول وأقوى لفترات طويلة قبل انتهاء صلاحيتها. يلغي هذا النهج الحاجة إلى وقت انتهاء صلاحية واحد يناسب الجميع، بشرط أن يلتزم المستخدمون بسياسة كلمة المرور الخاصة بالمؤسسة.
|
| تظهر الصورة إنشاء كلمات مرور أقوى والشيخوخة على أساس الطول |
ومع ذلك، حتى كلمات المرور القوية يمكن أن تتعرض للاختراق ويجب اتخاذ تدابير للكشف عن ذلك. بمجرد اختراقها، يتحول وقت اختراق كلمة المرور في أسفل يمين الجدول أعلاه إلى “فورًا”. تحتاج المؤسسات إلى استراتيجية مشتركة للتأكد من أنها تحمي نفسها من كلمات المرور الضعيفة والمخترقة.
إذا كنت مهتمًا بإدارة كل ما سبق بطريقة تلقائية من واجهة سهلة الاستخدام ضمن Active Directory، فقد تكون Specops Password Policy أداة قيمة في ترسانة الأمن السيبراني لديك. من خلال خدمة حماية كلمة المرور المخترقة، يمكن لسياسة كلمة المرور الخاصة بشركة Specops التحقق بشكل مستمر من استخدام أكثر من 4 مليار كلمة مرور فريدة ومعروفة ومخترقة ومنعها. شاهد بنفسك من خلال عرض حي.
(علامات للترجمة)أخبار الأمن السيبراني
