التغييرات الإلزامية لكلمة المرور على إطار زمني منتظم هي حقيقة واقعة داخل العديد من المنظمات. يؤيد المؤيدون هذه الممارسة القديمة كإجراء أمني أساسي جيد للتخفيف من مخاطر فقدان كلمة المرور. لكن هل ما زالت قائمة بعد عقود من ظهورها لأول مرة؟
ماذا يحل انتهاء صلاحية كلمة المرور؟
أولاً ، من المهم أن تفهم سبب انتشار انتهاء صلاحية كلمة المرور المفروضة. تطلب معظم المؤسسات تغيير كلمة المرور كل 30 أو 90 يومًا.يعود هذا إلى الخلفية التاريخية لأبسط تجزئة لكلمات المرور والتي يمكن اختراقها بسرعة نسبيًا. مرة أخرى عندما تمكن المهاجم من اختراق كلمة المرور في غضون شهرين ، اقترح ممارسو الأمن أن التغييرات خلال هذا الإطار الزمني ستساعد في الحفاظ على أمان المستخدمين.
نموذج التهديد اليوم يبدو مختلفًا نوعًا ما. قد تستغرق كلمات المرور المشفرة بآليات التجزئة الحديثة مليارات السنين لتكسر بنجاح.
في الوقت الحاضر يجمع المجرمون كلمات المرور بطرق تركز عليك ، كمستخدم ، بدلاً من الخدمة التي تخزنها. تعتبر هجمات التصيد الاحتيالي وهجمات الهندسة الاجتماعية من أكبر المخاطر ، بالإضافة إلى هجمات القاموس المنسقة باستخدام قوائم كلمات المرور المعروفة. تم الحصول على هذه القوائم من خروقات البيانات السابقة.
التغييرات في مشهد التهديد تعني أن انتهاء صلاحية كلمة المرور لم يعد يحل المشكلة التي كانت مخصصة لها. التنازلات تحدث في ثوان. بحلول الوقت الذي تقوم فيه بتغيير كلمة المرور الخاصة بك ، ربما يكون المهاجمون قد اختفوا منذ فترة طويلة.
مشاكل انتهاء صلاحية كلمة المرور
تغييرات كلمة المرور القسرية هي مصدر إحباط شائع بين المستخدمين. قد يميلون إلى اختيار سلسلة من كلمات المرور القصيرة التي يسهل حفظها. سيلاحظ بعض المستخدمين كل كلمة مرور لأسفل ، مما قد يعرضها للخطر - سواء في ملف نصي ، أو كملاحظة على سطح المكتب بعد نشرها.
وجدتبحثًا في جامعة نورث كارولينا أن المهاجم الذي لديه إمكانية الوصول إلى كلمات المرور السابقة يمكنه تحديد كلمة المرور الحالية للمستخدم في أقل من 3 ثوانٍ في 41٪ من الحالات. يوفر هذا دليلًا قويًا على أن العديد من المستخدمين يقومون بإجراء تغييرات بسيطة فقط على كلمات المرور الخاصة بهم في الفاصل الزمني المحدد.
تهدف انتهاء صلاحية كلمة المرور إلى وضع حد زمني لوصول المهاجم إلى نظام مخترق. في المشهد المتغير اليوم ، قد يكون لدى المتسلل وصول مستمر بالفعل بحلول الوقت الذي يسرق فيه قائمة كلمات المرور. يؤدي تثبيت أداة تسجيل مفاتيح أو برامج ضارة أخرى مماثلة إلى تجنب جميع مزايا انتهاء صلاحية كلمة المرور على الفور.
أخيرًا ، ذكر مختبرو القلم في العالم الحقيقي أنهم غير مثقلين بسياسة انتهاء صلاحية كلمة المرور. غالبًا ما تدافع السياسات عن التهديدات التي لا تأمل في احتوائها. في هذه الأيام ، يجب النظر إلى التغييرات المنتظمة لكلمات المرور على أنها محاولة لتشجيع المستخدمين على الحفاظ على الأمان. من الناحية العملية ، إنه غير مناسب لهذا أيضًا ، لأنه يمثل إزعاجًا سيحاول المستخدمون تجنبه.
المد يتحول ضد تغيير كلمة المرور الخاصة بك
أدت هذه العوامل مجتمعة إلى تحول العديد من المنظمات البارزة ضد سياسات تغيير كلمة المرور في السنوات الأخيرة. من المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) إلى خط الأساس الرسمي لأمن Windows من Microsoft ، فإن هذه الممارسة التي كانت منتشرة في كل مكان قد فقدت شعبيتها بسرعة.
في منشور مدونة في عام 2016 ، أوضح NCSC أن انتهاء الصلاحية يمثل "تكلفة قابلية الاستخدام" للمستخدمين تفوق مزايا الأمان المشكوك فيها بالفعل:
من المرجح أن يؤدي تأثير إجهاد كلمة المرور إلى إضعاف الوضع الأمني العام للمؤسسة ، حيث سيختار المستخدمون كلمات مرور أقل أمانًا ويتخلون عن حذرهم من التهديدات المستمرة.لن ينزعج المهاجمون من سياسة انتهاء صلاحية كلمة المرور - تُسرق المعلومات في لحظة ، وعادةً قبل وقت طويل من أن يؤدي تغيير كلمة المرور المجدولة إلى تخفيف التأثير.
ما الذي يجب استخدامه بدلاً من ذلك؟
لا يزال لدى مسؤولي النظام العديد من الأدوات لحماية مؤسساتهم. من بين الخيارات المتاحة ، يمكن أن يكون التعليم أحد أقوى المناهج طويلة المدى. اشرح للمستخدمين مخاطر وجود كلمات مرور منخفضة الأمان لتشجيعهم على اتخاذ خيارات أكثر أمانًا.
يجب عليك أيضًا اعتماد نهج مصادقة متعدد العوامل. تؤدي إضافة تطبيق مصادقة إلى المعادلة إلى منع المهاجمين من استخدام كلمات المرور ، حتى لو نجحوا في سرقتها. لم يكن هذا ممكنًا عندما بدأ اعتماد سياسات انتهاء صلاحية كلمة المرور لأول مرة.
إذا كنت لا تزال تصر على إجراء تغييرات منتظمة لكلمة المرور ، أو إذا كان لدى مجالك تشريع يتطلب ذلك ، فابحث عن طرق لمساعدة المستخدمين.سيتيح توفير برنامج إدارة كلمات المرور المعتمد للمستخدمين إنشاء كلمات مرور آمنة وتخزينها ، دون اللجوء إلى عبارات بسيطة مكتوبة على ورق الملاحظات.
لا يعني إسقاط انتهاء صلاحية كلمة المرور التخلي عن جميع آليات التحكم في كلمة المرور. لا يزال بإمكانك فرض حد أدنى من الطول والتعقيد لتوجيه المستخدمين نحو خيارات قوية. بالإضافة إلى ذلك ، يجب أن تحتفظ بالقدرة على إبطال كلمات المرور حتى تتمكن من إغلاق أنظمتك بسرعة في حالة حدوث خرق.
الخلاصة: حان الوقت لإيقاف انتهاء صلاحية كلمات المرور
كانت انتهاء صلاحية كلمة المرور فعالة بشكل معقول في إيقاف الهجمات الإلكترونية على شبكة الويب أمس. الآن هم من المتاعب أكثر مما يستحقون. سيؤدي الاستمرار في فرض تغييرات كلمة المرور المنتظمة إلى إحباط المستخدمين ، والتسبب في المزيد من استفسارات مكتب مساعدة تكنولوجيا المعلومات وتقديم تأثيرات ضئيلة - أو سلبية - على وضع الأمان الخاص بك.
كانت سياسات انتهاء الصلاحية مفيدة عندما كان الويب مكانًا أصغر وأبطأ.تطور الإنترنت وتهديداته بشكل كبير خلال العقدين الماضيين. أصبح من الشائع الآن أن يخبر المستخدمون المهاجم بكلمة مروره ، في رسالة بريد إلكتروني تصيد احتيالي أو في مكالمة احتيالية ، أكثر من "سرقة" كلمة مرور من قبل متطفل.
بالنسبة للأنظمة التي يمثل فيها الوصول المستمر مخاطرة ، فإن الحصول على كلمة مرور مستخدم متميز مرة واحدة عادةً ما يمنح المهاجم القدرة على تثبيت باب خلفي أو إعداد حساب مستخدم خاص به. مع وجود العديد من العوامل التي تتراكم ضد انتهاء صلاحية كلمة المرور كتخفيف أمني ، أصبح من المهم الآن التركيز على نظافة كلمات المرور الأساسية والصورة الأكبر للدفاعات الإلكترونية.
يجب أن يرضي إسقاط سياسة انتهاء صلاحية كلمة المرور المستخدمين ويساهم في وضعك الأمني. وازن بين الفوائد الأمنية لممارسات كلمة المرور الخاصة بك مقابل تكلفة الاستخدام المتمثلة في جعل المستخدمين يعيدون تعلم بيانات اعتمادهم كل بضعة أشهر. لا تزال العديد من لوائح الامتثال مثل PCI-DSS و HIPAA تتطلب تغييرات منتظمة في كلمة المرور ولكن في الصناعات غير المنظمة ، يجب عليك الآن التفكير مرتين قبل استخدام انتهاء الصلاحية الإلزامي.
