إنها الساعة 8:45 صباحًا. أنت جاهز لبدء يوم عملك، والقهوة في متناول اليد، والمهام المخطط لها - عندما يظهر هذا الإشعار المخيف: «حان الوقت لإعادة تعيين كلمة المرور الخاصة بك». تنهد الإحباط يفلت منك. لماذا الآن؟ يمكنك تجربة كلمة مرور جديدة، فقط لكي يرفضها النظام. إنها دورة مررنا بها جميعًا، وهي ليست محبطة للمستخدمين فقط؛ تتقاسم فرق تكنولوجيا المعلومات العبء من خلال تذاكر الدعم المستمرة لكلمات المرور المنسية أو المرفوضة.
ولكن ماذا لو كان أمر انتهاء صلاحية كلمة المرور هذا... قد يختفي؟
أصبحت الحاجة إلى إعادة تعيين كلمات المرور باستمرار أمرًا طبيعيًا بالنسبة لنا تقريبًا، ولكنها تطرح السؤال التالي: لماذا نحتاج حتى إلى انتهاء صلاحية كلمة المرور في المقام الأول؟ هل تجعلنا حقًا أكثر أمانًا، أم أنها مجرد مشكلة أخرى في تكنولوجيا المعلومات؟
دعونا نتعمق في الأسباب الحقيقية وراء سياسات كلمات المرور وكيف يمكن أن يؤدي تغيير نهجنا إلى تقليل الإحباط دون المساس بالأمان.
أصل انتهاء كلمة المرور
سياسة إعادة تعيين كلمة المرور لمدة 90 يومًا. إنها ليست مجرد قاعدة تعسفية لتكنولوجيا المعلومات. يأتي ذلك من وقت شكلت فيه هجمات القوة الغاشمة - تقنية تخمين كلمات المرور من خلال تشغيل مجموعات محتملة - تهديدًا كبيرًا. تقوم المؤسسات بتخزين كلمات المرور الخاصة بك على أنها «تجزئات» مشفرة، وسيحاول المهاجمون اختراقها من خلال مطابقة هذه التجزئات بكلمات المرور المحتملة.
في الماضي، كان اختراق كلمة المرور يستغرق شهورًا، لذا فإن إعادة تعيينها كل 90 يومًا تبدو وكأنها خطوة ذكية. لكن التكنولوجيا تطورت، وكذلك القراصنة. يمكنهم الآن اختراق حتى كلمات المرور المعقدة بشكل أسرع بكثير، مما دفع الكثيرين إلى إعادة التفكير في جدول إعادة الضبط التقليدي.
ومع ذلك، على الرغم من التقدم في الأمن السيبراني، لا يزال انتهاء الصلاحية لمدة 90 يومًا شرطًا في العديد من معايير الامتثال للصناعة.
لماذا تتخلى بعض الشركات عن انتهاء الصلاحية
وهنا تكمن المشكلة: قد تؤدي التغييرات المنتظمة في كلمة المرور إلى جعل مؤسستك أكثر عرضة للخطر. كيف؟ يمكن التنبؤ بالناس. إذا سبق لك تغيير «Password123!» إلى «كلمة المرور 1234!» ، أنت لست وحدك. تعد إعادة استخدام كلمات المرور القديمة أو تغييرها قليلاً عادة شائعة ولكنها محفوفة بالمخاطر.
تتجه بعض المؤسسات، التي تدرك ضعف السلوك البشري، نحو سياسات كلمات المرور «التي لا تنتهي صلاحيتها أبدًا». من خلال تشجيع المستخدمين على إنشاء كلمة مرور واحدة فائقة القوة والسماح لهم بالاحتفاظ بها إلى أجل غير مسمى، فإنهم يهدفون إلى تقليل المكالمات المتعلقة بإعادة تعيين كلمة المرور إلى مكتب مساعدة تكنولوجيا المعلومات. وفقًا للتقارير، تمثل عمليات إعادة تعيين كلمة المرور 20-50٪ من جميع مكالمات مكتب المساعدة، حيث تبلغ تكلفة كل إعادة تعيين حوالي 70 دولارًا (112,000 نيرة). هذا يضيع الكثير من الوقت والمال على كلمات المرور المنسية.
مخاطر كلمات المرور «التي لا تنتهي صلاحيتها أبدًا»
يبدو الأمر مغريًا، أليس كذلك؟ كلمة مرور قوية واحدة لا تحتاج أبدًا إلى التغيير. لكن هذا النهج له مخاطره. حتى أقوى كلمة مرور لا تزال عرضة لهجمات التصيد الاحتيالي أو الانتهاكات. إن مجرد تعقيد كلمة المرور لا يعني أنها آمنة إذا وقعت في الأيدي الخطأ.
لذلك، يقوم موظفك بإنشاء كلمة مرور قوية بما يكفي لتحمل هجوم القوة الغاشمة. ولكن بعد ذلك يعيدون استخدام كلمة المرور نفسها على حسابات Facebook أو Netflix أو التسوق عبر الإنترنت. يزداد خطر اختراق كلمة المرور هذه بشكل كبير، حتى لو كان أمنك الداخلي مشدودًا.
وجدت دراسة استقصائية أنه في حين أن 91٪ من المستخدمين فهموا مخاطر إعادة استخدام كلمة المرور، إلا أن 59٪ فعلوا ذلك على أي حال. إنها عادة سيئة يصعب كسرها، وسياسات «لا تنتهي صلاحيتها أبدًا» يمكن أن توفر إحساسًا زائفًا بالأمان.
بالإضافة إلى ذلك، إذا تمكن المهاجم من الوصول إلى كلمة مرور «لا تنتهي صلاحيتها أبدًا»، فيمكنه استغلالها لعدة أشهر قبل أن يلاحظها أي شخص. تظهر الأبحاث أن الأمر يستغرق 207 يومًا في المتوسط لاكتشاف خرق البيانات. هذا ما يقرب من سبعة أشهر من الضرر المحتمل.
كيفية تحقيق التوازن
إذن، أين يتركنا هذا؟ الحل هو استراتيجية كلمة مرور شاملة لا تعتمد فقط على تواريخ انتهاء الصلاحية. يتعلق الأمر بإنشاء كلمات مرور واكتشافها بشكل أقوى وأكثر ذكاءً. شجع المستخدمين على إنشاء عبارات مرور طويلة لا تنسى - 15 حرفًا على الأقل - للدفاع ضد هجمات القوة الغاشمة. وفكّر في استخدام تقادم كلمات المرور على أساس الطول، حيث تدوم كلمات المرور الأطول والأكثر تعقيدًا لفترة أطول قبل الحاجة إلى إعادة تعيينها.
بالطبع، حتى أفضل كلمات المرور يمكن اختراقها. لهذا السبب تحتاج المؤسسات إلى أنظمة للكشف عن وقت اختراق بيانات الاعتماد. يمكن أن تساعد المراقبة الأمنية المنتظمة والتنبيهات في الوقت الفعلي للأنشطة المشبوهة في تخفيف المخاطر قبل أن تخرج عن نطاق السيطرة.
الخطوة الخاصة بك
قد تكون إعادة تعيين كلمات المرور مزعجة، ولكن التحدي الحقيقي هو إيجاد التوازن الصحيح بين الأمان والراحة. تخلص من عمليات إعادة الضبط غير الضرورية، ولكن لا تتخلى عن أفضل الممارسات. قم بتمكين موظفيك بالمعرفة لإنشاء كلمات مرور قوية وتوفير الأدوات للحفاظ على أمانها. ففي النهاية، لا يتعلق الأمر بحماية البيانات فحسب، بل بحماية نشاطك التجاري.
.png)
.png)