من النصائح الشائعة حول أمان الحساب أنه يجب على المستخدمين تغيير كلمات المرور الخاصة بهم بانتظام. السبب وراء هذا النهج هو تقليل طول الوقت الذي تكون فيه أي كلمة مرور صالحة ، في حالة تعرضها للاختراق. تستند هذه الإستراتيجية بأكملها إلى نصيحة تاريخية من مجموعات الأمن السيبراني العليا مثل NIST الأمريكية ، أو المعهد الوطني للمعايير والتكنولوجيا.
على مدى عقود ، اتبعت الحكومات والشركات هذه النصيحة وأجبرت مستخدميها على إعادة تعيين كلمات المرور بانتظام ، عادةً كل 90 يومًا. مع مرور الوقت ، أظهر البحث أن هذا النهج لم يكن يعمل على النحو المنشود وفي عام 2017 نيست جنبا إلى جنب مع المملكة المتحدة NCSC، أو National Cyber Security Center ، غيرت نصائحهم للمطالبة بتغيير كلمة المرور فقط عندما يكون هناك اشتباه معقول في وجود تسوية.
لماذا تغيرت النصيحة؟
تم تنفيذ النصيحة الخاصة بتغيير كلمات المرور بانتظام للمساعدة في زيادة الأمان. من منظور منطقي بحت ، فإن النصيحة الخاصة بتحديث كلمات المرور بانتظام تبدو منطقية. ومع ذلك ، فإن تجربة العالم الحقيقي مختلفة قليلاً. أظهرت الأبحاث أن إجبار المستخدمين على تغيير كلمات المرور الخاصة بهم بانتظام جعلهم أكثر عرضة لبدء استخدام كلمة مرور مماثلة يمكن زيادتها. على سبيل المثال ، بدلاً من اختيار كلمات مرور مثل "9L = Xk & 2>" ، يستخدم المستخدمون كلمات مرور مثل "Spring2019!"
اتضح أنه عندما يُجبر الأشخاص على ابتكار كلمات مرور متعددة وتذكرها ثم تغييرها بانتظام ، يستخدم الأشخاص باستمرار كلمات مرور سهلة التذكر والتي تكون غير آمنة بدرجة أكبر. مشكلة كلمات المرور المتزايدة مثل "Spring2019!" هو أنه يمكن تخمينها بسهولة ومن ثم تجعل من السهل التنبؤ بالتغييرات المستقبلية أيضًا. يعني هذا مجتمعة أن فرض إعادة تعيين كلمة المرور يدفع المستخدمين إلى اختيار أسهل للتذكر و لذلك كلمات مرور أضعف ، والتي عادةً ما تعمل على تقويض الفائدة المرجوة من تقليل المستقبل مخاطرة.
على سبيل المثال ، في أسوأ السيناريوهات ، يمكن للمتسلل اختراق كلمة المرور "Spring2019!" في غضون بضعة أشهر من صلاحيتها. في هذه المرحلة ، يمكنهم تجربة أشكال مختلفة مع "الخريف" بدلاً من "الربيع" ومن المحتمل أن يحصلوا على إمكانية الوصول. إذا اكتشفت الشركة هذا الخرق الأمني ثم أجبرت المستخدمين على تغيير كلمات المرور الخاصة بهم ، فسيكون ذلك عادلاً من المحتمل أن يقوم المستخدم المتأثر بتغيير كلمة المرور الخاصة به إلى "شتاء 2019!" وأعتقد أنهم كذلك يؤمن. المتسلل ، الذي يعرف النمط ، قد يحاول ذلك جيدًا إذا كان قادرًا على الوصول مرة أخرى. اعتمادًا على مدة التزام المستخدم بهذا النمط ، يمكن للمهاجم استخدام هذا للوصول على مدار عدة سنوات ، كل ذلك بينما يشعر المستخدم بالأمان لأنه يغير كلمة مروره بانتظام.
ما هي النصيحة الجديدة؟
للمساعدة في تشجيع المستخدمين على تجنب كلمات المرور ذات الصيغة ، فإن النصيحة الآن هي إعادة تعيين كلمات المرور فقط عندما يكون هناك شك معقول في اختراقها. من خلال عدم إجبار المستخدمين على تذكر كلمة مرور جديدة بانتظام ، فمن المرجح أن يختاروا كلمة مرور قوية في المقام الأول.
إلى جانب ذلك ، هناك عدد من التوصيات الأخرى التي تهدف إلى تشجيع إنشاء كلمات مرور أقوى. يتضمن ذلك التأكد من أن جميع كلمات المرور تتكون من ثمانية أحرف على الأقل بالحد الأدنى المطلق وأن الحد الأقصى لعدد الأحرف هو 64 حرفًا على الأقل. كما أوصى بأن تبدأ الشركات في الابتعاد عن قواعد التعقيد نحو استخدام قوائم الحظر باستخدام قواميس كلمات المرور الضعيفة مثل "ChangeMe!" و "Password1" التي تواجه العديد من التعقيدات المتطلبات.
يوافق مجتمع الأمن السيبراني بالإجماع تقريبًا على عدم انتهاء صلاحية كلمات المرور تلقائيًا.
ملاحظة: لسوء الحظ ، في بعض السيناريوهات ، قد لا يزال من الضروري القيام بذلك ، حيث لا يزال يتعين على بعض الحكومات تغيير القوانين التي تتطلب انتهاء صلاحية كلمة المرور للأنظمة الحساسة أو المصنفة.