مركز أبحاث الأمن: كلمات المرور وحدها ليست كافية

من الضروري إلقاء الضوء على حقيقة أن كلمات المرور المعقدة ليست قوية كما يعتقد معظم الناس، وأن معظم استراتيجيات كلمات المرور تؤدي حتماً إلى اتباع الناس لها بشكل عشوائي، فما الذي يجعل كلمة المرور جيدة في الواقع ومتى لا تكون كلمة المرور وحدها كافية؟

إن كلمة المرور لابد وأن يكون لها أثر مع مرور الوقت منذ زمن اكتشافها، وعلى الرغم من نقاط الضعف المعروفة، فإن استخدام المصادقة القائمة على كلمة المرور لا يزال منتشراً على نطاق واسع كما كان دائماً. وتعود كلمات المرور إلى العصر الروماني ــ حيث كان الحراس لا يسمحون للأفراد بالمرور إلا إذا كانوا يعرفون “كلمة المرور”، التي كانت تُـدَاوَل يومياً.

بعد الانتقال إلى عالم الحوسبة، تم تقديم كلمة المرور في منتصف الستينيات كوسيلة لمستخدمين متعددين للوصول في وقت واحد إلى نظام مُشاركة الوقت (CTSS) الذي طوره معهد ماساشوستس للتكنولوجيا. وحتى في ذلك الوقت، كان الافتقار إلى أمان كلمة المرور واضحاً، حيث كان المستخدمون قادرين على طباعة القائمة الكاملة لكلمات مرور CTSS.

مع انتشار وسائل التواصل الاجتماعي والتجارة الإلكترونية والخدمات المصرفية عبر الإنترنت، تزايدت كمية المعلومات الحساسة والحرجة المتاحة عبر الإنترنت بشكل كبير – كما تزايدت مخاطر اختراق هذه المعلومات. ومع ذلك، فقد استمرينا بإصرار على استخدام كلمات المرور، غالباً كعامل مصادقة وحيد، على الرغم من التصريحات لأكثر من عشر سنوات بأن ضياع كلمات المرور أصبح قريباً.

وبعبارة بسيطة، فإن الغرض من المصادقة المستندة إلى كلمة المرور هو التحقق من أن الهوية تنتمي إلى الفرد الذي يطالب بها، وبالتالي يحق لهذا الفرد الوصول إلى الخدمة المقدمة وتنفيذ إجراءات محددة. ومع ذلك، فإن كلمات المرور لا توفر ضماناً كاملاً لهوية الفرد. وعلاوة على ذلك، فقد أصبح استخدام كلمات المرور مرهقاً.

لقد أدت مهمة تذكر كلمة المرور العديدة إلى ضعف نظافة كلمات المرور، حيث يختار المستخدمون إعادة استخدام كلمة المرور عبر مواقع متعددة. وتشمل الانتقادات الموجهة عادة إلى كلمة المرور أنها غير مريحة وأصبحت معقدة للغاية – مما يعيق قابلية الاستخدام، ويخلق تجربة سلبية للعملاء ويرفع التكلفة على المؤسسات. وعلاوة على ذلك، يمكن تخمين كلمة المرور والتعرض للخطر بسهولة من خلال هجمة قوية وهجمات ممنهجة على الإعدادات والتنصت باستخدام هجمة التلصص فوق الكتف والهندسة الاجتماعية.

الحاجة إلى مصادقة أقوى من كلمات المرور

وفقاً لبحث أجراه منتدى أمن المعلومات (ISF)، لا ينبغي استخدام كلمات المرور كعامل مصادقة وحيد ما لم يتوفر المستوى المناسب من تخفيف المخاطر للخدمة المقدمة. يجب أن تلتزم كلمات المرور بعدد أدنى من الأحرف، ولا تحتوي على أكثر من حرفين متطابقين في صف واحد، وتجمع بين مزيج من الأحرف الأبجدية والأرقام والأحرف الخاصة.

إن اختيار طريقة المصادقة المناسبة لخدمة معينة يجب أن يأخذ في الاعتبار المخاطر وكذلك تجربة العميل، بما في ذلك سهولة الاستخدام والحاجة إلى استخدام جهاز إضافي. لقد أصبح الجهاز المحمول بسرعة سمة مهيمنة لآليات التحكم في الوصول، حيث يعمل كعامل مصادقة في حد ذاته (باعتباره شيء يمكنك امتلاكه) بالإضافة إلى كونه منصة لتقديم عوامل مصادقة أخرى (على سبيل المثال ، بصمة الإصبع أو الرمز الذي يتم إنشاؤه بواسطة تطبيق المصادقة).

إقرأ أيضاً: ما هي البرمجة؟ | الدليل الشامل للبرمجة

ورغم أن عوامل المصادقة البديلة أقل عرضة للخطأ، إلا أنه لا يزال يتعين علينا توخي بعض الحذر. ويحذر تقرير Threat Horizon 2020 الصادر عن ISF من أن القياسات الحيوية قد تخدع المنظمات وتجعلها تشعر بالأمان بشكل زائف، خاصة وأن معايير الأمان العالمية غير موجودة. ومع تمكن المهاجمين من إيجاد طرق متطورة للتغلب على الأمان الحيوي، فمن المهم توخي الحذر بشكل مستمر واتخاذ خطوات لضمان مستقبل الأساليب الحديثة للمصادقة.

رغم أننا قد نستخف بكلمة المرور المتواضعة، إلا أنها صمدت أمام اختبار الزمن بكل تأكيد، فمن حماية الجيوش الرومانية في ساحة المعركة إلى الحماية من الهجمات الإلكترونية، وهذا يدفعنا لتوقع بأن كلمات المرور ستبقى موجودة.