كانت كلمات المرور جزءًا من تكنولوجيا المعلومات منذ البداية، منذ أكثر من نصف قرن. نظرًا لأن كلمات المرور لها مثل هذا العمر الطويل غير المسبوق، فقد يبدو أن أفضل ممارسات أمان كلمة المرور قد تم تحسينها إلى درجة الكمال وأن اتباع أفضل الممارسات الشائعة لاستخدام كلمات المرور سيكون وسيلة مضمونة للحفاظ على أمان كلمات المرور.
ومع ذلك، فقد أسفر تقرير كلمة المرور الضعيفة السنوي الأول Specops Software’s first annual Weak Password Report لشركة Specops Software عن بعض النتائج المثيرة للاهتمام التي قد تجعلك تعيد التفكير في الطريقة التي تدير بها مؤسستك كلمات المرور.
1. لا يضمن طول كلمة المرور أمان كلمة المرور
واحدة من أفضل الممارسات المتعلقة بكلمات المرور هي فكرة أن كلمات المرور يجب أن تتكون من ثمانية أحرف على الأقل. تستند أفضل الممارسات حسنة النية هذه إلى فكرة أن كلمات المرور الأطول تتطلب المزيد من الموارد الحسابية للتغلب عليها.
ومع ذلك، فإن المشكلة في ذلك هي أن قواعد بيانات كلمات المرور المسربة قد سمحت لمجرمي الإنترنت بإنشاء جداول بحث يمكن استخدامها للكشف عن كلمة مرور استنادًا إلى التجزئة الخاصة بها، دون الحاجة فعليًا إلى كسر كلمة المرور، مما يجعل طول كلمة المرور أقل بكثير من مشكلة بالنسبة لمجرمي الإنترنت.
انعكست هذه الفكرة في تقرير كلمات المرور الضعيفة لعام 2022 والذي وجد أن 93% من كلمات المرور التي تم استخدامها في هجمات القوة الغاشمة تضمنت ثمانية أحرف على الأقل. وبالمثل، يبلغ طول 41% من كلمات المرور المستخدمة في هجمات العالم الحقيقي اثني عشر حرفًا أو أكثر. تؤكد هذه الإحصائيات على فكرة إمكانية تسريب كلمات المرور الطويلة.
2. غالبًا ما تكون كلمة المرور موسمية أو متأثرة بثقافة البوب
وجد تقرير كلمة المرور الضعيفة أن كلمات المرور غالبًا ما تكون موسمية وأنه من الشائع أيضًا أن تتأثر كلمات المرور بثقافة البوب. 42% من كلمات المرور الموسمية على سبيل المثال، تحتوي على كلمة "summer".
ومع ذلك، فقد أسفر تقرير كلمة المرور الضعيفة السنوي الأول Specops Software’s first annual Weak Password Report لشركة Specops Software عن بعض النتائج المثيرة للاهتمام التي قد تجعلك تعيد التفكير في الطريقة التي تدير بها مؤسستك كلمات المرور.
1. لا يضمن طول كلمة المرور أمان كلمة المرور
واحدة من أفضل الممارسات المتعلقة بكلمات المرور هي فكرة أن كلمات المرور يجب أن تتكون من ثمانية أحرف على الأقل. تستند أفضل الممارسات حسنة النية هذه إلى فكرة أن كلمات المرور الأطول تتطلب المزيد من الموارد الحسابية للتغلب عليها.
ومع ذلك، فإن المشكلة في ذلك هي أن قواعد بيانات كلمات المرور المسربة قد سمحت لمجرمي الإنترنت بإنشاء جداول بحث يمكن استخدامها للكشف عن كلمة مرور استنادًا إلى التجزئة الخاصة بها، دون الحاجة فعليًا إلى كسر كلمة المرور، مما يجعل طول كلمة المرور أقل بكثير من مشكلة بالنسبة لمجرمي الإنترنت.
انعكست هذه الفكرة في تقرير كلمات المرور الضعيفة لعام 2022 والذي وجد أن 93% من كلمات المرور التي تم استخدامها في هجمات القوة الغاشمة تضمنت ثمانية أحرف على الأقل. وبالمثل، يبلغ طول 41% من كلمات المرور المستخدمة في هجمات العالم الحقيقي اثني عشر حرفًا أو أكثر. تؤكد هذه الإحصائيات على فكرة إمكانية تسريب كلمات المرور الطويلة.
2. غالبًا ما تكون كلمة المرور موسمية أو متأثرة بثقافة البوب
وجد تقرير كلمة المرور الضعيفة أن كلمات المرور غالبًا ما تكون موسمية وأنه من الشائع أيضًا أن تتأثر كلمات المرور بثقافة البوب. 42% من كلمات المرور الموسمية على سبيل المثال، تحتوي على كلمة "summer".
ليس من المستغرب أن تكون الفرق الرياضية بعيدة كل البعد عن كونها المرجع الوحيد لثقافة البوب الشائعة في كلمات المرور. تم تضمين الفنانين الموسيقيين الأكثر مبيعًا مثل AC / DC و Kiss و Metallica بشكل شائع في كلمات المرور، وكذلك الأفلام الرائجة مثل Star Wars و Spider-Man و Avatar. بالنسبة لأولئك الذين قد يكونون فضوليين، كان الفيلم الأكثر شيوعًا ضمن كلمات المرور المسربة هو Rocky، والذي ظهر ما يقرب من 96000 مرة.
بالطبع، لم تكن عناوين الأفلام فقط هي التي تمت الإشارة إليها في كلمات المرور، ولكن أيضًا الشخصيات المفضلة من تلك الأفلام. كان هذا صحيحًا بشكل خاص لأفلام حرب النجوم والعديد من أفلام الأبطال الخارقين حيث تشتهر الجماهير بتكريسها.
3. تعقيد كلمة المرور لا يمنع سرقة بيانات الاعتماد
من أفضل الممارسات الأخرى التي طال أمدها طلب تعقيد كلمة المرور. قد تتطلب المؤسسة، على سبيل المثال، مزيجًا من الأحرف الكبيرة والصغيرة والأرقام والرموز. ومع ذلك، وجد تقرير كلمة المرور الضعيفة أن 68% من كلمات المرور المستخدمة في الهجمات الحقيقية تتضمن على الأقل نوعين مختلفين من الأحرف. كان هناك أكثر من 20 مليون كلمة مرور مسربة تضمنت أحرفًا وأرقامًا كبيرة وصغيرة، بينما تضمنت أكثر من 1.5 مليون كلمة مرور مسربة أحرفًا كبيرة وصغيرة وأرقامًا وأحرفًا خاصة.
حقيقة وجود أكثر من 13 ضعفًا لعدد كلمات المرور المسربة التي تحتوي على أحرف وأرقام كبيرة وصغيرة فقط من مجموعة من الأحرف الكبيرة والصغيرة والأرقام والرموز قد تشير في البداية إلى أن التعقيد، في حين أنه ليس دليلًا خادعًا، يساعد بالفعل في أمان كلمة المرور.
ومع ذلك، فإن التفسير الأكثر ترجيحًا هو أن أولئك الذين يستخدمون كلمات مرور أكثر تعقيدًا من المرجح أن يتجنبوا أنواع السلوك المحفوف بالمخاطر التي غالبًا ما تؤدي إلى سرقة بيانات الاعتماد.
4. يمثل التحميل الزائد لكلمة المرور مشكلة كبيرة
وجد التقرير أيضًا أن إعادة استخدام كلمة المرور مشكلة كبيرة. استطلعت Specops مؤخرًا أكثر من 2000 مستخدم لمعرفة الدور الذي تلعبه كلمات المرور في حياتهم اليومية.
أشار 48% من المشاركين في الاستطلاع إلى أن لديهم 11 كلمة مرور أو أكثر يجب عليهم تذكرها للعمل. قال 71% أن لديهم 11 كلمة مرور أو أكثر لتذكرها للاستخدام الشخصي. وجد الاستطلاع أن 361 من هؤلاء المستجيبين اعترفوا باستخدام نفس كلمة المرور أو كلمة مرور مشابهة على أنظمة متعددة.
من المحتمل أن يُعزى هذا إلى حقيقة أن المستخدمين يجب أن يتذكروا العديد من كلمات المرور المختلفة.
5. يمكن للمنظمات أن تفعل الكثير للحفاظ على أمان كلمات المرور
إن الحقيقة البسيطة المتمثلة في وجود قاعدة بيانات مسربة تحتوي على ملايين كلمات المرور التي تلتزم بأفضل الممارسات الراسخة توضح بوضوح حاجة المؤسسات إلى بذل المزيد من الجهد للحفاظ على أمان كلمات المرور الخاصة بهم. ومع ذلك، وجد تقرير كلمة المرور الضعيفة لعام 2022 أن 54% من المؤسسات ليس لديها أداة لإدارة كلمات مرور العمل. بالإضافة إلى ذلك، 48% من المؤسسات ليس لديها آلية للتحقق من هوية المستخدم لمكتب الخدمة الخاص بهم، مما يعرض مكتب الخدمة لمخاطر الهندسة الاجتماعية.
