قد تكون أنت أو موظفي شركتك على علم بالممارسات الخاصة بسياسات الحماية الأساسية. و لكن هل أنتم بالفعل على دراية بالتوصيات حول سياسات كلمات المرور القوية؟و هل تقومون بالفعل باتباع هذه التوصيات؟ هل ترتكب أنت أو موظفوك (عن غير قصد) أخطاء شائعة بخصوص كلمات السر؟ للحصول على إجابات لهذه الأسئلة تابع معنا قراءة هذا المقال. يشارك معكم روبودين بعض النصائح حول كيفية منع ارتكاب الأخطاء الخاصة بكلمات السر. و كذلك كيف يمكنك إنشاء سياسة كلمات سر قوية خاصة بشركتك.
قد تبدو بعض النقاط التي سوف نتناولها في هذه المقالة مثيرة للجدل للوهلة الأولى. كما أنها غير متوافقة مع قواعد كلمات السر التي اعتدنا عليها سابقاً. ولكنها مستمدة من أحدث الإرشادات الخاصة بكلمات السر والصادرة عن المعهد الوطني للتكنولوجيا والمعايير NIST .
أفضل الممارسات لإنشاء كلمات المرور القوية:
تتطلب إرشادات أمان كلمات السر القديمة فرض سياسات مثل استخدام كلمات سر معقدة للغاية وتغييرها بانتظام ومنع إعادة استخدامها في أكثر من مكان. ومع ذلك فإن النهج الجديد مختلف تماماً.
هل يعني هذا بأنه يجب على موظفيك استخدام كلمات سر مثل password123 وعدم تغيرها ابداً؟ بالتأكيد لا.
يركز النهج الجديد على جعل إدارة كلمات السر أبسط وأكثر سهولة. وهذا الأمر تم وفقاً لدراسة أثبتت أن سياسات كلمات السر شديدة الصرامة تؤدي لعادات سيئة خاصة بكلمات السر. وعندما يتعلق الأمر باستخدام تطبيق لإدارة كلمات السر يجب أن تكون متأكداً من أنه تطبيق آمن كونك ستعتمد عليه لحفظ كلمات السر الخاصة بحسابات ومعلوماتك المالية.
فيما يلي بعض التوصيات الخاصة بكلمات السر والتي ستجعل من السهل على الموظفين الامتثال لها وهذا سيجعل عملك أكثر أمناً (التوصيات الخاصة ب NIST):
كلمات المرور القوية لا تحتاج لتغيير دوري
في البداية سيكون المستخدم شاكراً لك لأنه ليس مضطر لإنشاء كلمة سر جديدة وتذكرها لفترة معينة ومن ثم تغييرها. في الحقيقة فإن معظم الأشخاص لا يقومون بعملية تغيير بشكل كلي بل يضيفون حرف أو رقم إلى نهاية كلمة السر القديمة. وهذا الأمر يتم في كل مرة يطلب منهم تغيير كلمة السر. إذاً ما الفائدة من هذه السياسة؟ هل تعتبر هذه الممارسة أمنة؟
الهدف من تغيير كلمة السر بشكل دوري هو التقليل من احتمالية اختراق الحساب. ولكن لماذا تغير كلمة السر إذا لم يكن هناك أي اشتباه في حدوث أي اختراق.
تؤدي عمليات تغيير كلمات السر عديمة الفائدة إلى إضافة عبء على المستخدم ومهام إضافية لمدير النظام.
إذاً كم مرة يجب على المستخدمين تغيير كلمات السر الخاصة بهم؟
وفقاً ل NIST لا ينبغي تغيير كلمات السر ما لم يكن هناك دليل على حدوث اختراق. بمعنى آخر إذا لم يكن هناك خطر محتمل يتعلق بحساب ما يجب أن لا تكون عملية تغيير كلمة السر إلزامية, وبدل إجبار الموظفين على تغيير كلمات السر الخاصة بهم وفق جدول زمني محدد مسبقاً من الأفضل أن تقوم بتزويد مختصي الحماية لديك بأدوات الحماية المناسبة لمراقبة المستخدمين وتحديد الحسابات المخترقة والتعامل معها.
قامت شركة مايكروسوفت بإزالة سياسات انتهاء صلاحية كلمة السر من الحماية الخاصة بنظام Windows 10 وهذا ما كتبوه في مدونتهم: انتهاء الصلاحية الدورية لكلمات السر هو خط دفاع ضد احتمال سرقة كلمة السر (أو الهاش الخاص بها) خلال فترة صلاحيتها وسيتم استخدامها من قبل جهة أخرى غير مصرح لها، وإذا لم تتم عملية سرقة كلمة السر مطلقاً فلا داعي لانتهاء صلاحيتها وإذا كان لديك دليل على سرقتها فمن المفترض أن تتخذ الاجراء المناسب بشكل فوري بدل الانتظار لانتهاء صلاحية كلمة السر لإصلاح هذه المشكلة . يعد انتهاء الصلاحية الدورية لكلمات السر وسيلة لتخفيف المخاطر ولكنها قديمة وقد عفى عليها الزمن وهي ذات فعالية منخفضة للغاية ولا نعتقد أنه من المفيد للحماية الخاصة بنا أن تفرض مدة محددة لعمر كلمة السر لذلك تم إزالتها من الحماية الخاصة بنا وبدلاً من تحديد عمر محدد لكلمة السر يمكن للمؤسسات اختيار ما يناسب احتياجاتها دون التناقض مع ارشاداتنا وفي الوقت نفسه يجب أن نعيد التأكيد على أننا نوصي بشدة بتطبيق طبقة حماية إضافية “
كلمات المرور القوية- طويلة وسهلة التذكر:
حان الوقت لتجاوز كلمات السر المعقدة. وبدل الاعتماد على قواعد إنشاء كلمات السر المعقدة سيكون من الأسهل على المستخدمين تذكر العبارات التي تبدو منطقية بالنسبة لهم. يغنيهم ذلك عن حفظ سلسلة من الأحرف العشوائية. ولكن لا يجب أن تكون كلمات السر عبارة عن شيء واضح جداً أو له ارتباط وثيق بشيء يشير إلى المستخدم أو طبيعة عمله.
إن هذا الأمر قد يسمح للمهاجمين بالحصول على هذه المعلومات أو استنتاجها من خلال جمع المعلومات الخاصة بالمستخدم من مواقع التواصل الاجتماعي أو باستخدام طرق أخرى. و المثال التالي يظهر مقارنة بسيطة بين النهج القديم من كلمات السر التقليدية المؤلفة من سلسلة معقدة جداً من الأحرف العشوائية.
مثال: *Ajh{df0s_SF(8aLsV9(fkj@<;sK+
و بين كلمات السر وفق نهج NIST الجديد و هي عبارات طويلة وسهلة التذكر :
مثال: I’m really looking forward to this year’s holiday season.
بالتأكيد فإن عملية كسر كلمات السر الطويلة والمكونة من أحرف وأرقام ورموز هو أمر صعب جداً. ولكن قواعد إنشاء كلمات السر التقليدية تجعل من عملية تذكر كلمة السر أمراً صعباً جداً .ولهذا السبب ينتهي الأمر بالمستخدم لاختيار كلمة سر غير آمنة.
وفقاً لـ NIST يجب أن تسمح الأنظمة لكلمات المرور أن تكون من 8 محارف كحد أدنى إلى 64 محرف كحد أقصى وتشمل جميع الأحرف وعلامات الترقيم والمسافة والأرقام.
في بعض الأحيان لا يكون هناك أي تأثير لطول كلمات السر أو تعقيدها للحماية من نوع معين من الهجمات مثل هجمات الهندسة الاجتماعية وهجمات التصيد phishing attack أو الهجمات التي تتم باستخدام keylogger والذي يعمل على تسجيل كل حرف يكتبه المستخدم.
حماية كلمات المرور القوية باستخدام المصادقة متعددة العوامل:
تنصح إرشادات NIST باستخدام المصادقة ذات العوامل المتعددة والتي يمكن أن تضيف طبقة حماية قوية دون زيادة العبء على المستخدم. ويشمل هذا النوع من المصادقة مجموعة واسعة من تقنيات المصادقة مثل المصادقة باستخدام العوامل الحيوية biometrics كبصمة الأصبع او قزحية العين بالإضافة لأكواد إضافية يتم الحصول عليها عبر رسائل SMS أو باستخدام تطبيقات خاصة تعمل على توليد هذه الأكواد.
التحقق من كلمات السر باستخدام قواميس كلمات السر
تعتمد هذه الطريقة على ملفات تحوي على كلمات السر الشائعة والغير آمنة و تسمى “قواميس كلمات السر” . وسيقوم النظام بمقارنة كلمة السر التي يختارها المستخدم مع الكلمات الموجودة ضمن قاموس كلمات السر. وسيرفض وبشكل تلقائي أي كلمة سر موجودة ضمن القاموس لاعتبارها كلمة سر غير آمنة.
تحديث السياسات للحفاظ على كلمات المرور القوية:
لا ينصح باتباع نهج واحد عندما يتعلق الأمر بسياسات كلمات السر ويجب على كل مؤسسة انشاء سياسات تحدد القيود الخاصة بكلمات السر ومراجعتها وتحديثها باستمرار. بالإضافة لذلك في حال حدوث أي اختراق يجب تضمين جميع كلمات السر المخترقة ضمن قائمة كلمات السر المحظورة ومنع استخدامها مرة أخرى.
تدريب الموظفين:
أخيراً يجب التأكد من تامين التدريب الكافي للموظفين والتركيز على كيفية انشاء كلمات السر القوية بناء على أحدث إرشادات NIST وبعد التدريب الجيد يجب أن يكونوا قادرين على التمييز بين كلمات السر الآمنة والغير آمنة.
النقاط الرئيسية المتضمنة في التدريب على إدارة كلمات المرور القوية:
- طول كلمة السر الموصى به 8-64 محرف
- أنواع الأحرف: يسمح باستخدام جميع أنواع الأحرف
- المصادقة متعددة العوامل: ينصح بها بشدة
- إنشاء كلمة السر: يوصى باستخدام عبارات طويلة سهلة التذكر بدلاً من كلمات السر المعقدة صعبة التذكر ويجب أن لا يكون هناك تطابق بينها وبين قاموس كلمات السر
- تغيير كلمة السر: فقط في حالة النسيان أو ظهور دلائل تشير لحدوث عملية اختراق
أمثلة على أخطاء كلمات السر التي يمكن أن يرتكبها موظفوك:
لقد انتهينا من الحديث عن القواعد الأساسية لإنشاء كلمات السر القوية ولكن هناك أمر أخر مهم يجب الحديث عنه وهو أفضل الممارسات الخاصة التي يجب على الموظفين اتباعها. قد تبدو واضحة بالنسبة لمعظم الأشخاص. مع ذلك تأكد من الحديث عنها ضمن جلسات التدريب الخاصة بالأمن السيبراني كنوع من التذكير.
عدم إعادة استخدام نفس كلمة السر:
قد يلجأ المستخدم لاستخدام نفس كلمة السر لحسابات مختلفة شخصية أو متعلقة بالعمل. على سبيل المثال استخدام نفس كلمة السر لحساب البريد الالكتروني ولمنتدى معين. وفي حال تم اختراق هذا المنتدى وتسريب كلمات السر الخاصة بالمستخدمين فمن المحتمل أن يقوم المهاجم باستخدام كلمتك السر المسربة والخاصة بالموقع أو المنتدى المخترق للوصول لحساباتك ضمن مواقع أخرى. وهذا الأسلوب متبع وبشكل كبير من قبل مجرمي الانترنت.
عدم مشاركة كلمات السر:
يجب أن تبقى كلمات السر سرية بشكل دائم. ولا يجب مشاركتها مع أي شخص آخر حتى لو كان ماديرك في الشركة.
استخدام تطبيقات إدارة كلمات السر:
يمكن أن نتفق كلنا على أن تذكر كلمة سر لكل حساب هو أمر صعب. لذلك يلجأ بعض الأشخاص لاستخدام تطبيقات إدارة كلمات السر والتي تحتاج لحفظ كلمة سر واحدة فقط خاصة بالدخول لهذا التطبيق حيث يتم تخزين كل كلمات السر داخل هذا التطبيق.
استخدام المصادقة متعددة العوامل:
يمكن للمصادقة ذات العوامل المتعددة أن تؤمن طبقة حماية قوية وتقلل بشكل كبير من مخاطر العديد من الهجمات. لذا تأكد من تفعيل هذا الخيار على حسابات العمل الخاصة بالموظفين.
عدم الاكتفاء بتغيير حرف واحد فقط في كلمة السر:
قد تشك بحدوث اختراق معين. ولنفرض أن مجرمي الانترنت قد تمكنوا من تخمين كلمة السر الخاصة بموظف ضمن الشركة. وتم اكتشاف هذه العملية وقام الموظف بتغيير كلمة السر الخاصة به. ولكن عملية التغيير لم تكن بشكل جذري وكانت عبارة عن إضافة أو تعديل حرف واحد فقط من كلمة السر القديمة. فهذا الأمر سيجعل كلمة السر الجديدة عرضه لنفس المخاطر الخاصة بالهجوم السابق. لذلك يجب أن تتأكد من أن الموظفين لديهم فهم كافي ويطبقون الإرشادات الخاصة بكلمات السر والتي تحدثنا عنها في بداية هذا المقال.
عدم حفظ كلمات السر بشكل نص صريح:
يقوم بعض الموظفين بحفظ حكلمات السر الخاصة بهم ضمن ملاحظات أو مستندات نصية في أجهزتهم. وهذا الأمر يعتبر ممارسة سيئة جداً ويمكن الوصول لكلمات السر بسهولة من قبل الجهات الخبيثة. لذلك يجب على الموظفين عدم حفظ كلمات السر على هواتفهم أو ضمن الملفات النصية. كما يجب عليهم عدم إرسال كلمات السر عبر وسائل التواصل الاجتماعي أو تطبيقات المحادثة أو عبر رسائل البريد الالكتروني لأي سبب من الأسباب.
عدم كتابة كلمات السر في أمكان يسهل الوصول لها:
يجب على الموظفين عدم كتابة كلمات السر الخاصة بهم . أو تركها على أوراق لاصقة ضمن مكاتبهم أو على أوراق مخبأة تحت لوحة المفاتيح والانتباه من المخاطر الداخلية ضمن الشركة.
تسجيل الدخول لحسابات العمل من شبكات وأجهزة غير آمنة:
قد يحتاج موظفوك الاتصال عن بعد واستخدام شبكات لاسلكية عامة. في هذه الحالة يجب عليهم استخدام VPN قبل إدخال معلومات تسجيل الدخول الخاصة بهم.
تساعد الإرشادات التي اقترحتها NIST على مساعدتنا لتقوية الحماية الخاصة بشركاتنا دون تحميل الموظفين أعباء إضافية. لذلك تأكد من تطبيق هذه الارشادات ضمن شركتك للحصول على مستوى جيد من الحماية.
