نظن أن تغيير كلمات المرور بشكل متكرر،و التي تنبع من هم الحفاظ على خصوصيتنا من الإختراق هو أمر مفيد ومن العادات الأمنية التي ينصح بها … غير أن المخابرات البريطانية لها راي مختلف
تؤرق معضلة أمن كلمات المرور معظم الشركات و المؤسسات، و أيضا المستخدم العادي الذي يخاف إختراق بياناته و خصوصيته .
تقوم الكثير من الشركات والمؤسسات بإجبار العاملين فيها على تغيير كلمات مرور أجهزتهم المتصلة بالإنترنت بشكل دوري و متكرر . وهذا ما ينصح به معظم خبراء الأمن المعلوماتي . وغالبا ما رددت هذه النصيحة لمستمعي “إي ميل” مونت كارلو الدولية .
فتغيير كلمات المرور بشكل دوري، ينظر له على أنه عادة أمنية جيدة .و إذا بي أفاجأ عند قراءتي لتقرير نشره مركز الإتصالات الحكومية البريطانية Government Communications Headquarters أي مركز الأمن و الإستخبارات الملكي الموازي لوكالة الأمن القومي الأمريكية. حيث ينصح هذا التقرير بعدم تغيير كلمات المرور بشكل متكرر أو إجبار الموظفين على ذلك، إلا في حال الضرورة القصوى وعند مراجعة دليل أمن كلمات المرور التي تنشره مجموعة أمن الإتصالات الإلكترونية CESG –Communications-Electronic Security Group التابعة لمركز الإتصالات الحكومية البريطانية، دهشت لهذه النصيحة التي هي بعكس العادات الأمنية السائدة.
يشكك التقرير بفائدة فرض تغيير كلمات المرور بشكل متكرر،و التي تنبع من هم الحفاظ على أمن الشبكة المعلوماتية في مؤسسة ما، وحمايتها في حال تم إختراق أي كلمة مرور لموظف ما . غير أن الأمر مختلف بالنسبة Communications-Electronic Security Group البريطانية ، حيث يشرح التقريرالمنشور على موقع مكتب المخابرات البريطانية بأن هذا الأمر يؤدي إلى نتيجة عكسية .ويدفع المستخدمين للجوء لكلمات مرور بسيطة أي غير قوية مما يجعل الحماية هشة. ويمكن أن تكون كلمات المرور هذه مستخدمة سابقا و قد تم إختراقها في خدمات أخرى ،كما ان المستخدمين لديهم عادة كتابة كلمات المرور الجديدة في أماكن عدة و يمكن لها أن تقع في يد قراصنة. وبالتالي فإن تغيير كلمات المرور بشكل متكرر ، تؤدي إلى نسيانها من قبل المستخدم وبشكل متكرر وهذا يعني أن الإنتاجية تصبح أقل .
يحذر تقرير مجموعة أمن الإتصالات الإلكترونية البريطانية من ميل المستخدمين إلى إختيار كلمات مرور متشابهة وأقل قوة من سابقاتها ؛ ليتمكنوا من حفظها بسهولة،و أيضا كثيرون يستخدمون نفس كلمات مرور لخدمات مختلفة.
تنصح مجموعة أمن الإتصالات الإلكترونية مدراء الأنظمة المعلوماتية عدم إرغام الموظفين والعملاء على تغيير كلمات المرور بشكل متكرر،وتشدد على أن الخطر يكمن هنا من إمكانية المهاجمين تخمين كلمات المرور الجديدة في حال حصولهم على كلمات المرور القديمة . ويوصي بضرورة وضع نظام حماية بديل كإشعار للمستخدم، يعلمه بوضوح، بتعرض حسابه لمحاولات إتصال غير شرعية.
يبدو أن “مجموعة أمن الإتصالات الإلكترونية” ليست الوحيدة التي تنبه من خطر اللجوء لإجبار الموظفين والعملاء لتغيير كلمات مرورهم بشكل متكرر . فمسؤولة الأمن التكنولوجي في “هيئة التجارة الفدرالية الأمريكية” Lorrie Cranor نشرت مقالا بهذا الصدد مستندتا على دراسة قامت بها مجموعة من الباحثين في جامعةNorth Carolina في مدينة Chapel Hill و التي حللت كلمات المرور التي كانت مستخدمة بين عامي 2009 و2010 – و هي كلمات مرور ميتة، أي لم تعد مستخدمة .والتي بينت أن المستخدمين عندما يجبرون على تغيير كلمات المرور بشكل متكرر، يستخدمون تقريبا نفس كلمات المرور مع تغيرات طفيفة ، إما بإسم الشهر لكي يسهل تذكر كلمة المرور، أو قلب التسلسل بين الأحرف والأرقام، والتي من خلال خوارزميات معينة يمكن فكها و إختراقها بسهولة .
تنصح Lorrie Cranorبتغيير كلمات المرور فقط عند الإشتباه بان الحساب قد أخترق. وعدم إستخدام نفس كلمات المرور لخدمات مختلفة كذلك تنصح بتغيير كلمات المرور فورا ، في حال الإشتباه بإن المستخدم قد وقع ضحية إصطياد على موقع مزيف. أو إن كان يشعر المستخدم أن كلمات مروره ضعيفة و غير معقدة بشكل كافي لحماية حساباته. وتشدد على ضرورة إختيار كلمات مرور جديدة مختلفة و لا تمت بصلة بكلمات المرور السابقة، وعدم اللجوء لإستخدام كلمات مرور مستخدمة في خدمات أخرى.
NewsFrontPage 