كم مرة يجب عليك تغيير كلمات المرور الخاصة بك؟
الأمن الرقمي
وهل هذا هو السؤال الصحيح الذي يجب طرحه بالفعل؟ إليك ما يجب عليك مراعاته عندما يتعلق الأمر بالحفاظ على أمان حساباتك.
03 أبريل 2024
•
,
5 دقائق. يقرأ
لقد تم تحقيق الكثير خلال السنوات القليلة الماضية حول الإمكانات المتزايدة في المصادقة بدون كلمة مرور ومفاتيح المرور. بفضل الانتشار شبه الواسع للتعرف على الوجه المعتمد على الهاتف الذكي، أصبحت القدرة على تسجيل الدخول إلى تطبيقاتك المفضلة أو الخدمات الأخرى من خلال النظر إلى جهازك (أو طريقة أخرى للمصادقة البيومترية، في هذا الشأن) الآن حقيقة بسيطة وآمنة بشكل منعش كثير. لكن هذا لا يزال غير طبيعي، خاصة عبر عالم سطح المكتب، حيث لا يزال الكثير منا يعتمد على كلمات مرور جيدة.
وهنا يكمن التحدي – لأن كلمات المرور تظل هدفًا رئيسيًا للمحتالين وغيرهم من الجهات الفاعلة في مجال التهديد. إذن، كم مرة يجب علينا تغيير بيانات الاعتماد هذه للحفاظ على أمانها؟ قد تكون الإجابة على هذا السؤال أصعب مما تعتقد.
لماذا قد لا يكون لتغيير كلمة المرور معنى؟
حتى وقت ليس ببعيد، تمت التوصية بتدوير كلمات المرور بانتظام من أجل التخفيف من مخاطر السرقة السرية أو الاختراق من قبل مجرمي الإنترنت. كانت الحكمة المستلمة تتراوح بين 30 و 90 يومًا.
ومع ذلك، فإن الأوقات التي تتغير فيها كلمة المرور تشير إلى أن التغييرات المتكررة لكلمة المرور، خاصة وفقًا لجدول زمني محدد، قد لا تؤدي بالضرورة إلى تحسين أمان الحساب. بمعنى آخر، لا توجد إجابة واحدة تناسب الجميع حول متى يجب عليك تغيير كلمة (كلمات) المرور الخاصة بك. بالإضافة إلى ذلك، يمتلك الكثير منا عددًا كبيرًا جدًا من الحسابات عبر الإنترنت بحيث لا يمكن تتبعها بشكل مريح، ناهيك عن ابتكار كلمات مرور (قوية وفريدة من نوعها) لكل منها كل بضعة أشهر. كما أننا نعيش الآن في عالم مديري كلمات المرور والمصادقة الثنائية (2FA) في كل مكان تقريبًا.
الأول يعني أنه من الأسهل تخزين واسترجاع كلمات المرور الطويلة والقوية والفريدة لكل حساب. يضيف الأخير طبقة إضافية سلسة إلى حد ما من الأمان إلى عملية تسجيل الدخول بكلمة المرور. يتمتع بعض مديري كلمات المرور الآن بميزة مراقبة الويب المظلم المدمجة للإبلاغ تلقائيًا عن احتمال اختراق بيانات الاعتماد وتعميمها على المواقع السرية.
على أية حال، هناك بعض الأسباب المقنعة التي تجعل خبراء الأمن والسلطات المحترمة عالميًا، مثل المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) والمركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC)، لا ينصحون بإجبار الناس على التغيير كلمات المرور الخاصة بهم كل بضعة أشهر ما لم يتم استيفاء معايير معينة.
الأساس المنطقي بسيط إلى حد ما:
- وفقًا للمعهد NIST: “يميل المستخدمون إلى اختيار الأسرار الأضعف المحفوظة عندما يعلمون أنه سيتعين عليهم تغييرها في المستقبل القريب”.
- “عندما تحدث تلك التغييرات، فإنهم غالبًا ما يختارون سرًا مشابهًا لسرهم القديم المحفوظ من خلال تطبيق مجموعة من التحويلات الشائعة مثل زيادة رقم في كلمة المرور،” يستمر NIST.
- توفر هذه الممارسة إحساسًا زائفًا بالأمان لأنه إذا تم اختراق كلمة مرور سابقة ولم تقم باستبدالها بكلمة مرور قوية وفريدة من نوعها، فقد يتمكن المهاجمون بسهولة من اختراقها مرة أخرى.
- من المرجح أيضًا أن يتم تدوين و/أو نسيان كلمات المرور الجديدة، خاصة إذا تم إنشاؤها كل بضعة أشهر، وفقًا لـ NCSC.
“إنها واحدة من تلك السيناريوهات الأمنية غير البديهية؛ كلما اضطر المستخدمون في كثير من الأحيان إلى تغيير كلمات المرور، زادت قابلية التعرض للهجوم بشكل عام. لقد تبين أن ما بدا وكأنه نصيحة معقولة تمامًا وراسخة لا تصمد أمام تحليل صارم للنظام بأكمله. يجادل.
“يوصي NCSC الآن المؤسسات بعدم فرض انتهاء صلاحية كلمة المرور بشكل منتظم. نعتقد أن هذا يقلل من نقاط الضعف المرتبطة بانتهاء صلاحية كلمات المرور بشكل منتظم بينما لا يفعل سوى القليل لزيادة مخاطر استغلال كلمات المرور على المدى الطويل.
متى تغير كلمة المرور الخاصة بك
ومع ذلك، هناك العديد من السيناريوهات التي تتطلب تغيير كلمة المرور، خاصة بالنسبة لأهم حساباتك. وتشمل هذه:
- لقد تم اكتشاف كلمة المرور الخاصة بك في عملية اختراق بيانات تابعة لجهة خارجية. من المحتمل أن يتم إخبارك بهذا من قبل الموفر نفسه، أو ربما تكون قد قمت بالتسجيل للحصول على مثل هذه التنبيهات على خدمات مثل Have I Been Pwned، أو قد يتم إعلامك من قبل موفر مدير كلمات المرور الخاص بك الذي يجري عمليات فحص تلقائية على الويب المظلم.
- كلمة المرور الخاصة بك ضعيفة ومن السهل تخمينها أو اختراقها (أي أنها ربما ظهرت في قائمة كلمات المرور الأكثر شيوعًا). يمكن للقراصنة استخدامها أدوات تجربة كلمات مرور مشتركة عبر حسابات متعددة على أمل أن ينجح أحدها – وفي أغلب الأحيان، ينجحون.
- لقد قمت بإعادة استخدام كلمة المرور عبر حسابات متعددة. إذا تم اختراق أي من هذه الحسابات، فيمكن للجهات الفاعلة التهديد استخدام البرمجيات الآلية “حشو أوراق الاعتماد” برنامج لفتح حسابك على المواقع/التطبيقات الأخرى.
- لقد علمت للتو، على سبيل المثال بفضل برنامج الأمان الجديد، أن جهازك قد تعرض للاختراق بواسطة برامج ضارة.
- لقد قمت بمشاركة كلمة المرور الخاصة بك مع شخص آخر.
- لقد قمت للتو بإزالة أشخاص من حساب مشترك (على سبيل المثال، زملاء السكن السابقين).
- لقد قمت بتسجيل الدخول على جهاز كمبيوتر عام (على سبيل المثال، في مكتبة) أو على جهاز/كمبيوتر شخص آخر.
نصيحة حول أفضل ممارسات كلمة المرور
خذ بعين الاعتبار ما يلي لتقليل فرص الاستيلاء على الحساب:
- استخدم دائمًا كلمات مرور قوية وطويلة وفريدة من نوعها.
- قم بتخزين ما ورد أعلاه في مدير كلمات المرور الذي سيكون له بيانات اعتماد رئيسية واحدة للوصول إليه ويمكنه استدعاء جميع كلمات المرور الخاصة بك تلقائيًا إلى أي موقع أو تطبيق.
- راقب تنبيهات كلمة المرور المخترقة واتخذ إجراءً فوريًا بعد تلقيها.
- قم بتشغيل المصادقة الثنائية عندما يكون ذلك متاحًا لتوفير طبقة إضافية من الأمان لحسابك.
- فكر في تمكين مفاتيح المرور عند عرضها للوصول الآمن والسلس إلى حساباتك باستخدام هاتفك.
- فكر في إجراء عمليات تدقيق منتظمة لكلمات المرور: قم بمراجعة كلمات المرور لجميع حساباتك وتأكد من عدم تكرارها أو سهولة تخمينها. قم بتغيير أي منها ضعيف أو متكرر، أو تلك التي قد تحتوي على معلومات شخصية مثل أعياد الميلاد أو الحيوانات الأليفة العائلية.
- لا تقم بحفظ كلمات المرور الخاصة بك في المتصفح، حتى لو بدت فكرة جيدة. وذلك لأن المتصفحات تعد هدفًا شائعًا للجهات الفاعلة في مجال التهديد، والتي يمكنها استخدام البرامج الضارة التي تسرق المعلومات للحصول على كلمات المرور الخاصة بك. سيؤدي أيضًا إلى كشف كلمات المرور المحفوظة الخاصة بك لأي شخص آخر يستخدم جهازك/جهاز الكمبيوتر الخاص بك.
إذا كنت لا تستخدم كلمات المرور العشوائية والقوية التي يقترحها مدير كلمات المرور (أو مولد كلمات المرور الخاص بـ ESET)، راجع هذا قائمة النصائح من وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA). وتقترح استخدام أطول كلمة مرور أو عبارة مرور مسموح بها (8-64 حرفًا) حيثما أمكن ذلك، بما في ذلك الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة.
وبمرور الوقت، من المأمول أن تشير مفاتيح المرور – بدعم من جوجل وأبل ومايكروسوفت وغيرها من اللاعبين الرئيسيين في النظام البيئي التكنولوجي – إلى نهاية عصر كلمات المرور. ولكن في هذه الأثناء، تأكد من أن حساباتك آمنة قدر الإمكان.
إرسال التعليق