تغيير كلمة المرور الدائم ليس فكرة جيدة

كثير منا ، الذين يعملون في شركات التكنولوجيا بمختلف الأحجام ، لم يواجهوا مرارًا السياسات الأمنية الأكثر راحة. وإذا كانت البطاقات الرئيسية وتتبع الوقت ومراقبة نشاط الشبكة هي القاعدة ، شريطة أن يكون لدى الشركة شيء تخفيه عن المنافسين ، فإن تغيير كلمات المرور باستمرار يعد حدثًا مملاً.

وصلت هذه الظاهرة إلى الجميع في فترة مختلفة. ظهر المؤلف بهذه الطريقة بين رجال الأمن في عام 2013 البعيد بالفعل. مثل الصاعقة من اللون الأزرق ، فوجئت المنظمة بأكملها بالأخبار: "في غضون أسبوعين يجب عليك تغيير كلمات المرور ، وفي المستقبل سيتم تغييرها بالقوة كل ثلاثة أشهر." وسأخبركم أن هذه ليست فترة قصيرة جدًا. في شركة أخرى ، لا يمكن استدعاء admin-samodur خلاف ذلك ، والتي أدت أيضًا دور "خدمة الأمان" وتعيين فترة تغيير كلمة المرور لمدة شهر واحد. بالمناسبة ، كان من دواعي سروري أن أذهب في إجازة أو في إجازة مرضية والعودة منها إلى الحساب المحظور (رفضت VPN تقديم حتى تحت تهديد التعذيب) ، لكن هذه كلمات الأغاني بالفعل.

بالنسبة لأولئك الذين استخدموا مديري تمرير مثل KeePass ، لم يكن الأمر مخيفًا جدًا ، ولكن الجزء من الموظفين الذين تذكروا كلمات المرور عن ظهر قلب كان حزينًا قليلاً (في الواقع كثيرًا).

التغيير المستمر لكلمات المرور ، بدلاً من زيادة مستوى الأمان داخل المؤسسة ، يؤدي فقط إلى حقيقة أن مستوى الأمان الخاص به ينخفض. وهناك عدد من الأسباب الكافية لذلك.

يميل معظم المستخدمين العاديين إلى تذكر كلمات المرور الخاصة بهم ولا يستخدم الجميع مديري المرور. إذا أوصيت بأن تقوم عائلتك أو أصدقاؤك بتغيير كلمات المرور الخاصة بهم كل بضعة أشهر ، فأنت تُلحق الضرر بهم. بعد كل شيء ، يؤدي التغيير المستمر لكلمة المرور إلى:

• لتبسيط الأمر ، من الصعب تذكر كلمة مرور معقدة على الفور ، وسيتعين عليك استخدامها ، على ما يبدو ، طوال الوقت ؛
• , , , , , .;
• , . , . «» . .

أوضح مثال على "التسجيل" ، وفي هذه الحالة ، مطبوعات كلمات المرور. في عام 2015 ، كان هناك مقال عن حبري حول اختراق قناة تلفزيونية فرنسية ، حيث تم تصوير "المذكرة" التي تمت مناقشتها على الهواء

. إذا كانت لدينا الفرصة في مكان عمل شخصي لتثبيت مدير مرور ولا تعرف المشاكل ، فهناك حالات لا يستطيع فيها الشخص ببساطة تثبيت برنامج تابع لجهة خارجية على كمبيوتر العمل.

هل سبق لك أن تساءلت لماذا ، خلال بعض العمليات المعقدة في البنك ، فإن أمين الصندوق ، برأيك ، يتململ لفترة طويلة لا يفهم ماذا؟

في عمله ، يستخدم الموظف العادي (أمين الصندوق) حوالي عشرة حسابات في برامج مختلفة أو شرائحها. بالإضافة إلى الدخول إلى الحساب أثناء العملية ، يجب تأكيد كل واحد بكلمة المرور الخاصة به بالإضافة إلى ذلك ، غالبًا - بما يكفي - بكلمة مرور أمين الصندوق الأول أو رئيس القسم (سمعنا جميعًا هذه الصرخة "CONTROL!"). من مصرف لآخر ، يمكن أن تتغير جميع كلمات المرور مرة واحدة شهريًا ، وبعضها أكثر.

من الناحية النظرية ، كل شيء يبدو لائقًا. كلمات المرور عند الضرورة ، ما لا يقل عن ثمانية أحرف مختلفة في كل مكان. عمليًا ، يتم تسجيلها جميعًا على الورق وتخزينها في جيوب السترات أو تحت لوحة المفاتيح.

ونتيجة لذلك ، بدلاً من نظام أمان من مستويين ، نحصل على غربال مع "المذكرات" المذكورة سابقًا فقط لأن هناك رأيًا مفاده أن "تغيير كلمات المرور تمامًا مثل ذلك مفيد".

من أكثر الطرق شيوعًا لتذكر كلمة المرور ، إذا كان استخدام مدير المرور مستحيلًا ، ولكن عليك تغيير كلمة المرور كل N أيام ، هو توحيدها. تم تأكيد هذه الحقيقة من خلال دراسة في مجال الأمن من قبل موظفي جامعة نورث كارولينا في عام 2010.

في عملهم ، قاموا بتقليد توليد كلمات المرور من قبل المستخدمين على أساس مبدأ التوحيد القياسي ، ثم ، بناءً على ذلك ، قاموا بـ "هجوم" على الحسابات ، مع مراعاة استنفاد أكثر كلمات المرور المحتملة قبل أن يتفاعل نظام الأمان مع ما يحدث. وفقًا لظروف المهمة ، كانت في أيدي المهاجمين القاعدة المصرفية "القديمة" غير ذات الصلة بـ 7700 حساب. في ذلك الوقت ، تمكن الباحثون ، مع مراعاة كلمات المرور المنقوشة ، من الوصول إلى 17٪ (!!!) من الحسابات المصرفية في أقل من 5 محاولات. تم اختراق 41 ٪ أخرى من الفواتير في حوالي 3 ثوان. يمكن العثور على

حسابات خوارزمية أكثر تفصيلاً في العمل نفسه .

تؤكد هذه الدراسة مرة أخرى أنه بمجرد إنشاء كلمة مرور معقدة حيث لا تتاح للشخص فرصة استخدام برامج متخصصة لتخزين المفاتيح ، فإنه أفضل من الاستبدال المستمر بخيارات أبسط.

بعد كل شيء ، فإن دماغنا مشكل بطبيعته ، لذلك فهو يسعى إلى تبسيط وصياغة كل شيء. وهذا بدوره يؤدي إلى حقيقة أنه إذا وقعت بياناتنا غير ذات الصلة في أيدي متطفلين ماكرين بشكل أو بآخر ، فإن تغيير كلمة المرور الدائم ، إذا كانت كلمة مرور القالب (وهذا يحدث غالبًا) ، لن يساعدنا ، ولكنه سيستبعد فقط إمكانية باستخدام مفتاح صعب للغاية للقضاء.

Source: https://habr.com/ru/post/ar396733/