أيها التنفيذيون ، توقفوا عن إعادة تعيين كلمات مرور المستخدم مرة في الشهر

يوم تغيير كلمة المرور ، مكتب في Ensk ، إعادة الإعمار ، اللون

إذا لم تخلق هذه المقالة فجوة في استمرارية الزمكان ، فحينئذٍ في الساحة هي 2018 ، وفي معظم المؤسسات الكبيرة ، لا تزال كلمات المرور تتغير كل 30-90 يومًا. تم طرح موضوع حقيقة أن التغيير القسري المستمر لكلمة المرور يقلل الأمان فقط ، ولكنه لا يزيده على الإطلاق ، وقد أثير على حبري عدة مرات ( 1 ، 2 ، 3 ) ، ولكن في هذه الحالات ، تمت مناقشة حالات معينة عادة ، وفي التعليقات شارك المستخدمون تجاربهم بنشاط ، كيف يحمون حساباتهم.

إن حقيقة أن مجموعة من الرموز المشروطة KeePass + التي تم رشها بالمصادقة ذات العاملين أكثر موثوقية بكثير من التغيير الشرطي لكلمات المرور كل 30-90 يومًا ، أمر مفهوم بدون تفسير. ولكن كما أشار أحد المعلقين في المنشورات السابقة على نحو ملائم ، غالبًا ما تأتي المبادرة لمثل هذه الإجراءات "الفعالة" من أعلى المنظمة ، ويكون الجدل مع الرئيس التنفيذي دون حجج تستحق أكثر تكلفة. لذلك ، قررت أن أحاول التوسع بطريقة يسهل الوصول إليها ، حيث تنمو أرجل مثل هذه الممارسة الواسعة الانتشار وفي نفس الوقت غير فعالة ، ما هي البدائل المتاحة لهم وما يرتبط بها. ربما بعد قراءة هذا المقال من قبل بعض المديرين التنفيذيين ، سيصبح العمل في الشركات الفردية أفضل قليلاً.

ما سبب خطورة تغيير كلمات المرور بانتظام؟

كلمة المرور نفسها هي إجراء أمني لا يقاوم التكسير. هذا هو السبب في أن هناك الآن في السوق العديد من الوسائل للمصادقة الثنائية أو حتى الثلاثة عوامل ، الرموز المميزة المختلفة ، محركات الأقراص المحمولة وغيرها من الحيل التي تعزز المحيط وتقلل من احتمال الاختراق والوصول إلى البيانات السرية أو الحساب. من المفترض أن إحدى طرق الدعاية "لتقوية" هذا المحيط بالذات هي تغيير كلمة مرور المستخدم بانتظام ، والتي ، من الناحية النظرية ، يجب أن تحمي من هجوم بسبب استنزاف قاعدة البيانات وما إلى ذلك. تفتقد كل هذه التوصيات ، أولاً وقبل كل شيء ، تأثير التقييس ، الذي وصفته بالتفصيل قبل عدة سنوات.

باختصار: يؤدي التغيير القسري المستمر لكلمات المرور إلى تطوير شخص لنموذج ليس فقط لتذكر كلمة المرور الحالية ، ولكن أيضًا لتوليدها ، والتي تم وصفها في ورقة علمية من قبل باحثين أمريكيين في عام 2010.

بدلاً من تذكر "كلمات مرور قوية ذات سجل متغير وشخصيات خاصة" إلى ما لا نهاية ، يبدأ المستخدمون في كتابتها في صورة مبتذلة أو استخدام أنماط. ومن المستحيل تعيين حارس لكل موظف يتحقق من تفرد كل كلمة مرور جديدة.

كيف يتعلم المدراء التنفيذيون تغييرات كلمة المرور

إذا كنت تعذب محرك البحث قليلاً ، فيمكنك العثور على الكثير من المنشورات وحتى الوثائق الرسمية حول موضوع أمن المعلومات. البعض منهم يشبه رائحة النفتالين ، والبعض الآخر أكثر يقظة ويتحدثون عن مخاطر "الهجمات الداخلية" والهندسة الاجتماعية أثناء القرصنة. كلهم متحدون من عنصر "تغيير كلمة المرور الدورية" ، والذي يبدأ غالبًا بكلمات مثل "لا تنسى هذه الطريقة البسيطة والفعالة".

لكي لا أكون لا أساس لها من الصحة ، سأقدم بضعة أمثلة عن كيفية الأدب المحلي (بما في ذلك التعليم!) والمقالات التي يوصى باستخدامها لتغيير دوري لكلمات المرور:



هذه لقطة شاشة من CMD حول طبعة أمن المعلومات 2008. في الكتاب ، يعترف المؤلفون بضعف كلمة المرور كوسيلة للحماية ويدعون إلى أمن المعلومات من خلال التغيير القسري المنتظم وعدد من التدابير الأقل فائدة ، مثل قنوات نقل البيانات الآمنة ، على سبيل المثال.

كما تقدم الشبكة مجموعة كبيرة من الندوات والدورات التدريبية المدفوعة "للمديرين والمشرفين" لضمان أمن المعلومات للمؤسسة. إذا قمنا بالانسحاب من قطاع تكنولوجيا المعلومات وتخيلنا أن مدير أو مالك مؤسسة منتجة ، على سبيل المثال ، كتل سيليكات الغاز أو المنتجات الصناعية الأخرى قد اعتنى بتكنولوجيا المعلومات ، فمن المرجح أنه سيجمع معلومات من مصادر مفتوحة أو يحضر إحدى ندوات "التدريب المتقدم".

أنا لا أنتقد مثل هذه الأحداث في مهدها ، لا. بالطبع ، يوفر أيضًا معلومات مفيدة حول سلوك الشبكة ، وتقييد حقوق الوصول ، وتحديث الأنظمة والإدارة في الوقت المناسب. ربما يتم تعليمهم وصف القواعد وبناء أبسط محيط لأمن المعلومات على أساس إنشاء "نظام" في المنشأة. ومع ذلك ، يمكن القول بشكل مؤكد بنسبة 100٪ أن شعارنا غير المحبب "جعل الموظفين يغيرون كلمات المرور الخاصة بهم كل 30 يومًا" يبدو بشكل منتظم في مثل هذه الأحداث.

إذا كنت تفكر في ذلك ، يمكنك الوصول إلى استنتاج واحد بسيط: بعد كل شيء ، تسمح أدوات إدارة Windows بمثل هذه السياسة. في الواقع ، يعد التغيير المنتظم لكلمات المرور في شبكة الشركة معيارًا تم إنشاؤه منذ سنوات عديدة من تلك التي تم تصميمها بحسن نية ، والتي لا تزال موجودة بسبب القصور الذاتي. إذا قمت بالتعمق أكثر قليلاً ، يمكنك أن ترى أن التغيير المنتظم لكلمات المرور يستخدم على نطاق واسع ليس فقط لمنتجات Microsoft التي تقدم هذه الميكانيكا خارج الصندوق. تم استقراء ممارسة تغيير كلمات المرور بنجاح إلى منتجات أخرى ، على سبيل المثال ، إلى برنامج "zoo" 1C. في الواقع ، كان المسؤولون في جميع أنحاء رابطة الدول المستقلة يغتصبون عقولهم والمحاسبين / موظفي المبيعات لمدة عقد على الأقل ، باتباع تعليمات دليل "الأمان".

في الوقت نفسه ، الخبراء الذين يحثون على التخلي عن التغيير المنتظم لكلمات المرور والدعاية من المجموعات التي من المستحيل تذكرها ، أي عام تم تجاهله بنجاح. على سبيل المثال ، قبل عامين تقريبًا ، تحدث رئيس مركز الأمن السيبراني الوطني الجديد في المملكة المتحدة ، مارتن تشياران ، ضد التغيير المستمر لكلمات المرور المعقدة. وانتقد ممارسة تغيير كلمات المرور باستمرار والنصائح الخاصة باستخدام كلمات المرور المعقدة لخدمات مختلفة ، ومقارنة ذلك بالحفظ الشهري لرقم مكون من 600 رقم. وفقًا لـ Chiaran ، من الأسلم كثيرًا استخدام مدير كلمات المرور أو كلمة مرور واحدة يصعب اختراقها ، ولكن من الممكن تذكرها.

هل من الممكن اقناع القيادة؟

طرق إقناع زعيم بعيد عن العالم الحديث لتكنولوجيا المعلومات بأن تغيير كلمات المرور المنتظمة هي لعبة متوحشة ليست كثيرة.

يجب أن يُفهم أن هذه الممارسة اكتسبت هذه الشعبية الواسعة لسببين:

1. وهذا يعطي إحساسًا زائفًا بالأمان ويغلق سؤال "أمان" محطات عمل الموظف للمدير.
2. إنه سريع ومجاني نسبيًا.

إذا كانوا من جميع الجهات ، في الصحافة ، في الندوات وما إلى ذلك ، كانوا يقولون منذ عقود أن تغيير كلمة المرور فكرة جيدة ، فسيتم إيداعها في ذاكرة الرأس. جنبًا إلى جنب مع النقطة الثانية ، عندما تكون جميع تكاليف نشر "المحيط" في شكل تغيير كلمات المرور محدودة بحقيقة أنك تحتاج فقط إلى لغز مسؤول النظام هذا ، الذي سيفعل كل شيء في يوم واحد ، يصبح كل شيء لطيفًا وأسهل.

لن يوافق أي مدير شركة في منتصف العمر على شراء الرموز أو الوسائل المادية الأخرى لحماية محطات العمل عندما يكون هناك بديل مجاني في شكل تغيير قسري لكلمة المرور. السيناريو الواضح في هذه الحالة هو واحد: لشرح فشل مثل هذه الممارسة واقتراح بديل.

ما هو خطر تغييرات كلمة المرور العادية:

• تبدأ كتابة كلمات المرور على قطع من الورق / في يوميات / ملصقات لاصقة على الشاشة ؛
• يتم تشكيل كلمات المرور وفقًا لنموذج (يتم تغيير عدة أحرف في بداية كلمة المرور أو نهايتها) ؛
• يتم تبسيط كلمات المرور أكثر من اللازم ، حتى مع الحد الأدنى من الأحرف.

يمكنك أن تشعر أن جميع التهديدات الرئيسية الناتجة عن التغيير المنتظم لكلمة المرور تتعلق بالانتهاك الداخلي لأمن المعلومات والمحيط ، أي أنها تكمن في مستوى الهندسة الاجتماعية. لن يتجسس متسلل بعيد من نيجيريا على كلمة مرور مكتوبة على قطعة من الورق ومخفية تحت لوحة مفاتيح. لكن موظف منافس جاء عن طريق الخطأ أو هادم من فريق - بسهولة.

البديل الحقيقي الوحيد لضمان أمان المحيط الداخلي هو استخدام مبدأ "محطة واحدة - شخص واحد" ، والاستشارة عبر الإنترنت ودعم الموظفين في حالة حظر محطة العمل عن طريق المهلة ، وبناء سياسات الوصول داخل الشبكة نفسها وإدخال المسؤولية عن الكشف / نقل كلمة مرور الحساب. يتناسب هذا الأخير بشكل رائع مع موضة السنوات الأخيرة لأي سبب للتوقيع مع موظفي NDA والمقاولين ، لذلك دعه مبررًا مرة واحدة.

القطاع المصرفي كمثال يحتذى

يعامل معظم القادة في مسائل أمن المعلومات داخل المكتب الموظفين كممتلكات للشركة ، أي أنهم يفترضون أنهم لا يحتاجون إلى الدعم. ومع ذلك ، إذا أخذنا في الاعتبار هيكل المحيط الداخلي باستخدام مثال أمن البيانات في شكل "عميل خدمة" في الهياكل المصرفية ، يصبح كل شيء أكثر وضوحًا.

فكر في الأمر: يتكون رمز PIN من بطاقة مصرفية من 4 أحرف فقط ، ولكن لا أحد يصرخ بأنها "قصيرة جدًا" وسهلة التصدع. مبتذلة لأن البطاقات البلاستيكية لها حد على عدد محاولات الدخول ، بالإضافة إلى أن العميل يمكن أن يحجب بطاقته بسرعة إذا كان يشك في تسرب للبيانات (جهاز مسح) أو فقد البطاقة. ويستغل المستخدمون هذه الفرص بنشاط لأنهم مهتمون بمراقبة الإجراءات الأمنية ويعلمون أنهم سيكونون قادرين على أداء هذه العمليات بسرعة.

أي ، إذا كانت إدارتك مهتمة بإنشاء لوائح داخلية وضمان أمن المعلومات الحقيقي للشركة ، فمن الجدير أن ننقل إليها حقيقة أن جميع الموظفين في تلك اللحظة يصبحون "عملاء" لخدمة تكنولوجيا المعلومات في المؤسسة ، والتي ستدعمهم. في معظم الأحيان ، يقع هذا الدور على عاتق مسؤولي النظام ، الذين يضمنون بالفعل الأداء السلس لأنظمة تكنولوجيا المعلومات في المؤسسة. وكلما زادت خطورة الإجراءات الأمنية ، زادت تكلفة الموظفين والبنية التحتية. ولكن لسبب ما ، من المعتاد التزام الصمت حيال هذه الحقيقة البسيطة.

لذا ماذا علي أن أفعل؟

نحن بحاجة إلى نقل فكرة واحدة بسيطة إلى القيادة: لا يوجد أمن مجاني للمعلومات ، مجانًا يمكنك فقط إنشاء مظهر النشاط في هذا الاتجاه. في جميع الحالات الأخرى ، ستزداد النفقات إما لموظفي مسؤولي النظام (إذا كانت هناك فجوة في الدولة ، فستزداد فترة التعطل) ، والتي ستستجيب بسرعة لمشاكل المستخدمين وستكون قادرة على بناء نظام كفؤ للحقوق والوصول ، أو تتطلب شراء الرموز المميزة التي تصدر كلمات مرور مؤقتة / التي يتم من خلالها الوصول إلى النظام.

بديل مجاني نسبيًا لما سبق ذكره هو فقط كلمة مرور رئيسية ، والتي يمكن للمستخدم تذكرها وليس لديه الحق في إفشاء + استخدام مدير كلمات المرور للوصول إلى البرامج وقواعد البيانات الاستراتيجية للشركة.

في الواقع ، ما كنا نتحدث عنه منذ ما يقرب من عقد من الزمان.

---

PS أدناه هي استطلاعات الرأي للعاملين في المكاتب. لحسابهم الخاص والعاملين عن بعد ، يرجى الامتناع عن أسباب واضحة.