Geekly articles weekly

"هذه قواعد سخيفة تزعج الجميع": مناقشة الممارسات الميدانية لكلمة المرور

في الآونة الأخيرة ، تم نشر قائمة بالموارد ذات القواعد المعقدة وغير الناجحة لكلمات المرور على GitHub. تتم مناقشة الاختيار بنشاط ، وقررنا الانضمام إلى المناقشة.


صور - اندريه هنتر - Unsplash

طول كلمة المرور غير معروف


جميع المواقع تقريبًا بها قيود على طول كلمة المرور. يلاحظ جيف آتوود ، مؤلف كتاب Stack Overflow وبلوق Coding Horror ، أن الحد الأدنى من شريط المكون من عشرة أحرف يقلل من فرصة المستخدم لإدخال كلمة مرور ضعيفة أو شعبية بنسبة 80 ٪. ولكن هناك موارد تُبلغ عن الحد الأدنى لطول كلمة المرور ، ولكنها لا تشير إلى وجود حد أعلى. في الاختيار ، يمكنك العثور على أمثلة لمواقع البائعين الكبار ، حيث يُسمح باستخدام عبارات تصل إلى 20 حرفًا في حقل كلمة المرور. ولكن يمكنك معرفة هذا القيد بشكل حصري عن طريق التجربة والخطأ.

ذهب مطورو موقع نظام رسوم الطرق الإلكترونية في الولايات المتحدة الأمريكية إلى أبعد من ذلك. يقطع حقل كلمة المرور عمومًا الأحرف "الزائدة". لا يفهم المستخدمون على الفور سبب عدم مطابقة كلمات المرور عند إدخالها في الحقول المناسبة. توجد مشكلة مماثلة على موقع شركة طيران نيوزيلندا واحدة. علاوة على ذلك ، لا يظهر في جميع الصفحات. هناك العديد من هذه الموارد - يلاحظ أحد سكان Hacker News أنه قد فقد عددًا بالفعل ، وعدد المرات التي كان عليه فيها تعديل نصوص JS يدويًا في علامة تبويب المصدر في المتصفح بحيث تتم معالجة كلمات المرور بشكل طبيعي.

يُعتقد أن مشكلة "تقليل" كلمات المرور مخفية في طريقة تخزينها. ربما تكون عمليات الوصول في الوضع الصافي (بدون التجزئة) - على سبيل المثال ، في قاعدة بيانات تحتوي على حقل varchar.

تغيير كلمة المرور بانتظام


من المعتقد أنه إذا كانت كلمة المرور موثوقة ولم يتم تسليط الضوء عليها في التسريبات ، فإن تغييرها لا معنى له . في بداية العام ، رفضت Microsoft حتى تغيير كلمات المرور بانتظام. لكن لم يتبع الجميع خطواتهم. على سبيل المثال ، تطلب شركة أمريكية تقوم بتطوير تطبيقات لمنظمات الائتمان والرهن العقاري من المستخدمين تغيير كلمة المرور الخاصة بهم كل ستة أشهر.

يقول أحد سكان Hacker News أن شركته تحتاج إلى تغيير كلمة المرور كل ثلاثة أشهر. هذا يزعجه كثيرا. في هذه الحالة ، يخلط البرنامج ، المسؤول عن التدوير ، بين ترتيب الأحرف الخاصة أثناء حفظ بيانات المصادقة الجديدة. يصبح تسجيل الدخول باستخدام كلمة المرور التي تم تغييرها أمرًا مستحيلًا. حتى يتم تصحيح الموقف ، يضطر لاستخدام عبارات أبجدية رقمية أضعف. يؤدي الشرط لتغيير كلمة المرور بانتظام إلى حقيقة أن موظفي الشركة يبدأون في إعادة استخدام المعرفات السابقة. قال مستخدم آخر ، HN ، إنه كان يعمل مع مزود اتصالات ، حيث استخدم الموظف كلمتين مرور فقط لتسجيل الدخول إلى حسابه: "Apr1999!" أو "Mar1999!". لقد استوفوا متطلبات كلمة المرور بشكل رسمي فقط: الأحرف الكبيرة والصغيرة والأرقام والرموز.

إدارة المدخلات


من غير المعروف على وجه اليقين كيف ظهرت ممارسة حظر إدراج كلمة المرور. يلاحظ مهندسون من المركز القومي الأمريكي للأمن السيبراني أن أحداً لم ير أي مقال علمي أو دراسة أو قاعدة أو RFC حول هذا الموضوع. يقولون أيضًا أن هذه ممارسة سيئة تعيق الأمن. يفقد زائرو الموارد القدرة على استخدام مديري كلمات المرور والمولدات. نتيجة لذلك ، يختارون كلمات مرور بسيطة حتى لا نضيع الوقت ونحصل على وصول أسرع إلى الموارد. كما تحدث المدير الإقليمي لشركة Microsoft Troy Hunt ومحرر Wired Joseph Cox أيضًا عن حظر الإدراج.


صور - ماثيو برودور - Unsplash

لاحظ أن مكوّن Don't F * ck With Paste للمتصفح Chrome و Firefox يمكن أن يتغلبا على المشكلة. أيضا ، يمكن حل المشكلة يدويا في الإعدادات. على سبيل المثال ، بالنسبة لـ "fox fire" ، يجب تغيير العلم حول: config: dom.event.clipboardevents.enabled إلى false . ومع ذلك ، قد يؤدي هذا إلى تعطيل النسخ / اللصق في مُحرر مستندات Google. لمحاربة حظر النسخ / اللصق ، كتب أحد سكان Hacker News نصه الخاص - AutoHotKey. يقرأ البيانات من الحافظة ، ثم يطبعها واحدًا تلو الآخر في حقل الإدخال مع تأخير قدره 100-200 مللي ثانية.

الذي يقيس سياسات كلمة المرور


هناك مؤسسات تعمل على تطوير معايير للعمل باستخدام كلمات المرور. على سبيل المثال ، يقوم المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) بتجميع إطار NIST 800-63B . ينص على أن كلمة المرور يجب أن يكون طولها ثمانية أحرف على الأقل. في الوقت نفسه ، يُطلب من المواقع تعيين حد أقصى لطول كلمة المرور لا يقل عن 64 حرفًا.

يجب ألا يتم تضمين كلمة المرور المحددة في قائمة العبارات الأكثر شيوعًا وأن تحتوي على أحرف وأرقام متكررة ("aaaaaa" أو "1234abcd"). قام مهندسون من Sophos ، وهي شركة مصنعة لأدوات أمن المعلومات ، للخوادم وأجهزة الكمبيوتر الشخصية ، بإعداد ضغط قصير مع شرح لهذه القواعد. يحتوي معيار NIST بالفعل على العديد من المواقع. على سبيل المثال ، مورد login.gov ، الذي يوفر خدمات المصادقة لبوابات الحكومة الأمريكية.

هناك أطر عمل أخرى (على سبيل المثال ، HITRUST ) ، ولكن لا يزال لديهم ممارسات قديمة مثل تدوير كلمة المرور العادية. لكن ، مثل NIST ، يتم تحسينها تدريجياً.


قراءة إضافية على مدونة 1cloud:

ما الجديد في Linux kernel 5.3
"كيف نبني IaaS": مواد 1cloud

فحص الأجهزة الإلكترونية على الحدود - حاجة أم انتهاك لحقوق الإنسان؟
لماذا مطوري المستعرض العادي رفضوا مرة أخرى عرض النطاق الفرعي

Source: https://habr.com/ru/post/ar475774/

More articles:


All Articles