إذا كنت قد استخدمت كلمة مرور خاطئة أثناء إعادة تعيينها ــ محاولة تذكر ما إذا كانت كلمة المرور الأخيرة تحتوي على علامة تعجب أو ما إذا كنت قد استبدلت حرف "o" بالصفر ــ فأنت لست وحدك. فلسنوات، كان المستخدمون في كل مكان يتصارعون مع قواعد كلمة المرور التي تبدو أشبه بالألغاز المصممة لإبقائنا محرومين من الوصول إلى حساباتنا الخاصة. ولحسن الحظ، يتدخل المعهد الوطني للمعايير والتكنولوجيا (NIST) ببعض العقلانية التي تشتد الحاجة إليها.
في خطوة قد تغير الطريقة التي ندير بها كلمات المرور، اقترح المعهد الوطني للمعايير والتكنولوجيا إرشادات جديدة من شأنها أن تتخلص أخيرًا من بعض أكثر قواعد كلمات المرور إزعاجًا وعكسية. ومن بين أكبر التغييرات؟ لا مزيد من إعادة تعيين كلمات المرور الإلزامية، ولا مزيد من المتطلبات المعقدة مثل إجبارنا على تضمين أحرف خاصة، وربما وداعًا للأسئلة الأمنية التي، لنكن صادقين، أقل ارتباطًا بالأمان وأكثر ارتباطًا بألعاب التخمين.
قواعد كلمة المرور: وصفة للارتباك
إن أحدث مسودة من المعهد الوطني للمعايير والتكنولوجيا، SP 800-63-4 (اسم جذاب، أليس كذلك؟)، تهدف إلى تحسين الأمن السيبراني مع جعل حياتنا الرقمية أسهل قليلاً. لسنوات، التزمت العديد من المنظمات بقواعد تتطلب منا إعادة تعيين كلمات المرور كل بضعة أشهر، وإضافة أرقام وحروف كبيرة وأحرف خاصة كما لو كنا نتبل طبقًا. وكان السبب بسيطًا: فكلما زاد التعقيد زاد الأمان.
باستثناء... أنه لا يفعل ذلك.
وقد أظهرت الأبحاث أن هذه القواعد تؤدي في الواقع إلىأضعف إن الأشخاص الذين سئموا من محاولة تذكر "S3cur!tyP@ssw0rd"، ينتهي بهم الأمر إلى استخدام أنماط أبسط وأكثر قابلية للتنبؤ. وعندما يتعين عليك تغيير كلمة المرور الخاصة بك كل بضعة أشهر؟ من المرجح أن تقوم فقط بوضع "1" في نهاية كلمة المرور القديمة.
المعهد الوطني للمعايير والتكنولوجيا ينقذ الموقف: لا مزيد من عمليات إعادة الضبط القسرية
تقول NIST "لقد طفح الكيل". تعلن الإرشادات الجديدة رسميًا أن إجبار المستخدمين على تغيير كلمات المرور الخاصة بهم بشكل دوري ليس أمرًا ضروريًا فحسب، بل إنه قد يؤدي أيضًا إلى إضعاف الأمان. تم تقديم هذه القاعدة عندما كانت كلمات المرور في الغالب أشياء مثل "password123" أو أسماء الحيوانات الأليفة. ولكن في عالم حيث يتم الآن إنشاء العديد من كلمات المرور بشكل عشوائي أو تتكون من عبارات طويلة، فإن الحاجة إلى تغييرها بشكل متكرر ليست موجودة ببساطة.
إذن، ما الذي توصي به NIST بدلاً من ذلك؟ التزم بكلمة المرور الحالية ما لم يكن هناك دليل على تعرضها للاختراق. إذا كان المتسللون يطرقون الباب، فعندئذٍ نعم، ستحتاج إلى تغييرها. وإلا، فأنت في مأمن.
قل وداعًا لجنون الشخصيات الخاصة
هل تتذكر محاولتك العثور على كلمة مرور تلبي القاعدة المخيفة "يجب أن تحتوي على حرف كبير ورقم وحرف خاص ودم وحيد القرن"؟ حسنًا، ربما تكون تلك الأيام معدودة. يقترح المعهد الوطني للمعايير والتكنولوجيا أيضًا التخلص من القاعدة التي تجبرنا على تضمين مزيج من أنواع الأحرف المختلفة. إذا كانت كلمة المرور الخاصة بك طويلة بما يكفي وعشوائية بما يكفي، فإن هذه الأحرف الإضافية لا تضيف الكثير من حيث الأمان.
في الواقع، من خلال طلب أنواع معينة من الأحرف، فإننا نميل إلى إنشاء كلمات مرور أكثر قابلية للتنبؤ. لم يعد أحد ينبهر باستخدامك الذكي لعلامة "$" بدلاً من "S"، بما في ذلك المتسللون.
نهج منطقي في التعامل مع كلمات المرور
وبعيدًا عن التخلص من عمليات إعادة الضبط القسرية وقواعد الأحرف التعسفية، يقترح المعهد الوطني للمعايير والتكنولوجيا مجموعة من الممارسات الأخرى الصديقة للمستخدم. على سبيل المثال، أعلن المعهد رسميًا أن استخدام أسئلة الأمان مثل "ما هو اسم عائلة والدتك؟" أصبح قديمًا جدًا. يمكن العثور على معظم هذه المعلومات عبر الإنترنت، وبصراحة، من يتذكر ما أجابوا عليه قبل 10 سنوات؟
الفكرة هنا هي الحفاظ على قوة كلمات المرور، ولكن دون تحويل حياة المستخدمين إلى كابوس حقيقي. عندما لا نضطر إلى القفز عبر الحلقات لإنشاء كلمة مرور، فإننا أقل عرضة للجوء إلى خيارات سهلة التخمين مثل "Password1" أو "12345".
إذن، ماذا سيحدث بعد ذلك؟
لم يتم تحديد المبادئ التوجيهية الجديدة بشكل نهائي بعد، ولكنها قد تصبح قريبًا المعيار الذي يجب على الهيئات الحكومية والمنظمات التي تعمل مع الحكومة الفيدرالية اتباعه. ورغم أن هذه القواعد لن تكون ملزمة عالميًا، إلا أنها تشكل دفعة قوية في الاتجاه الصحيح. ومع موافقة المعهد الوطني للمعايير والتكنولوجيا، قد يكون لدى الشركات أخيرًا سبب وجيه للتخلص من بعض ممارسات كلمات المرور التي تجعلنا ننتزع شعرنا.
إذا نجحت هذه الإرشادات الجديدة، فقد نشهد مستقبلاً حيث لا تكون إدارة كلمات المرور مرهقة للغاية. بل قد تتمكن حتى من تذكر كلمة المرور الخاصة بك دون تدوينها على تلك المذكرة اللاصقة. (نحن نراكم).
في غضون ذلك، نأمل أن تنتهي أيام كلمات المرور المعقدة غير الضرورية. شكرًا للمعهد الوطني للمعايير والتكنولوجيا على إضفاء القليل من الحس السليم على فوضى الأمن السيبراني.
Weiliang
Miyuki
JinseFinance
Clement
cryptopotato
Coindesk
Ftftx
Cointelegraph