في أحدث توصياتها، المجمعة في الدليل SP 800-63-4، حذر المعهد الوطني للمعايير والتكنولوجيا من أن إجبار المستخدمين على تغيير كلمات المرور الخاصة بهم بشكل دوري قد يكون له نتائج عكسية: فبدلاً من تحسين الحماية، تؤدي هذه الممارسة إلى استخدام كلمات مرور أضعف وأكثر قابلية للتنبؤ وأسهل في التذكر.
تتضمن الاستراتيجية الجديدة الحفاظ على كلمات مرور قوية وفريدة ويصعب تخمينها، مع عدم تغييرها إلا في حال وجود مؤشرات على تعرضها للاختراق أو في حال ظهورها في خروقات للبيانات.
علاوة على ذلك، يُشدد الخبراء على أهمية دعم كلمات المرور بأنظمة المصادقة متعددة العوامل (MFA)، واستخدام برامج إدارة كلمات المرور لإنشاء كلمات مرور معقدة دون الحاجة إلى حفظها.
في ظل تزايد وتيرة الهجمات الإلكترونية وتعقيدها، تُمثل هذه التوصيات نقلة نوعية تُؤثر على المستخدمين والشركات والمؤسسات على حد سواء.
كما ذكرنا سابقًا، اقترح المعهد الوطني للمعايير والتكنولوجيا (NIST) - وهي وكالة فيدرالية تحدد معايير التكنولوجيا للوكالات الحكومية ومنظمات المعايير والشركات الخاصة - حظر بعض متطلبات كلمات المرور، مثل إعادة التعيين الإلزامية، والاستخدام الإلزامي أو المقيد لبعض الأحرف واستخدام الأسئلة الأمنية.
وفقًا للمسودة العامة لـ SP 800-63-4 التي نشرها المعهد الوطني للمعايير والتكنولوجيا (NIST)، "عند اختيار بيانات الاعتماد بشكل صحيح، فإن اشتراط تغييرها دوريًا، عادةً كل شهر إلى ثلاثة أشهر، يمكن أن يُضعف الأمان، لأن هذا العبء الإضافي يُشجع على استخدام كلمات مرور أضعف، والتي يسهل على المستخدمين إعدادها وتذكرها".
لذلك، تنص أحدث إرشادات الخبراء على أنه "لا ينبغي على جهات التحقق ومقدمي خدمات الاتصالات مطالبة المستخدمين بتغيير كلمات مرورهم بشكل دوري. ومع ذلك، يجب عليهم فرض التغيير في حال وجود دليل على تعرض المُصدِّق للاختراق".
لأن كل هذا قد يكون معقدًا، ينصح الخبراء باستخدام مدير كلمات مرور يُنشئ مفاتيح عشوائية تُخزَّن بشكل آمن ومشفَّرة، ويمكن الوصول إليها عبر جميع الأجهزة الشخصية. هذا يُخفف عناء تذكر بيانات اعتماد تسجيل الدخول المعقدة عبر مواقع ويب متعددة، ويشجع المستخدمين على اختيار كلمات مرور أطول وأقوى.
ليست هناك تعليقات:
إرسال تعليق