إرشادات كلمة المرور الجديدة تجعل حساباتك أسهل في التأمين
تشير إرشادات كلمات المرور الجديدة من المعهد الوطني للمعايير والتكنولوجيا إلى أن الطريقة التي كنا نصنع بها كلمات المرور ليست آمنة كما نعتقد. كتب بيل بور المجموعة الأصلية للمبادئ التوجيهية في عام 2003 ، والذي يأسف الآن على الكثير من نصيحته . أصبحت اقتراحاته الأساس لمعظم متطلبات كلمة المرور اليوم ، مثل المطالبة بتغيير كلمات المرور بشكل متكرر وتضمين أحرف أبجدية رقمية.
لكننا تعلمنا الكثير عن أمان الكمبيوتر منذ ذلك الحين ، وقد يؤدي مطالبة الأشخاص بإنشاء كلمات مرور جديدة معقدة كل 90 يومًا إلى جعل كلمات المرور الخاصة بنا أقل أمانًا. بصرف النظر عن تقدم التكنولوجيا - واختراق كلمة المرور - لم تأخذ هذه الإرشادات في الاعتبار كيف سيتفاعل المستخدمون مع المتطلبات. في حين أن بعضنا سوف يبذل قصارى جهده لإنشاء أقوى كلمات المرور الممكنة ، فإن العديد منا ببساطة يفي بالحد الأدنى من المتطلبات. بعد كل شيء ، من الصعب بالفعل تذكر كلمات المرور ولا يريد أحد أن يجعلها أكثر صعوبة على أنفسهم.
على سبيل المثال ، عندما يُطلب منا استخدام الأحرف والأرقام والأحرف الخاصة في كلمة مرور ، سيستخدم الكثير منا بدائل بسيطة. لذا عندما يتم رفض كلمة المرور الخاصة بنا ، قد نقوم بتحويلها إلى "P4ssword!" هذه البدائل معروفة ويمكن تخمينها بسهولة ، لذلك فهي لا تفعل الكثير لتأمين حساباتنا. وعندما يُطلب منا تغيير كلمات المرور الخاصة بنا بانتظام ، فمن المحتمل أن نغير "P4ssword!" إلى "P4ssword! 1" - وهو ، مرة أخرى ، بديل يسهل تخمينه.
تشدد الإرشادات الجديدة على كلمات المرور الأطول التي لا يجب أن تكون معقدة للغاية ولا يجب تغييرها إلا بعد اختراق الأمان. فيما يلي ملخص للمتطلبات الجديدة:
لسوء الحظ ، لمجرد أن هذه الإرشادات الجديدة قد تم إصدارها لا يعني أن الخدمات التي تتطلب كلمات مرور ستبدأ في متابعتها. حتى تلتقط الإنترنت هذه المعايير ، فإنك عالق في إنشاء كلمات مرور معقدة. ومع ذلك ، هذا لا يعني أنها تحتاج إلى كلمات مرور ضعيفة: يمكنك اتباع إرشادات NIST بنفسك واستخدام مدير كلمات المرور لمساعدتك على تتبع كلمات المرور الخاصة بك.
تشير إرشادات كلمات المرور الجديدة من المعهد الوطني للمعايير والتكنولوجيا إلى أن الطريقة التي كنا نصنع بها كلمات المرور ليست آمنة كما نعتقد. كتب بيل بور المجموعة الأصلية للمبادئ التوجيهية في عام 2003 ، والذي يأسف الآن على الكثير من نصيحته . أصبحت اقتراحاته الأساس لمعظم متطلبات كلمة المرور اليوم ، مثل المطالبة بتغيير كلمات المرور بشكل متكرر وتضمين أحرف أبجدية رقمية.
لكننا تعلمنا الكثير عن أمان الكمبيوتر منذ ذلك الحين ، وقد يؤدي مطالبة الأشخاص بإنشاء كلمات مرور جديدة معقدة كل 90 يومًا إلى جعل كلمات المرور الخاصة بنا أقل أمانًا. بصرف النظر عن تقدم التكنولوجيا - واختراق كلمة المرور - لم تأخذ هذه الإرشادات في الاعتبار كيف سيتفاعل المستخدمون مع المتطلبات. في حين أن بعضنا سوف يبذل قصارى جهده لإنشاء أقوى كلمات المرور الممكنة ، فإن العديد منا ببساطة يفي بالحد الأدنى من المتطلبات. بعد كل شيء ، من الصعب بالفعل تذكر كلمات المرور ولا يريد أحد أن يجعلها أكثر صعوبة على أنفسهم.
على سبيل المثال ، عندما يُطلب منا استخدام الأحرف والأرقام والأحرف الخاصة في كلمة مرور ، سيستخدم الكثير منا بدائل بسيطة. لذا عندما يتم رفض كلمة المرور الخاصة بنا ، قد نقوم بتحويلها إلى "P4ssword!" هذه البدائل معروفة ويمكن تخمينها بسهولة ، لذلك فهي لا تفعل الكثير لتأمين حساباتنا. وعندما يُطلب منا تغيير كلمات المرور الخاصة بنا بانتظام ، فمن المحتمل أن نغير "P4ssword!" إلى "P4ssword! 1" - وهو ، مرة أخرى ، بديل يسهل تخمينه.
تشدد الإرشادات الجديدة على كلمات المرور الأطول التي لا يجب أن تكون معقدة للغاية ولا يجب تغييرها إلا بعد اختراق الأمان. فيما يلي ملخص للمتطلبات الجديدة:
- يجب أن تتكون كلمات المرور من 8 إلى 64 حرفًا ، مع توجيهات تنص على أن طول كلمة المرور هو أكبر مساهم في قوة كلمة المرور.
- يجب السماح بجميع أحرف ASCII و Unicode في كلمات المرور ، ولكن ليس مطلوبًا. كما ذكرنا ، فإن طلب مثل هذه الأحرف يشجع ببساطة الاستبدالات البسيطة التي لا تجعل كلمات المرور أقوى.
- يجب حظر كلمات مرور معينة ، مثل كلمات المرور المعروف سرقتها سابقًا ، أو كلمات القاموس البسيطة ، أو الأحرف المتكررة أو المتسلسلة (مثل "aaaaaaaa" أو "12345678") ، أو اسم الخدمة أو المستخدم أو المعلومات الأخرى المتعلقة بالحساب.
لسوء الحظ ، لمجرد أن هذه الإرشادات الجديدة قد تم إصدارها لا يعني أن الخدمات التي تتطلب كلمات مرور ستبدأ في متابعتها. حتى تلتقط الإنترنت هذه المعايير ، فإنك عالق في إنشاء كلمات مرور معقدة. ومع ذلك ، هذا لا يعني أنها تحتاج إلى كلمات مرور ضعيفة: يمكنك اتباع إرشادات NIST بنفسك واستخدام مدير كلمات المرور لمساعدتك على تتبع كلمات المرور الخاصة بك.
