ما هو الأمر الأكثر إزعاجًا من تغيير كلمة المرور بانتظام؟ على سبيل المثال، إذا كنت تعمل لدى شركة أمريكية، فإن الشركة تطلب منك تغيير كلمة المرور الخاصة بك كل ثلاثة أشهر. بالإضافة إلى ذلك، فإنها تنظم أيضًا ما يمكن أن تحتويه كلمة المرور الخاصة بك وما لا يمكن أن تحتويه. أعلنت الجهة المنظمة للمعايير الآن أن معظم قواعد القسيمة قديمة وغير ضرورية.
اقترح المعهد الوطني للمعايير والتكنولوجيا (NIST) معيارًا جديدًا للاعتماد يأمل في اعتماده. تم نشر المسودة الثانية للمنشور الخاص رقم 800-63-4 على موقع NIST الإلكتروني، في انتظار التعليقات العامة حول كلمة المرور المقترحة وإرشادات المصادقة.
الخطوط العريضة القياسية موجزة ومباشرة، ولكنها تتعارض مع أنظمة التشفير المزعجة التي تعتمدها العديد من الشركات والمؤسسات. تتضمن بعض الأمثلة فرض إعادة تعيين كلمة المرور، والحد من استخدام الأحرف، والمطالبة بمجموعات أحرف معينة، واستخدام أسئلة الأمان. هذه المتطلبات غير ضرورية إلى حد كبير. إنها بقايا قديمة تعود إلى الوقت الذي كان فيه الإنترنت جديدًا ولم يكن معظم الناس يفهمون النظافة المناسبة للسلامة.
كما أشارت Microsoft في خط الأساس الأمني لعام 2019، فإن العديد من هذه القواعد تعمل في الواقع على تعزيز العادات الأمنية السيئة. على سبيل المثال، فإن مطالبة الموظفين بتغيير كلمات المرور الخاصة بهم بشكل متكرر يشجعهم على استخدام كلمات مرور أضعف يسهل تذكرها أو إنشاؤها، وبالتالي يسهل اختراقها. وتوافق لجنة التجارة الفيدرالية الأمريكية على ذلك.
الأمر نفسه ينطبق على القواعد التي تتطلب أحرفًا معينة، مثل "يجب أن تحتوي كلمات المرور على ثمانية أحرف على الأقل، بما في ذلك حرف كبير وصغير واحد على الأقل، ورمز خاص واحد (مثل علامات الترقيم)، ورقم واحد على الأقل." غالبًا ما تدفع هذه القيود الصارمة الأشخاص إلى استخدام كلمات مرور مثل BigToe@1 (استخدم زميل سابق كلمة المرور هذه بالفعل).
في حين أن أي شخص حر في القراءة والتعليق على SP800-63-4، إلا أنها قراءة صعبة بسبب كل المصطلحات البيروقراطية والتفسيرات المطولة. ترى المنظمة أنه من الضروري أن يكون هناك قسم يحدد معنى "يجب، لا يجوز"، "يجب"، "لا ينبغي" وغيرها من المصطلحات البسيطة. تتلخص الوثيقة بشكل أساسي في تسعة متطلبات وتوصيات.
مدقق كلمة المرور أو مزود خدمة التحقق:
يجب أن تكون كلمات المرور مكونة من 8 أحرف على الأقل، ولكن يجب أن لا تقل عن 15 حرفًا.
يجب السماح بحد أقصى لطول كلمة المرور لا يقل عن 64 حرفًا.
يجب السماح بجميع أحرف ASCII وأحرف المسافات في كلمات المرور.
يجب قبول أحرف Unicode في كلمات المرور. عند تقييم طول كلمة المرور، يجب احتساب كل نقطة رمز Unicode كحرف واحد.
لا يجوز فرض أي قواعد أخرى لتكوين كلمات المرور (مثل اشتراط مزيج من أنواع الأحرف المختلفة).
يجب ألا يُطلب من المستخدمين تغيير كلمات المرور الخاصة بهم بشكل منتظم. ومع ذلك، إذا كان هناك دليل على أن أداة التحقق قد تم اختراقها، فيجب على أداة التحقق فرض تغيير كلمة المرور.
يجب عدم السماح للمستخدمين بتخزين النصائح التي يمكن لمقدمي الطلبات غير المعتمدين الوصول إليها.
يجب ألا يُطلب من المستخدمين استخدام المصادقة المستندة إلى المعرفة (KBA) (مثل "ما اسم حيوانك الأليف الأول؟") أو أسئلة الأمان عند تحديد كلمة المرور.
يجب التحقق من كلمة المرور المقدمة بالكامل (أي لم يتم اقتطاع كلمة المرور).
تعتبر القاعدة الثامنة منطقية تمامًا بالنظر إلى الافتراض الجامح بأنه لا توجد طريقة يمكن للهاكر من خلالها معرفة أو اكتشاف تميمة المدرسة الثانوية أو الاسم قبل الزواج للهدف. ومع ذلك، يبدو أن القاعدة السابعة "تناقض ذاتي". لن ترى المطالبة بكلمة المرور إلا إذا تمت مصادقتك، ولكن إذا لم تتمكن من تذكر كلمة المرور الخاصة بك دون المطالبة بكلمة المرور، فلن تتمكن من المصادقة. بخلاف ذلك، تبدو هذه الإرشادات منطقية، وهو ما أجده غير موجود بشكل عام.
يدير NIST المعايير داخل الحكومة وليس لديه سلطة إنفاذ على الشركات الخاصة. على سبيل المثال، تضمن أن جميع صنابير إطفاء الحرائق تستخدم تركيبات موحدة وتوفر نفس الكمية من المياه بغض النظر عن المكان الذي تذهب إليه، مع ضمان معايير الصيانة أيضًا.
بشكل عام، لا يمكن إلا للوكالات الحكومية والشركات أو المنظمات التي تتعامل مباشرة مع الحكومة الالتزام بهذه القواعد. على سبيل المثال، يجب على مصلحة الضرائب الأمريكية أن تتبنى إرشادات NIST، لكن يمكن لـ Meta تجاهلها. ومع ذلك، فإن العديد من معايير NIST تنطبق على المنظمات الخاصة في الصناعات التي تنطبق عليها القواعد. يعد إطار عمل الأمن السيبراني NIST مثالًا جيدًا.