يقول خبير أمان في Microsoft إن قوة كلمة مرورك لا تهم. ليس الطول ، وليس التعقيد ، ولا عدد الأحرف الخاصة التي يستخدمها. يمكن للقراصنة الحصول عليه على أي حال ، والشيء الوحيد الذي يحدث فرقًا حقًا ، كما يقول ، هو ما إذا كان لديك المصادقة الثنائية (2FA) تشغيل.

يكتب "التركيز على قواعد كلمة المرور ، بدلاً من الأشياء التي يمكن أن تساعد حقًا" أليكس وينرت، مدير برنامج Group Program for Identity Security and Protection at Microsoft في منشور مدونة في وقت سابق من هذا الصيف ، "مجرد إلهاء."

نحن لا نتفق تمامًا مع Weinert. سيظل تعقيد كلمة المرور يبطئ المهاجمين في كثير من الحالات. لكنه محق في أنه حتى أقوى كلمة مرور لا يمكنها الدفاع ضد هجوم تصيد جيد ، حيث تم استخدام كلمة مرور أكثر من مرة قد يتم اعتباره كذلك ، وأن المصادقة الثنائية - التي تسميها Microsoft المصادقة متعددة العوامل ، أو MFA - هي أمر مطلق ضروري.

يكتب Weinert: "يقل احتمال تعرض حسابك للاختراق بنسبة تزيد عن 99.9٪ إذا كنت تستخدم MFA".

أكثر: كيفية إنشاء كلمات مرور قوية وآمنة

يحتوي منشور Weinert ، الذي تم طرحه على مدونة Azure Active Directory Identity من Microsoft في أوائل شهر يوليو ، على قائمة مخططات سهلة الفهم عدة هجمات مختلفة على كلمات المرور ، وعدد مرات تجربتها ، ومدى نجاحها ، وما إذا كان تعقيد كلمة المرور يساعد في إيقافها معهم.

حشو أوراق الاعتماد

أحد أكثر الهجمات شيوعًا هو حشو بيانات الاعتماد ، والذي يقول وينرت إنه يتم تجربته على 20 مليون حساب مرتبط بـ Microsoft يوميًا.

يأخذ المهاجمون قوائم ضخمة من بيانات الاعتماد المخترقة - كلمات المرور وأسماء المستخدمين أو عناوين البريد الإلكتروني المرتبطة بها - من خروقات البيانات السابقة وجرب كل مجموعة من بيانات الاعتماد على مواقع الويب الأخرى.

لذلك إذا استخدمت "[email protected]" و "L10nK1Ng333" على LinkedIn (مخترقة بالكامل في عام 2012) ، ثم سيحاول المهاجم بيانات الاعتماد هذه لتسجيل الدخول إلى حسابات على Facebook و Google و Dropbox و Spotify و Microsoft وعشرات مواقع الويب الأخرى ، بما في ذلك البنوك وتجار التجزئة عبر الإنترنت. الاحتمالات ، تم إعادة استخدام أوراق الاعتماد هذه مرة واحدة على الأقل.

يقول وينيرت في تدوينة على مدونته "يصعب التفكير في كلمات المرور" ، مضيفًا أن "62٪ من المستخدمين يعترفون بإعادة استخدامها".

يكتب أن قوة كلمة المرور لا تهم مع حشو بيانات الاعتماد ، لأن المهاجم يمتلكها بالفعل. تتمثل الدفاعات في عدم إعادة استخدام كلمات المرور مطلقًا - واستخدام المصادقة الثنائية (2FA) كلما أمكن ذلك لمنع المهاجم من تسجيل الدخول حتى لو كان لديه كلمة المرور.

التصيد

أيضا شائعة جدا هجمات التصيد، والتي تخدع المستخدم لكتابة كلمة مرور في صفحة تسجيل دخول زائفة. يقول وينرت إن واحدة من كل 500 رسالة بريد إلكتروني هي إغراء للتصيد الاحتيالي ، والمستخدمون يقعون في حبهم لأن "الناس فضوليون أو قلقون ويتجاهلون إشارات التحذير".

مرة أخرى ، لا تهم قوة كلمة المرور. لقد أعطيت للتو كلمة المرور للمهاجم. ستساعد المصادقة الثنائية في منع الهجوم في معظم الحالات ، ولكن كمعلق على منشور Weinert أشار إلى أن المخادعين الجيدين يمكنهم اعتراض رموز 2FA النصية أو يمكنهم خداع المستخدمين لكتابة رموز 2FA في التصيد الاحتيالي المواقع.

أفضل دفاع ضد التصيد هو أغلى شكل من أشكال المصادقة الثنائية (2FA) - أ مفتاح الأمان المادي التي تتصل بجهاز الكمبيوتر أو الهاتف الذكي عبر USB أو Bluetooth أو NFC. لا يمكنك تكرار هذه المفاتيح ، أو إعادة توجيه اتصالاتهم من صفحة تصيد إلى صفحة تسجيل دخول حقيقية.

مفاتيح الأمان تبدأ بحوالي 15 دولارًا أو 20 دولارًا عبر الإنترنت، لكنها قد تستحق العناء ، ويقوم كل مفتاح بإنشاء مجموعة مختلفة من بيانات الاعتماد المشفرة لكل حساب عبر الإنترنت. تطلب Google الآن مفاتيح أمان مادية لموظفيها ومن المفترض أنه لم يكن لديها حساب واحد مخترق منذ أن وضعت هذه القاعدة.

رش كلمة السر

محاولات كلمة السر مكتوبة على الورق.
(رصيد الصورة: designer491 / Shutterstock)

هنا تكمن أهمية قوة كلمة المرور ، نوعًا ما. يمتلك المهاجم قائمة طويلة من عناوين البريد الإلكتروني المعروفة (يسهل الحصول عليها) ويحاول استخدام كل منها مع 20 أو 50 كلمة مرور شائعة الاستخدام لتسجيل الدخول إلى العديد من مواقع الويب المختلفة.

لن ينجح هذا الهجوم في غالبية المحاولات. لكنها ستنجح كثيرًا ، لأن ملايين الأشخاص ما زالوا يستخدمون "123456" أو "qwerty456" أو "000000" أو حتى "كلمة المرور" ككلمات مرورهم. يخمن Weinert أن مئات الآلاف من الحسابات يتم اختراقها يوميًا من خلال رش كلمة المرور.

لكنه يقول إن كلمات المرور الرهيبة فقط هي التي تكون عرضة لخطر رش كلمة المرور. وبخلاف ذلك ، فإن كلمات المرور المتوسطة مثل "dijskb" (ليست أحرفًا كافية ، وكلها صغيرة) تكون آمنة تمامًا مثل الأحرف القوية مثل "V6 [zjzau / # q9vK-rd، +:" (20 حرفًا من حالات وأنواع مختلفة) لأنها ليست كذلك من بين أسوأ كلمات المرور على الإطلاق.

التأثير الغاشم

هذا هو المكان الذي تحدث فيه قوة كلمة المرور فرقًا حقًا. يقول Weinert أن الكمبيوتر الجيد الذي يعمل على اختراق كلمات المرور اليوم يمكنه اختراق "dijskb" في بضع ثوانٍ ، ولكن قد تستغرق كلمة المرور المكونة من 10 أحرف والتي تستخدم الأحرف الكبيرة والأحرف الصغيرة والأرقام وعلامات الترقيم حوالي 20 سنوات للكسر. أجرينا العمليات الحسابية وتوصلنا إلى أن "V6 [zjzau / # q9vK-rd، +:" سيستغرق 10 سبتليون سنة.

هذا رائع ، ويساعد حقًا في الحالات التي يتم فيها اختراق قاعدة البيانات وتكون كلمات المرور "مجزأة" بشدة ، أي محمية بتشفير أحادي الاتجاه بحيث لا يمكن عكسها. (عند تسجيل الدخول إلى موقع ويب ، يتم تجزئة كلمة المرور التي تدخلها بسرعة ، وتتم مقارنة النتيجة بالتجزئة التي قام الموقع بتخزينها عند إعداد الحساب.) 

لكن هنا نختلف مع Weinert. ويقول إنه في حالة حدوث خرق للبيانات ، حيث يواجه المهاجم كلمات مرور شديدة التجزئة ، فإن قوة لا تزال كلمة المرور غير مهمة "إلا إذا كانت أطول من 12 حرفًا ولم يتم استخدامها من قبل - مما يعني أنها تم إنشاؤها بواسطة أ مسئول كلمة السر."

نحن نوافق على أن كلمة المرور الجيدة يجب أن تكون أطول من 12 حرفًا. خمسة عشر حرفًا هي المكان الذي نشعر فيه بالراحة الآن.

لكن عبارة مرور جيدة - كلمات عشوائية مدمجة معًا ، مع عدد قليل من الاستبدالات للأحرف - هذه طويلة بما يكفي ستعمل بشكل جيد. لا تستخدم المثل "الفرس الصحيح، "لأن هذا معروف جيدًا ، ولكن شيء مثل" F1n3! $ od4؟ Bu1Ld1ng # 4ccur4cy "(استنادًا إلى" دقة بناء الغرامات ") يجب أن يكون جيدًا ، ولن يتم كسره لسنوات ، وقد يكون من السهل جدًا عليك تذكره بينما لا يزال من الصعب جدًا عليك ذلك خمن.

مديري كلمات المرور والتحقق من كلمات المرور الجديدة

يمر Weinert ببضعة أنواع أخرى من هجمات كلمات المرور - تسجيل ضغطات المفاتيح ، وإيجاد كلمات مرور شخص ما ابتزاز مكتوب ومباشر - ويشير إلى أن قوة كلمة المرور لا تهم كثيرًا معهم إما. لكن حدوثها منخفض جدًا بحيث لا تقلق كثيرًا بشأنها.

للتأكد حقًا من أن كلمات المرور الخاصة بك قوية قدر الإمكان ، استخدم مدير كلمات المرور للتأكد من أن كلمات مرورك قوية وطويلة وفريدة من نوعها.

عند إنشاء كلمة مرور ، أو عند قيام مدير كلمات المرور بإنشاء واحدة ، تحقق من كلمة المرور الجديدة للتأكد من أنها ليست من بين مئات الملايين من كلمات المرور المخترقة المعروفة على https://haveibeenpwned.com/Passwords قبل استخدامه.

تخبرنا شركة HaveIBeenPwned أن "الصحيح الخلافي الصحيح" قد ظهر 120 مرة في خروقات البيانات ، لكن المفاجأة أن "dijskb" لم تتم رؤيتها. لا يحتوي على "F1n3! $ od4؟ Bu1Ld1ng # 4ccur4cy" أو العبارة التي استندت إليها ، "دقة بناء الغرامات". لكن لا تستخدم أيًا من هذين الأمرين ككلمة المرور الخاصة بك ، لأن حقيقة أننا نشرناها عبر الإنترنت تعني أنها تعرضت بالفعل للاختراق.

ومرة أخرى ، قم بإعداد المصادقة ذات العاملين على كل حساب يسمح بذلك. استقر على عامل الشفرة النصية إذا كان هذا كل ما هو متاح. إذا أمكن ، استخدم تطبيقات المصادقة مثل Google Authenticator في حين أن. وإذا كنت تستطيع تحمل 20 دولارًا لمفتاح أمان USB ، فاستخدم ذلك في كل حساب يدعمه.

  • من المحتمل أنك تفعل خطأ 2FA: هذا هو الطريق الصحيح
  • نصيحة كلمة المرور الواحدة يحتاج الجميع إلى معرفتها
  • أسوأ خروقات للبيانات على الإطلاق