يقول الخبراء أن الوقت قد حان لأن نتوقف عن الاعتماد على كلمات المرور

January 05, 2022
فيالإخبارية أمن الإنترنت

الماخذ الرئيسية

يقترح خبراء الأمن السيبراني أن كلمات المرور ، في حد ذاتها ، لا ينبغي اعتبارها كافية لتأمين الحسابات.
يجب على المستخدمين تمكين المصادقة متعددة العوامل (MFA) حيثما أمكن ذلك.
ومع ذلك ، لا ينبغي استخدام أسلوب العائالت المتعددة MFA كعذر لإنشاء كلمات مرور ضعيفة.

شخص ما يسجل الدخول إلى جهاز كمبيوتر محمول باستخدام مصادقة ثنائية على هاتفه الذكي. — أوسكار وونغ / جيتي إيماجيس

أقوى كلمات المرور وأكثرها صرامة في سياسات كلمات المرور ليست ذات فائدة كبيرة عندما يقوم مزود الخدمة عبر الإنترنت بتسريب بيانات الاعتماد الخاصة بك بسبب التهيئة الخاطئة في الخوادم الخاصة بهم.

إذا كنت تعتقد أن مثل هذا الاحتمال سيكون نادرًا ، فاعلم أن العديد من أكبر تسريبات البيانات في عام 2021 كانت بسبب مشاكل فنية من قبل مزودي الخدمة. في الواقع ، في كانون الأول (ديسمبر) 2021 ، ساعد خبراء الأمن السيبراني في إدخال مثل هذا التكوين الخاطئ في حزمة S3 الخاصة بخدمات الويب من أمازون مملوكة لسيجا، والتي تحتوي على جميع أنواع المعلومات الحساسة ، بما في ذلك كلمات المرور.

"يجب أن يصبح استخدام كلمة المرور قديمًا ، ويجب أن نبحث عن طرق مختلفة لتسجيل الدخول إلى الحسابات" ، الرئيس التنفيذي لشركة Gurucul لمورّد الأمان ، ساريو نايار، أخبر Lifewire عبر البريد الإلكتروني.

مشكلة كلمات المرور

في ديسمبر، ذكرت ذا صن أن الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA) قدمت أكثر من 500 مليون كلمة مرور للجمهور لقد كنت Pwned (HIBP) التي تم الكشف عنها أثناء التحقيق.

يمكّن HIBP المستخدمين من التحقق مما إذا كانت كلمات المرور الخاصة بهم قد تم تسريبها في خرق وعرضة لإساءة الاستخدام من قبل المتسللين. وفقًا لمؤسس HIBP ، تروي هانت، أكثر من 200 مليون كلمة مرور قدمتها NCA لم تكن موجودة بالفعل في قاعدة البيانات.

"على الرغم من أن ميزة تخزين بيانات اعتماد الحساب للمتصفحات مريحة للغاية... ينصح المستخدمين بالامتناع عن استخدامه ".

"إنه يشير إلى الحجم الهائل للمشكلة ، والمشكلة هي كلمات المرور ، وهي طريقة قديمة لإثبات حسنات المرء. إذا كانت هناك دعوة للعمل على إزالة كلمات المرور وإيجاد بدائل ، فيجب أن يكون الأمر كذلك ، " بابير أمين، مدير العمليات لخبراء الهوية الرقمية ، صرح Veridium لـ Lifewire عبر البريد الإلكتروني ، ردًا على مساهمة NCA الأخيرة في HIPB.

وأضاف أمين أن بيانات الاعتماد المسربة لا تعرض الحسابات الحالية فقط للخطر ، حيث يستخدمها المتسللون الآن مع الأدوات التحليلية القائمة على الذكاء الاصطناعي لتحديد أنماط كيفية إنشاء الفرد لكلمات المرور. في الأساس ، تهدد بيانات الاعتماد المسربة أمان الحسابات الأخرى غير المخترقة أيضًا.

كلمات المرور والمزيد

من خلال الدعوة إلى آلية حماية أفضل من كلمات المرور ، يقترح نيار أن المستخدمين الذين لديهم خيار إعداد مصادقة متعددة العوامل على حساباتهم يجب أن يفعلوا ذلك.

رون برادلييوافق نائب الرئيس للتقييمات المشتركة ، وهي منظمة عضوية تساعد على تطوير أفضل الممارسات لضمان مخاطر الطرف الثالث. "قم بتشغيل المصادقة متعددة العوامل في كل مكان ممكن ، وخاصة التطبيقات التي تنقل الأموال."

يُعرف تأمين حساب بكلمة مرور بمفردها باسم المصادقة أحادية العامل. تعتمد المصادقة متعددة العوامل أو MFA على ذلك وتؤمن الحسابات عن طريق إضافة خطوة إضافية في عملية تسجيل الدخول عن طريق مطالبة المستخدمين بجزء آخر من المعلومات. تطبق العديد من الخدمات ، بما في ذلك العديد من البنوك ، أسلوب العائالت المتعددة MFA عن طريق إرسال رمز التحقق إلى رقم الهاتف المحمول للمستخدم المسجل لدى البنك.

رسم توضيحي لجهاز كمبيوتر محمول وهاتف ذكي باستخدام المصادقة ذات العاملين. — مارك كولباكوف / جيتي إيماجيس

ومع ذلك ، فإن آلية التحقق هذه عرضة لآلية هجوم تعرف باسم هجوم مبادلة SIM، حيث يتحكم المهاجمون في رقم الهاتف المحمول الخاص بالهدف عن طريق خداع شركة الاتصالات الخاصة بالمالك لإعادة تعيين الرقم إلى بطاقة SIM الخاصة بالمهاجم.

بينما أقرت T-Mobile بمثل هذا الهجوم الذي استهدف بعض عملائها ، قالت إن هجمات تبديل بطاقة SIM أصبحت حدث شائع على مستوى الصناعة.

بدلاً من ذلك ، فإن الخيار الأفضل لتمكين MFA هو استخدام تطبيقات مثل Duo Security و Google Authenticator و Authy و Microsoft Authenticator وغيرها من تطبيقات MFA المخصصة.

امتداد كلمة المرور

ومع ذلك ، حذر جميع خبراء الأمن السيبراني الذين تحدثنا إليهم من أن استخدام أسلوب العائدات المتعددة (MFA) لا ينبغي أن يكون ذريعة لعدم اتخاذ خطوات كافية لتأمين كلمات المرور.

نصح برادلي "كن جزءًا من الواحد في المائة الذين ليس لديهم فكرة عن كلمة مرور البنك الخاصة بهم لأنها طويلة جدًا ومعقدة".

ويضيف أنه يجب على المستخدمين التفكير في الاستثمار في مدير كلمات المرور عندما يتعلق الأمر بكلمات المرور. على الرغم من عدم وجود نقص في مديري كلمات المرور المجانية ، وهناك أيضًا أحد الخبراء المدمجين في متصفح الويب الخاص بك اقترح أن مدير كلمات المرور المجاني أفضل من عدم امتلاكه على الإطلاق ، ولكن يجب على المستخدمين توخي الحذر عند استخدامه واحد.

"كن جزءًا من الواحد في المائة الذين ليس لديهم فكرة عن كلمة مرور البنك الخاصة بهم لأنها طويلة جدًا ومعقدة."

في حين التحقيق في خرق حديث من شبكة داخلية لإحدى الشركات ، اكتشف باحثو الأمن السيبراني من AhnLab أن حساب VPN المستخدم لاقتحام شبكة الشركة قد تم تسريبه من جهاز الكمبيوتر الخاص بموظف يعمل عن بُعد.

أصيب هذا الكمبيوتر ببرامج ضارة مختلفة ، بما في ذلك برنامج مصمم خصيصًا لاستخراج كلمات المرور من مديري كلمات المرور المضمنة في متصفحات الويب المستندة إلى Chromium مثل Google Chrome و Microsoft حافة.

"على الرغم من أن ميزة تخزين بيانات اعتماد الحساب للمتصفحات مريحة للغاية ، حيث يوجد خطر تسرب بيانات اعتماد الحساب عند الإصابة بالبرامج الضارة ، يُنصح المستخدمون بالامتناع عن استخدامها "، حذر AhnLab الباحثين.