أكدت أن أخطارها أكثر من فوائدها ويجب استبدالها بأدوات تأمين أخرى منها بصمة الإصبع

«مايكروسوفت» توصي المؤسسات بالتخلي عن كلمات المرور محددة المدة

التوصية الجديدة تستند إلى فكرة «عالم بلا كلمات مرور» من «مايكروسوفت». من المصدر

أصدرت شركة «مايكروسوفت» الأميركية توصية جديدة موجهة إلى مديري نظم المعلومات في المؤسسات والشركات، طالبتهم فيها بالتوقف عن استخدام أداة التأمين القائمة على إدارة كلمات المرور القديمة التي تم بناؤها داخل نظم تشغيل «ويندوز» منذ عقود عدة، ويستخدمها مئات الآلاف من مديري نظم المعلومات المعتمدة على تقنيات ونظم تشغيل «مايكروسوفت» حول العالم، وتقوم بإنشاء كلمات مرور محددة المدة، تنتهي صلاحيتها كل 30 أو 60 يوماً، ثم تنشئ أخرى مكانها بصفة دورية.

وأكدت «مايكروسوفت» أن أخطار تلك الأداة أكثر من فوائدها، ويتعين استبدالها بأدوات تأمين أخرى، مثل المصادقة المتعددة العوامل، وبصمات الأصابع والعين وغيرها من القياسات الحيوية.

وجاءت توصية «مايكروسوفت» في تدوينة ظهرت على المدونة الرسمية للشركة أول من أمس، أي بعد مضي أقل من شهر على ظهور آخر تحديث لنظام تشغيل «ويندوز 10» والذي تم طرحه رسمياً قبل أسابيع ويحمل اسم «تحديث مايو 2019»، والذي جاء متضمناً خيار إيقاف أو إلغاء هذه الخاصية.

«عالم بلا كلمات مرور»

وتستند التوصية الجديدة إلى فكرة «عالم بلا كلمات مرور» من «مايكروسوفت»، والتي ترى أن كلمات المرور باتت آلية قديمة وغير قادرة على تقديم المستوى الأمثل من الحماية والتأمين للبيانات والمعلومات، لما يكتنفها من نقاط ضعف عديدة، بعضها يتعلق بسلوكيات المستخدمين وتفضيلاتهم وعاداتهم، وبعضها يتعلق بالآلية نفسها وظهور الكثير من عمليات الالتفاف حولها واختراقها من قبل المهاجمين والمخترقين المحترفين.

وقال نائب رئيس شركة «مايكروسوفت» للأمن، روب لفافيتس، إنه «من الناحية الواقعية لا أحد يحب كلمات المرور، فهي تعتبر أمراً غير مريح وغير آمن ومكلف، ونحن في (مايكروسوفت) لا نحبها كثيراً لدرجة أننا كنا مشغولين ومهتمين دوماً بالعمل على إيجاد بيئة عمل خالية من كلمات المرور، أو عالم بلا كلمات مرور، حتى قدمنا أسلوب الدخول متعدد العوامل، الذي يمكنه تقليل المخاطر بنسبة 99.9%، ويجعل تجربة المستخدم أبسط من خلال القضاء على كلمات المرور».

المرة الرابعة

وكانت «مايكروسوفت»، أعلنت عن التوجه الخاص بـ«عالم بلا كلمات مرور» في مطلع العام الماضي، مع طرح «تحديث أبريل 2018» الخاص بنظام تشغيل «ويندوز 10»، ثم عادت للتأكيد عليه خلال مؤتمر «إيجنت» للمطورين والمبدعين في يونيو 2018، وبعدها جددت الحديث عنه للمرة الثالثة في أكتوبر 2018 خلال الحديث عن طرح «تحديث أكتوبر 2018» لـ«ويندوز 10».

وتعد التوصية الأخيرة هي المرة الرابعة التي تتحدث فيها «مايكروسوفت» عن فكرة «عالم بلا كلمات مرور» في غضون عام.

طريقة قديمة

ووصفت «مايكروسوفت» كلمات المرور محددة المدة، أو التي تنتهي صلاحيتها تلقائياً بعد مرور مدة معينة، ثم تغييرها دورياً كل 30 أو 60 يوماً بأنها طريقة قديمة لحماية حسابات المستخدمين، وصداع للمستخدمين ومديري النظم، ولم تعد مناسبة لمواجهة التهديدات الأمنية القائمة، وتجعل الجميع لا يحسون بالأمان، ومن ثم حان الوقت للتخلي عنها.

وأوضحت الشركة أن انتهاء صلاحية كلمة المرور بصفة دورية هو دفاع فقط ضد احتمال سرقتها خلال فترة صلاحيتها واستخدامها من قبل كيان غير مصرح به، لكن إذا لم تُسرق كلمة المرور مطلقاً، فلا يكون هناك داعٍ لانتهاء صلاحيتها وتغييرها، وإذا ظهر دليل على سرقة كلمة مرور، فمن المفترض أن يتم التصرف فوراً وتغييرها بدلاً من الانتظار حتى انتهاء الصلاحية لإصلاح المشكلة.

وبينت «مايكروسوفت» أنه بدلاً من الاعتماد على المستخدمين الذين يغيرون كلمات المرور يجب أن يكون لدى الشركات مقاربة أوسع للمصادقة والأمان، وهذا لا يعني أننا لا نغير متطلبات الحد الأدنى لطول كلمة المرور أو السجل أو التعقيد المطلوب فيها ليكون من الصعب كسرها، لكن التوصية هي «إخراج كلمة المرور من خط الأساس» داخل «ويندوز»، حتى يمكن للشركات ومديري النظم اتخاذ قراراتهم الخاصة، واختيار ما يناسب احتياجاتهم الأمنية من دون تناقض مع إرشادات وسياسات أمن المعلومات الموصى بها.

صعوبة التنفيذ

واعترفت «مايكروسوفت» بصعوبة تنفيذ توصياتها الجديدة على نطاق واسع خلال وقت قصير، مشيرة إلى أن هذا الأسلوب لايزال شائعاً في كثير إن لم يكن معظم المؤسسات والشركات، ويعود ذلك في الغالب الى القصور المؤسسي، وعدم مواكبة التغييرات السريعة المتلاحقة في مخاطر أمن المعلومات والتهديدات الأمنية المتلاحقة، فضلاً عن وجود الكثير من الحذر والتوجس عند تغيير سياسات أمن المعلومات، حيث لا يريد أحد أن يكون هو الشخص الذي يغير الوضع الراهن، ومن ثم يتم إلقاء اللوم عليه عندما يحدث خطأ مستقبلاً.


تجارب عملية

أكدت شركة «مايكروسوفت» أن التجارب العملية أوضحت أن إجبار مديري النظم في المؤسسات على تغيير كلمة المرور بصفة منتظمة كان يشكل عبئاً وإزعاجاً يؤدي في الغالب إلى توليد كلمات مرور جديدة ليست في الحقيقة سوى أشكال بسيطة قديمة من كلمات المرور السابقة، ومن ثم يسهل على المهاجمين والمتسللين الوصول إليها على الرغم من كونها جديدة شكلاً، لذلك فإن تغييرها كل 30 أو 60 يوماً لم يكن سوى مضيعة للوقت، على حد تعبير الشركة.

تويتر