في تحول مفاجئ في سياسات الأمان، أشار المكتب الاتحادي لأمان تكنولوجيا المعلومات في ألمانيا إلى أن تغيير كلمة المرور بانتظام لم يعد يشكل ميزة أمان إضافية للحسابات الإلكترونية. وبدلاً من ذلك، يوصي المكتب بتعيين كلمة مرور قوية ومعقدة يمكن استخدامها لفترات طويلة دون الحاجة إلى تغييرها، ما لم يكن هناك شكوك في اختراق الحساب أو تسريب كلمة المرور.
وكانت التوصية بتغيير كلمات المرور بشكل دوري قد تم التوقف عنها منذ فترة في ملخصات الحماية الأساسية لتكنولوجيا المعلومات، وهو ما يعكس تطوراً في فهم أمان الحسابات. لكن يبقى من الضروري تغيير كلمة المرور إذا كان هناك أي شك في اختراقها أو في حال تم الوصول إليها من قبل أشخاص غير مصرح لهم.
ويحذر المكتب من أن فرض تغيير كلمات المرور بشكل مستمر قد يدفع المستخدمين إلى اختيار كلمات مرور ضعيفة أو استخدام كلمة المرور نفسها عبر حسابات متعددة، وهو ما يعرض حساباتهم للخطر في حال تعرضت إحدى هذه الحسابات للاختراق.
الاستراتيجية الأكثر أمانًا، بحسب المكتب، هي اختيار كلمة مرور قوية ومعقدة يصعب تخمينها، ولكن دون أن تكون معقدة لدرجة تمنع المستخدم من تذكرها واستخدامها بانتظام.
جملة المرور
ومن ضمن وسائل المساعدة على تذكر كلمة المرور التي تتكون من أرقام وعلامات خاصة، الاعتماد على جملة، بحيث تتكون كلمة المرور من حروفها الأولى. ونظرا لأنه لا يمكن تذكر سوى عدد محدود من الجمل، فإن المكتب الاتحادي لأمان تكنولوجيا المعلومات أوصى باستعمال ما يعرف باسم إستراتيجية ورقة كلمات المرور، ويتكون الجزء الأول من جميع كلمات المرور من الحروف نفسها التي يتم حفظها جيدا.
ويكون الجزء الثاني من كلمة المرور خاصا بكل حساب من الحسابات الإلكترونية، ويسجل على ورقة كلمات المرور، وحتى إذا وقعت هذه الورقة في أيدي أحد الأشخاص فإنه لن يتمكن من الوصول إلى حسابات المستخدم.
مدير كلمات المرور
ولكن من الأسهل هنا الاعتماد على برامج مدير كلمات المرور، وتتمثل مهمة برامج مدير كلمات المرور في إنشاء كلمات مرور معقدة وتخزينها وإدارتها. ويمكن استعمال معظم برامج مدير كلمات المرور ومزامنتها على الأجهزة المختلفة بدءا من الهاتف الذكي ووصولا إلى اللاب توب، حتى إنه يمكن استعمالها عبر أنظمة التشغيل والمنصات المختلفة، وتضمن هذه البرامج استعمال كلمات مرور قوية ومعقدة لكل خدمة وحساب إلكتروني، ويمكن استعمال برنامج مدير كلمات المرور بتواردن (Bitwarden) المجاني.
المصادقة الثنائية العامل
ونظرا لأن كلمات المرور قد يتم تسريبها أو اختراقها عن طريق هجمات تصيّد البيانات أو هجمات القرصنة الإلكترونية أو قد تصل إلى أيدي الغرباء من خلال تسريب البيانات، فإن المكتب الاتحادي لأمان تكنولوجيا المعلومات أوصى باستعمال وظيفة المصادقة الثنائية العامل (2FA)؛ حيث يتعين على المستخدم إدخال كود إضافي في كل مرة يتم تسجيل الدخول فيها بواسطة اسم المستخدم وكلمة المرور، وحتى إذا تمكن أحد الأشخاص من سرقة كلمة المرور أو العثور عليها أو تخمينها فإنه لن يتمكن من مواصلة إجراءات تسجيل الدخول واختراق الحساب الإلكتروني.
ويمكن إنشاء الأكواد الإضافية عن طريق تطبيق الهاتف الذكي، وتأتي هواتف آبل آيفون من المصنع مزودة بإمكانية إنشاء أكواد التحقق من المصادقة الثنائية العامل لتسجيل الدخول، ولكن الهواتف المزودة بنظام غوغل أندرويد تحتاج إلى تثبيت تطبيق إضافي لإنشاء أكواد لتسجيل الدخول، تعرف باسم كلمات مرور لمرة واحدة، مثل التطبيق المجاني آيجس (Aegis) المفتوح المصدر.
ويتعين على المستخدم من وقت إلى آخر التحقق من بيانات الوصول، مثل عناوين البريد الإلكتروني وكلمات المرور الخاصة بها، مما إذا كانت تعرضت للاختراق أو التسريب، وفي مثل هذه الحالات يجب تغييرها على الفور، وللقيام بذلك يتعين على المستخدم الاستعلام عن ذلك بسهولة في قواعد البيانات مثل "هاف آي بين باوند" (Have I been pwned?) أو "أدينتيتي ليك شيكر" (Identity Leak Checker).
مفاتيح المرور
ويحمل المستقبل تقنية تعرف باسم مفاتيح المرور، تتيح للمستخدم إمكانية تسجيل الدخول من دون كلمة مرور، حتى إذا كانت الخدمة المعنية تدعم ذلك.
وأوصى المكتب الاتحادي لأمان تكنولوجيا المعلومات باستعمال مفاتيح المرور حاليا لأن هذه الطريقة تتفوق على طريقة كلمات المرور في كثير من الجوانب.
وفي الخدمات التي توفر تقنية مفاتيح المرور، فإن هذه الطريقة تتوافر كخيار لتسجيل الدخول فقط؛ حيث يمكن للمستخدم مواصلة استعمال كلمات المرور العادية ووظيفة المصادقة الثنائية العامل في الوقت الحالي.
وتعتمد طريقة تسجيل الدخول من دون كلمة مرور عن طريق تقنية مفاتيح المرور بشكل أساسي على زوج مفاتيح مشفر أو ما يعرف باسم تشفير المفتاح العام، ويتم تخزين المفتاح الخاص بواسطة المستخدم، ويوجد المفتاح العام الآخر لدى الشركة المقدمة للخدمة.
وإذا رغب المستخدم في تسجيل الدخول في أحد الحسابات الإلكترونية، فكل ما عليه إتاحة قراءة مفتاحه الخاص بواسطة الشركة المقدمة للخدمة، ويتم ذلك بكل بساطة باستعمال بصمات الأصابع أو المسح الضوئي للوجه أو إدخال رقم التعريف الشخصي (PIN).
وفي بعض الأحيان تكون مفاتيح المرور مرتبطة بجهاز معين أو نظام تشغيل محدد، ولكن الطريق حاليا أصبح واضحا لتشفير مفاتيح المرور بكل سهولة بين الأجهزة المختلفة ونقلها ومزامنتها.
وتدعم برامج مدير كلمات المرور حاليا تقنية مفاتيح المرور أو أعلنت عن دعمها، وهو ما يعدّ لكثير من المستخدمين وسيلة انتقال بسيطة وسهلة نسبيا بين إجراءات التأمين المختلفة. (الجزيرة)