خرج الباحثون في «مايكروسوفت» بأسلوب جديد لإنتاج كلمات مرور يمكن تذكرها بسهولة من دون تعريضها أكثر لمخاطر الهجمات، فبدلاً من فرض كلمات مرور معقدة، كما تفعل الكثير من الهيئات والمنظمات، يضمن المشروع الجديد وجود عدد قليل جداً من المستخدمين باستطاعتهم الحصول على كلمة المرور ذاتها التي يكون لها المفعول ذاته على صعيد الأمن. كما كشف المزيد من البحث من «مايكروسوفت» أيضا عن الأسباب التي تدعو بعض المنظمات والهيئات للإصرار على وضع كلمات مرور معقدة جدا.
من الشروط المعروفة لإنشاء كلمات مرور صعبة أو معقدة أن تكون الكلمة مؤلفة من 14 حرفا، بحيث تتضمن على الأقل حرفين من الحجم الكبير وآخرين من الحجم الصغير، إضافة إلى ثلاثة رموز على الأقل، مما يجعلها صعبة التفكيك بالنسبة إلى المهاجمين لكي يتكهنوا ما هي، عن طريق استخدام ما يسمى «الهجوم بواسطة القاموس» الذي ينطوي على تجربة الكثير من كلمات المرور الممكنة بشكل متتالٍ.
ومن دون هذه القيود يميل الأشخاص إلى اختيار كلمات مرور سهلة التذكر، سهلة الطبع، وسهلة التكهن. ومثال على ذلك أنه عندما جرى الكشف دون قصد عن 32 مليون كلمة مرور عائدة إلى الموقع الاجتماعي «روك يو» في ديسمبر (كانون الأول) الماضي، كان نصفها تقريبا عبارة عن كلمات مرور تافهة مثل أرقام متسلسلة، وكلمات قاموسية، أو كلمات عامة، استنادا إلى تحليل صدر في يناير (كانون الثاني) الماضي عن «إمبريفا»، وهي مؤسسة مختصة بأمن الشبكات.
والاشتراط أن تتضمن كلمات المرور أرقاما ورموزا ومزيجا من الحروف الكبيرة والصغيرة يؤدي إلى صدّ الهجمات القاموسية، بيد أن هذه الكلمات تصبح صعبة الحفظ، ولا يمكن تذكرها دائماً.
اقفال الحساب:
وأحد الأساليب المتبعة التي يحاول مصممو النظم من خلالها هزيمة الهجمات القاموسية هو عن طريق تعطيل الحساب بشكل مؤقت لدى إدخال كلمة مرور غير صحيحة أكثر من مرات متعددة، وهذا ما يسمى بإقفال الحساب. ولكن ليس من المدهش أبدا أن يفطن المهاجمون أيضاً إلى أسلوب بسيط لاختراق هذا المسعى، فبدلاً من التكهن بآلاف أو حتى ملايين من كلمات المرور لحساب واحد، يقوم المهاجمون ببساطة بالتكهن بأكثر كلمات المرور الشائعة استخداماً وتوجيهها إلى الآلاف أو حتى الملايين من الحسابات المختلفة.
الخدمة الجديدة من مايكروسوفت:
لكن خدمة «مايكروسوفت» الجديدة لا تتطلب أي تعقيد أبدا، فهي إلى جانب درئها للهجمات القاموسية والتكهنية الإحصائية تقوم ببساطة بإحصاء عدد المرات التي يقوم فيها أي مستخدم للخدمة باختيار كلمة مرور معينة، كما تشير مجلة «تكنولوجي ريفيو» الأميركية.
فعند قيام أكثر من عدد صغير من المستخدمين باختيار كلمة مرور واحدة، يجري حظرها، ولا يسمح لأي كان، أو شخص آخر باختيارها. ومثل هذا المشروع لا يمكن استخدامه إلا من قبل مؤسسات وهيئات تملك الملايين من المستخدمين والمواقع على الشبكة كـ«مايكروسوفت هوت مايل» على سبيل المثال.
ويقول معدو التقرير إن اعتماد تحديد هذا العدد بدلاً من شروط تنظيم كلمات المرور من شأنه تعزيز عاملي الأمن والاستخدام، ولأنه لا يسمح لكلمات المرور بأن تصبح شائعة الاستخدام جداً، فإنه يجري حرمان المهاجمين من كلمات المرور الشعبية التي يحتاجون إليها للاستيلاء على قسم كبير من الحسابات عن طريق التكهن.
وخلال السنوات الماضية قام الباحثون في الحقل الجديد الذي يدعى «الأمن الصالح للاستخدام» بالتمعن بعمق في الكثير من الإجراءات الأمنية الخاصة بالمعلومات، ووجدوا الكثير من النقص فيها. ومثال على ذلك تقوم الكثير من النظم الكومبيوترية بإقفال الحسابات إذا ما أخطأ المستخدم بطباعة كلمة المرور ثلاث مرات متتالية. لكن قبل سبع سنوات أظهر كل من الباحثين "ساشا برستوف" و"أنجيلا ساسي" من جامعة لندن أن زيادة العدد من ثلاث إلى عشر مرات من شأنه أن يقلل كثيراً عدد المستخدمين الشرعيين الذين منعوا من الدخول، مقابل تأثير ضئيل على النظام الأمني الإجمالي.
ساحة النقاش