أحد الجهات الرسمية التي تم اختراقها مؤخراً وضعت سياسة إلزامية لتغيير باسوردات الموظفين كل عشرة أيام!
ما هكذا يكون التجاوب مع حالات الاختراق.
جعل الحماية أمر مزعج على الموظفين يعني أنهم سيتجاهلونه وسيقوم كل موظف بكتابة الباسورد و وضعها بورقة تحت الشاشة.
من يقرر هذه القرارات؟
ما هكذا يكون التجاوب مع حالات الاختراق.
جعل الحماية أمر مزعج على الموظفين يعني أنهم سيتجاهلونه وسيقوم كل موظف بكتابة الباسورد و وضعها بورقة تحت الشاشة.
من يقرر هذه القرارات؟
للأسف من يقرر تلك القرارات للجهات الرسمية هي شركات الIT التي تعمل بنظام البقالات حيث تحضر للجهات الرسمية "خبراء" خبرتهم عبارة عن سلق بيض من ويكيبيديا و قراءات على الجنب ثم يذهبون لتلك الجهات لتسميع ما حفظوه.
والضحية ميزانية هذا البلد و أمنه المعلوماتي وتضييع طاقات أبنائه.
والضحية ميزانية هذا البلد و أمنه المعلوماتي وتضييع طاقات أبنائه.
بالمناسبة.
سياسات تغيير الباسورد بشكل دوري (أكثر من مرة بالسنة) سياسات مضرة.
بدل من استخدام عشر باسوردات ضعيفة مكررة تحتوي على رتم مكرر سهل التخمين، يفترض استخدام باسورد قوية لا تحتاج لتغيير دوري إلا بحالة الكشف.
مؤسسة NIST للمعايير لم تعد تنصح بتغيير الباسورد بشكل دوري.
سياسات تغيير الباسورد بشكل دوري (أكثر من مرة بالسنة) سياسات مضرة.
بدل من استخدام عشر باسوردات ضعيفة مكررة تحتوي على رتم مكرر سهل التخمين، يفترض استخدام باسورد قوية لا تحتاج لتغيير دوري إلا بحالة الكشف.
مؤسسة NIST للمعايير لم تعد تنصح بتغيير الباسورد بشكل دوري.
طيب ما الحل؟
عدة حلول أفضل:
باستخدام منتج إدارة كلمات السر للمؤسسة يسهل عليهم صنع كلمات سر قوية وطويلة دون تعب.
استخدام وسائل التحقق الثنائي.
استخدام العبارات السرية Passphrases.
لا يوجد انسان طبيعي يستطيع حفظ كلمات سر عشوائية عديدة، موظفوا جهتك ليسو استثناء.
عدة حلول أفضل:
باستخدام منتج إدارة كلمات السر للمؤسسة يسهل عليهم صنع كلمات سر قوية وطويلة دون تعب.
استخدام وسائل التحقق الثنائي.
استخدام العبارات السرية Passphrases.
لا يوجد انسان طبيعي يستطيع حفظ كلمات سر عشوائية عديدة، موظفوا جهتك ليسو استثناء.
اكبر مشكلة تواجه الهاكرز أثناء كسر كلمات السر هو كلمات السر الطويلة العشوائية، كالتي يمكن صنعها مع برامج إدارة كلمات السر password managers.
أما كلمات السر التي تتغير دوريا فالهاكرز يشكرونكم عليها فهي تسهل عملية الcracking ويمكن لبرنامج مثل hashcat أن يكسرها بثواني بسبب الرتم
أما كلمات السر التي تتغير دوريا فالهاكرز يشكرونكم عليها فهي تسهل عملية الcracking ويمكن لبرنامج مثل hashcat أن يكسرها بثواني بسبب الرتم
الرتم او pattern هو وجود تشابه متكرر بكلمات السر بسبب كثرة التغيير.
في حال وجود رتم متكرر فإن كلمات السر تكون معرضة للكسر بسهولة وأحيانا على مدى المؤسسة كلها لأن كل الموظفين يكررون رتم مشابه.
شخصيا أرى أن اهم علامات النضوج بأمن المعلومات بالمؤسسة هو "عدم" وجود سياسة تغيير دوري
في حال وجود رتم متكرر فإن كلمات السر تكون معرضة للكسر بسهولة وأحيانا على مدى المؤسسة كلها لأن كل الموظفين يكررون رتم مشابه.
شخصيا أرى أن اهم علامات النضوج بأمن المعلومات بالمؤسسة هو "عدم" وجود سياسة تغيير دوري
جاري تحميل الاقتراحات...