تواصل كلمات المرور المتشابهة للغاية، والتي تستخدم عبر أنظمة متعددة، تمثيل تهديد أمني كبير للمؤسسات. على الرغم من الجهود المبذولة لتعزيز الأمن السيبراني، فإن هذه الممارسة، التي غالبًا ما يتم تجاهلها، تظل نقطة ضعف رئيسية يستغلها المهاجمون.
يُعد تكرار استخدام كلمات المرور، حتى مع إجراء تعديلات طفيفة، من بين المخاطر المستمرة والأقل تقديرًا التي تواجه الشركات، وذلك على الرغم من وجود سياسات صارمة لحماية الحسابات.
لماذا يستمر تكرار كلمات المرور رغم السياسات القوية
تدرك معظم المؤسسات أن استخدام نفس كلمة المرور في عدة أنظمة يمثل خطورة. تهدف سياسات الأمن، والأطر التنظيمية، وحملات التوعية باستمرار إلى تثبيط هذا السلوك، ويبذل العديد من الموظفين جهودًا حقيقية للامتثال. ظاهريًا، يوحي هذا بأن مشكلة تكرار كلمات المرور يجب أن تكون في طريقها للانحسار.
في الواقع، لا يزال المهاجمون يحصلون على وصول عبر بيانات اعتماد تلبي المتطلبات الرسمية لسياسات كلمة المرور. السبب لا يكمن دائمًا في التكرار الصريح لكلمات المرور، بل في حل وسيط يُعرف بتكرار كلمات المرور شبه المتطابقة.
ما هو تكرار كلمات المرور شبه المتطابقة؟
يحدث تكرار كلمات المرور شبه المتطابقة عندما يقوم المستخدمون بإجراء تغييرات صغيرة ومتوقعة على كلمة مرور موجودة، بدلاً من إنشاء كلمة مرور جديدة تمامًا.
بينما تحقق هذه التغييرات القواعد الرسمية لكلمات المرور، فإنها لا تقلل بشكل كبير من المخاطر الواقعية. إليك بعض الأمثلة الكلاسيكية:
- إضافة أو تغيير رقم: مثل الانتقال من “Summer2023!” إلى “Summer2024!”.
- إضافة حرف: مثل إضافة حرف في نهاية كلمة مرور لتلبية شروط التعقيد.
- تبديل رموز أو أحرف كبيرة/صغيرة: مثل التحول من “Welcome!” إلى “Welcome؟” أو من “AdminPass” إلى “adminpass”.
سيناريو شائع آخر يحدث عندما تصدر المؤسسات كلمة مرور أولية قياسية للموظفين الجدد، وبدلاً من تغييرها بالكامل، يقوم المستخدمون بإجراء تغييرات تدريجية بمرور الوقت للحفاظ على الامتثال. في كلتا الحالتين، تبدو تغييرات كلمة المرور مشروعة، ولكن البنية الأساسية تظل سليمة إلى حد كبير.
عندما يؤدي ضعف تجربة المستخدم إلى حلول وسيطة محفوفة بالمخاطر
هذه الاختلافات الصغيرة سهلة التذكر، وهذا هو السبب الدقيق لشوعها. يُتوقع من الموظف العادي إدارة عشرات بيانات الاعتماد عبر الأنظمة العملية والشخصية، غالبًا مع متطلبات مختلفة وأحيانًا متعارضة. مع تزايد اعتماد المؤسسات على تطبيقات البرمجيات كخدمة (SaaS)، تستمر هذه الأعباء في النمو.
وفقًا لبحث أجرته Specops، قد تدير مؤسسة مكونة من 250 موظفًا ما يقدر بنحو 47,750 كلمة مرور، مما يوسع بشكل كبير سطح الهجوم. في ظل هذه الظروف، يصبح تكرار كلمات المرور شبه المتطابقة حلاً عمليًا بدلاً من كونه إهمالًا.
من منظور المستخدم، تبدو كلمة المرور المعدلة مختلفة بما يكفي لتلبية توقعات الامتثال مع بقائها سهلة التذكر. هذه التغييرات الطفيفة تلبي قواعد سجل كلمات المرور ومتطلبات التعقيد، وفي ذهن المستخدم، تم الوفاء بشرط تغيير كلمة المرور.
التنبؤ هو بالضبط ما يستغله المهاجمون
من منظور المهاجم، تبدو الصورة مختلفة تمامًا. تمثل كلمات المرور هذه نمطًا واضحًا وقابلاً للتكرار.
تعتمد هجمات الطرف السيبراني الحديثة القائمة على بيانات الاعتماد على فهم كيفية قيام الأشخاص بتعديل كلمات المرور تحت الضغط، ويتم افتراض تكرار كلمات المرور شبه المتطابقة بدلاً من التعامل معها كحالة هامشية. لهذا السبب، تم تصميم معظم أدوات كسر كلمات المرور وحشو بيانات الاعتماد المعاصرة لاستغلال الاختلافات المتوقعة على نطاق واسع.
كيف يسخّر المهاجمون أنماط كلمات المرور
بدلاً من تخمين كلمات المرور عشوائيًا، يبدأ المهاجمون عادةً ببيانات الاعتماد التي تم كشفها في خروقات البيانات السابقة. يتم تجميع كلمات المرور المخترقة هذه في مجموعات بيانات كبيرة واستخدامها كأساس لمزيد من الهجمات.
ثم تقوم الأدوات الآلية بتطبيق تحويلات شائعة مثل:
- إضافة أحرف.
- تغيير الرموز.
- زيادة الأرقام.
عندما يعتمد المستخدمون على تكرار كلمات المرور شبه المتطابقة، يمكن لهذه الأدوات التحرك بسرعة وكفاءة من حساب مخترق إلى آخر.
من المهم ملاحظة أن أنماط تعديل كلمات المرور تميل إلى أن تكون متسقة للغاية عبر شرائح مختلفة من المستخدمين. أظهر تحليل كلمات المرور من Specops مرارًا وتكرارًا أن الأشخاص يتبعون قواعد مماثلة عند تعديل كلمات المرور، بغض النظر عن الدور أو الصناعة أو القدرة التقنية.
هذا الاتساق يجعل تكرار كلمات المرور، بما في ذلك الاختلافات شبه المتطابقة، قابلاً للتنبؤ بدرجة عالية وبالتالي أسهل للمهاجمين لاستغلاله. في كثير من الحالات، يتم أيضًا إعادة استخدام كلمة المرور المعدلة عبر حسابات متعددة، مما يضخم الخطر بشكل أكبر.
لماذا تفشل سياسات كلمات المرور التقليدية في وقف التكرار شبه المتطابق
تعتقد العديد من المؤسسات أنها محمية لأنها تفرض بالفعل قواعد تعقيد كلمات المرور. غالبًا ما تشمل هذه القواعد متطلبات الحد الأدنى للطول، ومزيجًا من الأحرف الكبيرة والصغيرة، والأرقام، والرموز، وقيودًا على إعادة استخدام كلمات المرور السابقة. كما تفرض بعض المؤسسات دورانًا منتظمًا لكلمات المرور لتقليل التعرض.
بينما يمكن لهذه الإجراءات منع أضعف كلمات المرور، إلا أنها غير مناسبة لمعالجة تكرار كلمات المرور شبه المتطابقة. كلمة مرور مثل “FinanceTeam!2023” متبوعة بـ “FinanceTeam!2024” ستتجاوز جميع فحوصات التعقيد والسجل، ومع ذلك، بمجرد معرفة أحد الإصدارات، يصبح من السهل على المهاجم استنتاج الإصدار التالي. مع رمز مميز جيد أو حرف كبير، يمكن للمستخدمين البقاء ممتثلين مع الاستمرار في الاعتماد على نفس كلمة المرور الأساسية.
التحدي الآخر هو الافتقار إلى التوحيد في كيفية تطبيق سياسات كلمات المرور عبر البيئة الرقمية الأوسع للمؤسسة. قد يواجه الموظفون متطلبات مختلفة عبر الأنظمة المؤسسية، والمنصات السحابية، والأجهزة الشخصية التي لا تزال لديها إمكانية الوصول إلى بيانات المؤسسة. هذه التناقضات تشجع على مزيد من الحلول الوسط المتوقعة التي تمتثل تقنيًا للسياسة مع إضعاف الأمن بشكل عام.
خطوات موصى بها لتقليل مخاطر كلمات المرور
يتطلب تقليل المخاطر المرتبطة بتكرار كلمات المرور شبه المتطابقة تجاوز قواعد التعقيد الأساسية. يبدأ الأمن بفهم حالة بيانات الاعتماد داخل البيئة. تحتاج المؤسسات إلى رؤية حول ما إذا كانت كلمات المرور قد ظهرت في خروقات معروفة وما إذا كان المستخدمون يعتمدون على أنماط تشابه متوقعة.
يتطلب هذا مراقبة مستمرة مقابل بيانات الخرق جنبًا إلى جنب مع تحليل ذكي للتشابه، وليس فحوصات ثابتة أو لمرة واحدة. ويعني أيضًا مراجعة وتحديث سياسات كلمات المرور لمنع بشكل صريح كلمات المرور شديدة التشابه مع تلك السابقة، ومنع الحلول الوسط الشائعة قبل أن تصبح سلوكًا متجذرًا.
سد الفجوة بضوابط كلمات مرور أذكى
المؤسسات التي تتجاهل هذا الجانب الأساسي من سياسة كلمات المرور تترك نفسها عرضة للخطر دون داع. تجمع Specops Password Policy هذه القدرات في حل واحد، مما يسمح للمؤسسات بإدارة أمان كلمات المرور بطريقة أكثر تنظيمًا وشفافية.
تمكّن سياسة كلمات المرور من Specops الإدارة المركزية للسياسات، مما يسهل تعريف وتحديث وفرض قواعد كلمات المرور عبر Active Directory مع تطور المتطلبات. كما أنها توفر تقارير واضحة وسهلة الفهم تساعد فرق الأمان على تقييم مخاطر كلمات المرور وإظهار الامتثال. بالإضافة إلى ذلك، تقوم هذه الأداة بفحص كلمات مرور Active Directory باستمرار مقابل قاعدة بيانات تضم أكثر من 4.5 مليار كلمة مرور مخترقة معروفة.