چرا تغییر مکرر رمز عبور فقط به امنیت آسیب می رساند؟

2024 نویسنده: Malcolm Clapton | [email protected]. آخرین اصلاح شده: 2023-12-17 03:54

تغییر مکرر رمز عبور یکی از موثرترین راه های محافظت از اطلاعات نامیده می شود. با این حال، همه چیز آنطور که آنها می گویند ساده نیست. چرا - مقاله ما را بخوانید.

به احتمال زیاد حداقل یک بار یک اعلان ایمیل دریافت کرده اید که در آن به شما توصیه شده است رمز عبور خود را تغییر دهید. به عنوان یک قاعده، چنین نامه هایی از طرف خدمات پستی و مدیران شبکه های شرکتی هر شش ماه یک بار ارسال می شود. و در اینجا یک انتخاب ایجاد می شود: توصیه های "کسانی که بهتر می دانند" را دنبال کنید و رمز عبور را تغییر دهید یا الزام را نادیده بگیرید و همه چیز را همانطور که هست رها کنید. سرویس های اطلاعاتی انگلیس که وظایف آنها شامل اطلاعات الکترونیکی و حفاظت اطلاعات ارتش است، به نفع دوم صحبت می کنند.

در 7 می، به مناسبت روز جهانی رمز عبور، نمایندگان یکی از واحدهای ستاد ارتباطات دولت (GCHQ) توضیحاتی را صادر کردند که چرا نباید رمز عبور خود را زیاد تغییر دهید.

معمولاً خط مشی امنیتی ما را ملزم می کند که فقط از رمزهای عبور پیچیده استفاده کنیم که حدس زدن و بر این اساس به خاطر سپردن آنها دشوار است. رمز عبور باید تا حد امکان طولانی و تا حد امکان تصادفی باشد. ما کاملاً قادر به مدیریت یک جفت از چنین رمزهای عبور هستیم، با این حال، وقتی امتیاز به ده ها می رسد، وضعیت غیر قابل کنترل می شود.

گروه امنیت الکترونیک ارتباطات CESG

وضعیت با این واقعیت تشدید می شود که ما مجاز به استفاده از رمز عبور قدیمی نیستیم، حتی اگر بالاترین الزامات امنیتی را داشته باشد. در این صورت انسان حیله گرانه فلسفه نمی کند و به عاقلانه ترین وجه عمل نمی کند:

1. یک رمز عبور جدید ایجاد می کند، رمز عبور قبلی را کمی تغییر می دهد. مهاجمان می توانند از این شکاف سوء استفاده کنند. اگر آنها از قبل رمز عبور قبلی را می دانستند، به احتمال زیاد، پیدا کردن رمز عبور جدید برای آنها دشوار نخواهد بود. علاوه بر این، کاربران اغلب رمز عبور جدید را فراموش می کنند و این امر باعث ناراحتی، از دست دادن زمان و بهره وری می شود.
2. ترکیب قدیمی را ضعیف می کند. مردم عمدا رمزهای عبور جدید خود را ساده می کنند تا آنها را به درستی در ذهن خود بسته بندی کنند. حروف بزرگ، کاراکترهای خاص و اعداد زیر چاقو قرار می گیرند. البته کاربر فقط از این بابت ضرر می کند.
3. رمز عبور جدید خود را روی کاغذ می نویسد و آن را تقریباً آزادانه در دسترس می گذارد. بدیهی است که این رفتار به طور کامل کل نقطه عمل را از بین می برد.

این یک پارادوکس است: هر چه بیشتر مجبور به تغییر رمزهای عبور باشیم، آسیب پذیرتر هستیم. در نگاه اول، تغییر رمزهای عبور تا حد امکان کاملاً منطقی به نظر می رسد، اما تمرین نشان می دهد که اینطور نیست.

البته پس از خواندن مطالبی که می خوانید، نباید از تمامی درخواست ها برای تغییر رمز عبور غافل شوید. به عنوان مثال، شما نمی توانید نقض های بزرگ داده مانند آنچه در سال 2013 با حساب های Adobe رخ داد را نادیده بگیرید. در چنین مواردی، شما باید یک رمز عبور جدید ایجاد کنید و احتمالاً آن را از شکلک بسازید: آنها می گویند که این حتی امن تر است.

در نظرات مقاله اصلی، یکی از خوانندگان این عقیده را بیان کرد که خدمات دولتی به عمد چنین اردک هایی را رها می کنند تا هوشیاری توده ها را خاموش کنند. محاسبه ساده است: حساب های قبلاً هک شده نیازی به بازگشایی مجدد نخواهند داشت (در نهایت در مقیاس صنعتی). شخصی از این ایده حمایت کرد، اما شخصی به هشدار دهنده توصیه کرد که قرصی از توطئه جهانی بخورد.

نظر شما چیست، آیا در صورت ایمن بودن رمز عبور و عدم وجود علائم دسترسی غیرمجاز به حساب کاربری، ارزش آن را دارد؟