چرا استفاده از رمزعبور ثابت و بدون محدودیت زمان اکسپایر، خطرناک است؟

تنظیم مجدد رمز عبور می تواند برای کاربران نهایی خسته کننده باشد. هیچ کس دوست ندارد وقفه ای با هشدار «زمان تغییر رمز عبور» داشته باشد و حتی زمانی که رمزعبورهای جدید ایجاد شده منطبق بر سیاست ها و خط مشی سازمان نباشد و امکان استفاده از آن را نداشته باشند، کلافه می شوند. تیم‌ های فناوری اطلاعات نیز با دریافت تیکت های متعدد و تماس های پشتیبانی در خصوص مشکلات تغییر رمز عبور، غرق می شوند. با تمام این مسائل، پذیرفته شده است که همه رمزهای عبور باید پس از یک دوره زمانی مشخص منقضی شوند.
چرا این طور است؟ آیا اصلاً به انقضای رمز عبور نیاز دارید؟

چرا رمزعبورهای «Never Expire» می‌توانند یک تصمیم خطرناک باشند؟

سیاست تنظیم مجدد رمز عبور 90 روزه ناشی از لزوم محافظت در برابر حملات brute-force است. سازمان‌ها معمولاً رمزعبورها را به ‌عنوان هش ذخیره می‌کنند. کاربر رمز عبور خود را وارد می کند، هش شده و با هش ذخیره شده مقایسه می شود. مهاجمانی که سعی در رسیدن به این رمزعبورها دارند باید با اجرای رمزعبورهای بالقوه از طریق الگوریتم هش‌سازی مشابه و مقایسه نتایج، رمز عبور صحیح را حدس بزنند. این فرآیند می‌تواند برای مهاجمان با تکنیک ‌هایی مانند salting ترکیب و پیچیده‌تر شود، که در آن رشته‌ های تصادفی قبل از هش به رمزهای عبور اضافه می‌شوند.

حملات Brute-Force به عوامل مختلفی از جمله قدرت محاسباتی در دسترس مهاجم و پیچیدگی رمز عبور بستگی دارد. دوره تنظیم مجدد 90 روزه به عنوان یک رویکرد متعادل برای پیشی گرفتن از حملات brute-force در نظر گرفته شد و در عین حال کاربران را با تغییرات بیش از حد و فاصله کوتاه آزار نمیدهد. با این حال، پیشرفت ‌های فناوری، زمان مورد نیاز برای شکستن رمزهای عبور را کاهش داده و باعث ارزیابی مجدد این سیاست شده است. اما همچنان انقضای 90 روزه رمزعبور در بسیاری از استانداردهای انطباق، از جمله PCI توصیه شده است.

چرا برخی سازمانها این سیاست را نادیده میگیرند؟

یکی از استدلال های اصلی علیه سیاست انقضای رمز عبور در مدت زمان مشخص، این است که می تواند منجر به استفاده مجدد از رمزهای عبور ضعیف شود. برای مثال کاربران اغلب تغییرات جزئی در رمزعبورهای موجود خود ایجاد می‌کنند، مانند تغییر «Password1!» به ‘Password2!’. این عمل مزایای امنیتی تغییر رمز عبور را تضعیف می کند. اما اشکال واقعی در چنین مثالهایی، عمل تنظیم مجدد رمزعبور نیست، بلکه سیاست سازمان است که در وهله اول به رمزهای عبور ضعیف اجازه می‌دهد.

دلیل بزرگتری که برخی سازمان‌ها برای رمزعبورهای خود « Never Expire» انتخاب کرده‌اند، کاهش بار IT و میز خدمات است. هزینه و بار تنظیم مجدد رمز عبور روی وظایف پشتیبانی تیم IT قابل توجه است. گارتنر تخمین می‌زند که 20 تا 50 درصد تماسهای پشتیبانی فناوری اطلاعات هر سازمان مربوط به بازنشانی رمز عبور است که طبق گفته Forrester، هر بازنشانی حدود 70 دلار هزینه دارد. به خصوص زمانی که کاربران اغلب پس از اجبار به ایجاد رمزهای عبور جدید، رمزهای عبور خود را فراموش می کنند، این هزینه افزایش می یابد.
بنابراین ممکن است برخی از سازمانها تصمیم بگیرند که کاربران نهایی را مجبور به ایجاد یک رمز عبور بسیار قوی کنند و سپس برای کاهش بار IT و بازنشانی هزینه ‌ها، رمزعبورها را روی « Never Expire» تنظیم کنند.

رمزعبورهای «Never Expire» چه خطراتی دارند؟

داشتن یک رمز عبور قوی و هرگز تغییر ندادن آن ممکن است احساس امنیت کاذبی را در فرد ایجاد کند. رمز عبور قوی در برابر تهدیدات مصون نیست. می تواند در برابر طرح های فیشینگ، نقض داده ها، یا انواع دیگر حوادث سایبری بدون اینکه کاربر متوجه شود آسیب پذیر باشد. گزارش Specops Breached Password نشان می‌دهد که 83 درصد از رمزهای عبور که به خطر افتاده‌اند استانداردهای طول و پیچیدگی را رعایت می‌کنند.

یک سازمان ممکن است یک خط مشی رمز عبور قوی داشته باشد که در آن هر کاربر نهایی مجبور به ایجاد یک رمز عبور قوی است که در برابر حملات brute force مقاوم باشد. اما اگر کارمند تصمیم بگیرد از رمز عبور خود برای سایر اکانتهای شخصی خود استفاده مجدد کند، چه اتفاقی می افتد؟ بدون توجه به اقدامات امنیتی داخلی که سازمان در نظر گرفته است، ریسک به خطر افتادن رمز عبور بسیار افزایش می یابد. یک نظرسنجی توسط LastPass نشان داد که 91٪ از کاربران نهایی خطر استفاده مجدد از رمز عبور را درک می کنند – اما با این حال 59٪ هنوز این کار را انجام میدهند.

یکی دیگر از ریسکهای رمزهای « Never Expire» این است که مهاجم می‌تواند از مجموعه ‌ای از اعتبارنامه‌ های به خطر افتاده برای مدت طولانی استفاده کند. طبق یافته های مؤسسه Ponemon معمولاً یک سازمان حدود 207 روز طول می کشد تا یک نقض را شناسایی کند. در حالی که اجباری کردن انقضای رمز عبور می تواند در اینجا مفید باشد. محققین به سازمان‌ها توصیه می‌کنند که فقط در صورتی که مکانیسم‌ هایی برای شناسایی حسابهای در معرض خطر دارند، رمز عبورهای خود را روی گزینه Never Expire تنظیم نمایند.

نحوه تشخیص رمز عبورهای در معرض خطر

سازمانها باید یک استراتژی رمز عبور جامع را اتخاذ کنند که فراتر از انقضای منظم و همزمان باشد. این کار شامل راهنمایی کاربران برای ایجاد عبارات عبور قوی با حداقل 15 کاراکتر است. چنین سیاستی می تواند آسیب پذیری در برابر حملات brute-force را به میزان قابل توجهی کاهش دهد. تشویق کاربران نهایی برای ایجاد گذرواژه‌های طولانی‌تر نیز می‌تواند مبتنی بر طول انجام شود و در آن گذرواژه ‌های طولانی‌تر و قوی‌تر مجاز به استفاده برای مدتهای طولانی قبل از انقضا هستند. این رویکرد نیاز به زمان انقضای یکسان را از بین می برد، مشروط بر اینکه کاربران به سیاست رمز عبور سازمان پایبند باشند.

با این حال، حتی رمزهای عبور قوی نیز ممکن است به خطر بیفتد و باید اقداماتی برای شناسایی آن وجود داشته باشد.سازمان ها به یک استراتژی پیوسته نیاز دارند تا مطمئن شوند که خود را در برابر رمزهای عبور ضعیف و در معرض خطر پوشش می دهند. همچنین پیشنهاد میگردد علاوه بر استفاده از سیاست های رمزعبور قوی، از محصولات احراز هویت چندعاملی (MFA) نیز استفاده شود تا یک لایه امنیتی بیشتر و معتبر به امنیت سازمان اضافه گردد.
شرکت مهندسی پانا در سبد محصولات خود راهکارهای احراز هویت چندعاملی بومی و احراز هویت چندعاملی غیربومی نیز ارائه می کند. جهت کسب اطلاعات بیشتر با ما تماس بگیرید.

منبع:

thehackernews.com