لماذا سيتم اختراق حتى كلمة مرورك الأكثر تعقيداً قريباً

تمت ترجمة هذه الصفحة تلقائياً. اقرأ النسخة الأصلية باللغة الإنجليزية هنا.

الورقة البيضاء للمؤسسات حول Passkeys. إرشادات عملية وأنماط إطلاق ومؤشرات KPI لبرامج passkeys.

ترتبط أكثر من 80% من جميع اختراقات البيانات بكلمات المرور. يمكن أن يؤدي استخدام كلمات مرور معقدة ومختلفة لكل حساب إلى زيادة الأمان. ومع ذلك، يمكن اختراق حسابات العملاء حتى تلك التي تحتوي على كلمات مرور قوية.

عندما نتحدث عن تسجيل الدخول إلى الحسابات الرقمية، سواء كان ذلك داخل التطبيقات أو مواقع الويب، يتبادر إلى ذهننا مزيج من اسم المستخدم وكلمة المرور. استُخدمت كلمات المرور السرية لآلاف السنين. إنه مفهوم بسيط، جزء من المعلومات المشتركة، يُحفظ سراً بين الأفراد ويُستخدم لإثبات الهوية.

أحدث المقالات

في الأوقات التي يقضي فيها الناس جزءاً كبيراً من حياتهم عبر الإنترنت، أصبح استخدام هذا المفهوم البسيط واسع الانتشار. وجدت الاستطلاعات أن عدد الحسابات المحمية بكلمة مرور لكل مستخدم زاد بشكل كبير في السنوات الأخيرة، استجابة لانفجار التطبيقات والخدمات الجديدة عبر الإنترنت. وجدت دراسة، بتكليف من NordPass، أنه بين عامي 2019 و 2020، قفز عدد كلمات المرور لكل مستخدم بنسبة 20%، من متوسط 83 إلى 100.

العدد المتزايد من الحسابات المحمية بكلمة مرور لا يمثل مشكلة في البداية. ومع ذلك، فإن الطريقة التي يعين بها المستخدمون كلمات المرور ويديرونها تمثل مشكلة بالفعل. كلمة المرور ثابتة وبالتالي يجب أن يتذكرها المستخدم أو يخزنها، سواء كان ذلك في ملاحظة لاصقة أو داخل مدير كلمات المرور. وبما أن الشخص العادي لا يمكنه تذكر سوى مجموعة من 7 أحرف أو أرقام، فإن تذكر 100 كلمة مرور فردية يمكن أن يصبح أمراً مزعجاً للغاية. ونتيجة لذلك، يميل المستخدمون إلى استخدام كلمات مرور بسيطة مثل أسماء أفراد أسرهم، أو تواريخ ميلادهم أو ببساطة 123456، والتي لا تزال كلمة المرور الأكثر استخداماً على الإنترنت. ولكن لماذا تعتبر كلمات المرور مشكلة أمنية في المقام الأول؟

حقائق أساسية

إعادة استخدام كلمات المرور تؤدي إلى معظم الاختراقات: 52% من المستخدمين يعيدون استخدام كلمات المرور، مما يسمح للمتسللين باستغلال المنصة الأضعف للوصول إلى حسابات متعددة في وقت واحد.
يمكن شراء أكثر من 15 مليار من بيانات الاعتماد من 100,000 اختراق عبر الإنترنت، مع زيادة حجم بيانات الاعتماد المسروقة بنسبة 300% منذ عام 2018 وفقاً لـ Forbes.
تتجاوز هجمات القوة الغاشمة 100 مليار تخمين في الثانية، مما يعني أنه يمكن اختراق حتى كلمات المرور المعقدة في غضون ثوانٍ بواسطة الأجهزة الحديثة.
أكثر من 80% من جميع اختراقات البيانات تتضمن كلمات مرور، ومع ذلك لا تزال 70% من بيانات الاعتماد المخترقة قيد الاستخدام بنشاط بعد كشفها.
وجدت دراسة لـ NordPass أن المستخدم العادي أدار 100 كلمة مرور في عام 2020، وهي زيادة بنسبة 20% من 83 في عام 2019، مما أدى إلى زيادة انتشار إعادة الاستخدام.

إعادة استخدام كلمات المرور هي السبب الأول للاختراقات الأمنية#

لإدارة جميع حساباتهم، يعيد 52% من المستخدمين استخدام كلمات المرور، مما يؤدي إلى عواقب وخيمة. يسمح هذا للمتسللين بالوصول إلى عدة حسابات من خلال مهاجمة الحلقة الأضعف (موقع الويب الذي يتمتع بأدنى معايير الأمان). على سبيل المثال، حساب Facebook الخاص بك محمي بكلمة مرور معقدة ومعايير أمان قوية. ومع ذلك، هناك احتمال كبير بأن بيانات الاعتماد الخاصة بك كانت متورطة في اختراق بيانات سابق، مثل ذلك الذي حدث في MySpace عام 2008، حيث تمت سرقة 359,420,698 بيان اعتماد. وهذا مجرد مثال واحد. وفقاً لـ Forbes، زاد عدد بيانات الاعتماد المسروقة بنسبة 300% منذ عام 2018. اليوم، يمكن للجميع شراء أكثر من 15 مليار من بيانات الاعتماد من 100,000 اختراق على الإنترنت. باستخدام بيانات الاعتماد هذه، ينفذ المتسللون طلبات تسجيل دخول واسعة النطاق على مئات المنصات للوصول إلى حساباتك (ما يُسمى بهجمات حشو بيانات الاعتماد).

حتى كلمات المرور المعقدة ليست آمنة#

على الرغم من هذا الخطر المعروف على نطاق واسع، لا تزال 70% من بيانات الاعتماد المخترقة قيد الاستخدام. بشكل عام، يمكن تجنب هجمات حشو بيانات الاعتماد باستخدام كلمات مرور مختلفة ومعقدة لكل حساب على كل منصة بالاشتراك مع مديري كلمات المرور. ومع ذلك، يمكن بسهولة اختراق حتى كلمات المرور المعقدة في غضون ثوانٍ. في العام الماضي، تم تسجيل رقم قياسي لجهاز كمبيوتر يحاول إنشاء كل كلمة مرور يمكن تصورها. حقق معدلاً أسرع من 100,000,000,000 تخمين في الثانية. يسمى استخدام مثل هذه النصوص البرمجية لمحاولة تجربة مجموعات عشوائية من اسم المستخدم/كلمة المرور بأساليب القوة الغاشمة.

ولكن حتى لو لم يتم اختراق كلمة المرور الخاصة بك عن طريق القوة الغاشمة، فإنها لا تزال غير آمنة تماماً. كعميل، عليك الوثوق بمعايير الأمان الخاصة بالمنصات التي تسجل الدخول إليها. في حالة الحماية الضعيفة، يمكن سرقة أي كلمة مرور، بغض النظر عن مدى تعقيدها.

المتسللون مبدعون ويحسنون أساليبهم باستمرار#

لسوء الحظ، لا يعد حشو بيانات الاعتماد والقوة الغاشمة الأساليب الوحيدة للحصول على وصول غير مصرح به إلى حسابات العملاء. تقنية أخرى واسعة الانتشار هي التصيد الاحتيالي، حيث يتم استخدام واجهة مستخدم مزيفة للموقع الأصلي لخداع المستخدمين لإدخال بيانات الاعتماد الخاصة بهم. الأساليب الأخرى هي هجمات الوسيط، حيث يتم اعتراض مسارات الاتصال مثل شبكات WiFi العامة، أو تسجيل ضغطات المفاتيح، حيث يتم تثبيت برامج ضارة على جهاز كمبيوتر لالتقاط بيانات الاعتماد.

طالما أن هناك كلمات مرور، سيتم اختراق حسابات العملاء#

المشاكل الموضحة أعلاه هي السبب في أن أكثر من 80% من جميع اختراقات البيانات وهجمات القرصنة ترجع إلى كلمات المرور وتؤكد أننا بحاجة إلى نهج أفضل من مجرد اسم المستخدم وكلمة المرور للتعامل مع المصادقة. التطورات مثل المصادقة الثنائية (2FA) تسير في الاتجاه الصحيح من حيث الأمان، ولكن تبني المستخدمين لها منخفض جداً. فلماذا لا يتم التخلي عن كلمات المرور بالكامل والتحول إلى المصادقة بدون كلمة مرور؟ هل يبدو ذلك مثيراً للاهتمام؟ استكشف حلول Corbado بدون كلمة مرور واحصل على انطباع أول عن المصادقة المستقبلية!

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →

الأسئلة الشائعة#

لماذا لا يكفي استخدام كلمة مرور فريدة ومعقدة للحفاظ على أمان حسابي؟#

حتى كلمة المرور المعقدة يمكن اختراقها إذا كانت المنصة التي تخزنها تعتمد معايير أمان ضعيفة، حيث يمكن سرقة أي كلمة مرور من خادم ضعيف بغض النظر عن مدى قوتها. تلتقط تقنيات مثل التصيد الاحتيالي، وتسجيل ضغطات المفاتيح، وهجمات الوسيط بيانات الاعتماد قبل تطبيق التشفير، مما يجعل كلمة المرور نفسها الحلقة الأضعف مهما كانت معقدة.

ما هو حشو بيانات الاعتماد وكيف يجعل حجم بيانات الاعتماد المسروقة الأمر في غاية الخطورة؟#

يتضمن حشو بيانات الاعتماد أخذ أزواج من اسم المستخدم وكلمة المرور المسروقة من أحد الاختراقات واختبارها تلقائياً عبر مئات المنصات الأخرى. مع توفر أكثر من 15 مليار من بيانات الاعتماد من 100,000 اختراق للشراء عبر الإنترنت، يمتلك المهاجمون مجموعات بيانات ضخمة للعمل عليها، وقد أدى اختراق MySpace وحده في عام 2008 إلى كشف أكثر من 359 مليون بيان اعتماد تظل قابلة للاستغلال حيثما أعاد الضحايا استخدام كلمات المرور هذه.

لماذا لا يزال العديد من المستخدمين يعتمدون على كلمات مرور ضعيفة أو مُعاد استخدامها رغم معرفتهم بالمخاطر؟#

يمكن للشخص العادي أن يتذكر بشكل موثوق مجموعة من حوالي 7 أحرف أو أرقام فقط، مما يجعل من المستحيل عملياً حفظ 100 كلمة مرور معقدة وفريدة. يؤدي هذا الحد المعرفي إلى قيام 52% من المستخدمين بإعادة استخدام كلمات المرور عبر الحسابات، مما يمكن المتسللين بدورهم من الوصول إلى خدمات متعددة من خلال استهداف المنصة الوحيدة الأقل أماناً التي سجل المستخدم فيها.

هل تعتبر حلول مثل المصادقة الثنائية كافية لاستبدال كلمات المرور بالكامل؟#

تسير المصادقة الثنائية في الاتجاه الصحيح للأمان، لكن المقال يشير إلى أن تبني المستخدمين لها لا يزال منخفضاً جداً، مما يحد من تأثيرها العملي. الاتجاه الواعد أكثر هو القضاء على كلمات المرور بالكامل من خلال المصادقة بدون كلمة مرور، والتي تزيل السر المشترك الثابت الذي يدعم التصيد الاحتيالي، وهجمات القوة الغاشمة، وحشو بيانات الاعتماد من جذورها.