معايير وإرشادات أمان كلمة المرور
كلمات المرور موجودة في كل مكان في بيئاتنا الشخصية والتجارية. لدى الشخص العادي حوالي 100 كلمة مرور ليتذكرها لحسابات مختلفة، ومن المستحيل عمليًا حفظ كلمات مرور فريدة ومعقدة لكل منها. يؤدي هذا إلى ابتكار الموظفين لكلمات مرور سهلة التذكر وإعادة استخدامها لحسابات متعددة. تعد كلمات المرور المسروقة أو الضعيفة أو المعاد استخدامها من أهم الأسباب لانتهاكات البيانات في جميع أنحاء العالم. الأمر متروك لمسؤولي النظام للتأكد من أن الموظفين يستخدمون كلمات مرور قوية وفريدة لجميع حساباتهم.
تنشر الهيئات التنظيمية والباحثون في الصناعة إرشادات لأمن المعلومات لمساعدة المؤسسات على حماية كلمات المرور الخاصة بها من الهجمات الإلكترونية. بعض الإرشادات خاصة بالصناعة، وبعضها الآخر لا يختص بالصناعة. لكن الهدف من جميع الإرشادات هو منع الهجمات الإلكترونية والانتهاكات الأمنية. تجد الجوانب المتعلقة بأمان كلمة المرور مكانًا لها في جميع الإرشادات تقريبًا. من المنطقي الرجوع إلى هذه الإرشادات واعتماد أفضل العناصر في سياسة كلمة المرور الخاصة بك، حتى لو لم تكن الإرشادات مخصصة لمجال عملك.
تشير سياسة كلمة المرور إلى دورة الحياة الكاملة لكلمات المرور - طريقة إنشائها، ومتطلبات التعقيد، والتخزين الآمن، والنقل الآمن، والعشوائية الدورية، وإلغاء التوفير الفوري، والمراقبة المستمرة، والمزيد. في هذه المدونة، نحاول أن نقدم لك بعضًا من إرشادات أمن المعلومات الأكثر شيوعًا المنشورة ونشارك أهم 10 توصيات تتعلق بالسياسة والتي نعتقد أنه يجب على كل مسؤول نظام تنفيذها في مؤسسته.
إرشادات كلمة المرور الرئيسية:
- الحد الأدنى للطول 8 أحرف والحد الأقصى للطول 64 حرفًا على الأقل إذا تم اختياره من قبل المستخدم.
- السماح باستخدام أحرف ASCII (بما في ذلك المسافة) وأحرف Unicode.
- تحقق من كلمات المرور المحتملة مقابل القائمة التي تحتوي على قيم معروفة بأنها شائعة الاستخدام أو متوقعة أو معرضة للخطر. يتضمن ذلك كلمات المرور التي تم الحصول عليها من مجموعات الاختراق السابقة، وكلمات القاموس، والأحرف المتكررة أو المتسلسلة ('aaaaaa'، و'1234abcd'، وما إلى ذلك) والكلمات الخاصة بالسياق، مثل اسم الخدمة، واسم المستخدم، ومشتقاتها.
- الحد من محاولات المصادقة الفاشلة المتتالية على حساب واحد بما لا يزيد عن 100.
- السماح بوظيفة "اللصق" أثناء إدخال كلمة المرور.
- توفير مقياس قوة كلمة المرور.
- لا توجد متطلبات معقدة أو فترة انتهاء صلاحية كلمة المرور.
- فرض المصادقة متعددة العوامل (MFA).
- قم بتخزين كلمات المرور بشكل مقاوم للهجمات دون اتصال بالإنترنت.
- يجب أن تكون كلمات المرور مملحة ومجزأة.