إعادة استخدام كلمة المرور ليست خطأً بسيطاً؛ فهي ثغرة صامتة تسمح للمهاجمين باختراق الحسابات حتى مع وجود سياسات قوية في الشركات الحديثة.
لماذا تستمر إعادة استخدام كلمة المرور رغم السياسات؟
تركز فرق الأمن غالباً على التصيد والبرمجيات الخبيثة والفدية، وهذه تهديدات حقيقية. لكن الخطر اليومي يأتي من سلوك اعتيادي يبدو ملتزماً بالسياسة بينما يخفي مخاطرة كبيرة.
يرى فريق تيكبامين أن المشكلة ليست في كلمة مرور واحدة، بل في طريقة تعديلها عبر أنظمة متعددة. المستخدم يعتقد أنه التزم، بينما أنماط التغيير تجعل الحسابات قابلة للتخمين.
ما الذي تفوته فرق الأمن؟
معايير التعقيد والتاريخ تمنع التكرار الحرفي، لكنها لا تقيس التشابه البنيوي. النتيجة أن كلمات المرور تتغير شكلياً فقط، فتظل قابلتها للهجوم مرتفعة.
ما المقصود بإعادة استخدام كلمات المرور المتشابهة؟
المقصود هو تعديل كلمة مرور سابقة بتغييرات صغيرة متوقعة بدلاً من إنشاء كلمة جديدة. هذا السلوك يفي بالقواعد لكنه يحافظ على نفس البنية الذهنية.
- إضافة رقم السنة في النهاية مثل 2024.
- استبدال حرف بحرف مشابه مثل a بـ @.
- تبديل موقع رمز أو رقم واحد.
- إضافة علامة تعجب أو شرطة قصيرة.
لماذا يصعب اكتشاف التشابه؟
أدوات التدقيق التقليدية تقارن الكلمات حرفياً أو عبر سجل محدود، ولا تحلل الأنماط الذهنية للمستخدمين. لذلك تمر التعديلات الصغيرة من دون إنذار مبكر.
سيناريو آخر شائع يظهر عند تعيين كلمة مرور ابتدائية للموظف الجديد، ثم إجراء تعديلات طفيفة عليها عند كل تغيير دوري. هكذا تبدو العملية ملتزمة بينما يظل الأساس ثابتاً.
كيف تؤدي تجربة المستخدم السيئة إلى حلول خطرة؟
الموظف العادي يدير عشرات الحسابات بين العمل والحياة الشخصية، ومع توسع خدمات SaaS تتكاثر المتطلبات. هذا الضغط يدفع المستخدم لاختيار تغييرات سهلة التذكر.
تشير تقديرات بحثية إلى أن شركة من 250 موظفاً قد تتعامل مع نحو 47,750 كلمة مرور، ما يوسع سطح الهجوم بشكل كبير. في هذا السياق تصبح كلمات المرور المتشابهة حلاً عملياً لا ناتجاً عن إهمال.
ضغط الأرقام والسياسات
عندما تتغير القواعد بين الأنظمة يصبح الامتثال مهمة يومية مرهقة. لذلك تظهر أنماط ثابتة في التعديل.
- تغيير دوري كل 60 أو 90 يوماً.
- عدم توفير مدير كلمات مرور مؤسسي.
- اختلاف شروط الطول والرموز بين التطبيقات.
- استخدام حسابات مشتركة أو مؤقتة في الفرق.
ما الذي يجعل التنبؤ بكلمات المرور سهلاً للمهاجمين؟
المهاجمون يعتمدون على قواعد بيانات التسريبات وعلى هجمات رش كلمات المرور، ويبحثون عن الإضافات المتوقعة. أي نمط ثابت يمنحهم أفضلية واضحة.
عندما يتكرر الهيكل نفسه عبر الأنظمة، يكفي تعديل صغير للوصول إلى كلمة صحيحة. هنا تتحول القوة الظاهرية إلى ضعف فعلي.
ما الذي يمكن أن تفعله المؤسسات؟
- فرض فحص تشابه متقدم يتجاوز السجل التقليدي.
- اعتماد المصادقة متعددة العوامل على كل الأنظمة الحساسة.
- نشر مدير كلمات مرور وتدريب الموظفين عليه.
- تقليل تعقيد القواعد مع التركيز على الطول والفريدة.
- مراقبة التسريبات والتنبيه المبكر عند تطابق الأنماط.
الخلاصة أن إعادة استخدام كلمة المرور بلمسات بسيطة تبقي الباب موارباً أمام الهجمات حتى في المؤسسات الناضجة. البديل هو بناء ثقافة تغيير حقيقي يسهل على المستخدم الالتزام بها.
