تقرير حديث نشره موقع The Hacker News يسلط الضوء على جانب قلّما يُناقش في أمن الهوية الرقمية: الحوادث المتكررة المرتبطة بالاعتمادات (Credentials). فبينما تركز المؤسسات عادة على منع الاختراقات الكبرى التي قد تكلف ملايين الدولارات، هناك تكلفة يومية متراكمة ناتجة عن عمليات إغلاق الحسابات، إعادة تعيين كلمات المرور، وتعطيل سير العمل، وهي تكلفة لا تقل خطورة عن الخسائر الناتجة عن الاختراقات المعلنة.
الحوادث الصغيرة وتراكم التكاليف
تشير تقديرات Forrester إلى أن عمليات إعادة تعيين كلمات المرور تمثل ما يصل إلى 30% من جميع طلبات الدعم الفني، بتكلفة تقارب 70 دولارًا لكل عملية عند احتساب وقت الموظفين وفقدان الإنتاجية. بالنسبة لمؤسسة متوسطة الحجم، فإن هذه التكاليف المتكررة تتحول إلى عبء مالي وتشغيلي كبير، حيث ينشغل فريق تقنية المعلومات بإطفاء الحرائق اليومية بدلًا من التركيز على أعمال استراتيجية أكثر قيمة.
سياسات كلمات المرور وضعف التطبيق
غالبًا ما تكون سياسات كلمات المرور غير واضحة للمستخدمين، إذ يواجهون رسائل غامضة مثل “لا تستوفي متطلبات التعقيد”، ما يدفعهم إلى إعادة استخدام كلمات مرور قديمة مع تعديلات طفيفة أو تخزينها بطرق غير آمنة. هذا السلوك غير المقصود يزيد من احتمالية وقوع حوادث متكررة، سواء عبر إغلاق الحسابات أو اختراقها. والأسوأ أن الاعتماد على إعادة التعيين الدوري لكلمات المرور لا يعالج الخطر الحقيقي، إذ إن كلمة المرور تصبح غير آمنة عند تعرضها للاختراق وليس لمجرد مرور الوقت عليها.
التوجيهات الحديثة وإعادة التفكير في السياسات
على مدى سنوات، كان يُنظر إلى إعادة تعيين كلمات المرور بشكل دوري (كل 60 أو 90 يومًا) كإجراء أساسي للأمان. لكن التوجيهات الحديثة من جهات مثل NIST أوضحت أن هذا الإجراء يخلق مشكلات أكثر مما يحلها، حيث يؤدي إلى كلمات مرور أضعف وسلوكيات متوقعة يسهل استغلالها. التوجه الجديد يدعو إلى إعادة التعيين فقط عند وجود دليل على اختراق، وهو ما يتطلب أدوات قادرة على كشف كلمات المرور المسربة مثل Specops Password Policy الذي يفحص بشكل مستمر أكثر من 5.8 مليار كلمة مرور مخترقة.
الأساس القوي لأمن الهوية
رغم التوجه نحو المصادقة بدون كلمة مرور، تبقى كلمات المرور حجر الأساس في أمن الهوية. فإذا كان هذا الأساس ضعيفًا، فإن المخاطر تظهر في كل مكان، حيث يمكن للمهاجمين استغلال بيانات الاعتماد الشرعية للتحرك داخل الشبكة دون إثارة إنذارات فورية. لذلك فإن تطبيق سياسات قوية وسهلة الاستخدام، مع القدرة على كشف كلمات المرور المسربة مبكرًا، يقلل من عدد نقاط الدخول الضعيفة ويحد من الحوادث المتكررة.
