لماذا يجب أن تستبدل كلمات المرور التقليدية بعبارات مرور طويلة؟

لم تتغير نصائح الأمان لعقود: أنشئ كلمة مرور معقدة تحتوي على حروف كبيرة وصغيرة وأرقام ورموز. كانت الفكرة أن التعقيد هو ما يصعّب على القراصنة كسر كلمات المرور عبر الهجمات العشوائية. لكن الإرشادات الحديثة أثبتت أن الطول أهم من التعقيد، وأن عبارات المرور (Passphrases) هي الحل الأبسط والأكثر فاعلية لإنشاء كلمات مرور طويلة يسهل تذكّرها.

معادلة الأمان: الطول قبل التعقيد

عندما يسرق المهاجمون تجزئات كلمات المرور من تسريب، فإنهم يستخدمون قوة الحوسبة لتجربة ملايين الاحتمالات في الثانية حتى يجدوا تطابقًا. المدة اللازمة لذلك تعتمد على عدد التوليفات الممكنة.
على سبيل المثال، كلمة مرور تقليدية مكونة من 8 رموز معقدة مثل P@ssw0rd! تمنح نحو 218 تريليون احتمال. يبدو رقمًا ضخمًا، لكنه ليس عائقًا أمام معالجات الرسوميات الحديثة التي يمكنها اختبارها خلال أشهر.
أما عبارة مرور مكونة من 16 حرفًا حتى ولو كانت بأحرف صغيرة فقط، فتنتج عددًا من الاحتمالات أكبر بمليارات المرات. ولهذا، فإن ثلاث أو أربع كلمات عشوائية شائعة مثل carpet-static-pretzel-invoke تمنح مستوى عالٍ من “الاعتلاج الفعّال” (effective entropy) وتجعل مهمة المهاجم شبه مستحيلة، مع سهولة تذكّرها للمستخدم.

لماذا تفوز عبارات المرور على جميع المستويات

القضية ليست نظرية، بل عملية تمامًا:

• أقل عمليات إعادة تعيين: العبارات الطويلة سهلة التذكّر تقلل من تدوين كلمات المرور على الورق أو إعادة استخدامها في حسابات أخرى، مما يخفض حجم تذاكر الدعم الفني بشكل ملحوظ.

• مقاومة أعلى للهجمات: يعتمد المهاجمون على الأنماط الشائعة مثل استبدال الحروف برموز (@ بدلاً من a)، بينما تتجنب العبارات العشوائية هذه الأنماط بالكامل.

• توافق مع إرشادات NIST الحديثة: التي تشدد على أن الطول هو العامل الأهم، وأن الحد الأدنى التقليدي من 8 رموز أصبح من الماضي.

القاعدة الذهبية: قاعدة واحدة بدل 47 شرطًا

بدلًا من إدارة عشرات قواعد التعقيد، قدّم للمستخدمين قاعدة واحدة واضحة:
اختر 3 إلى 4 كلمات شائعة وغير مترابطة + فاصل (مثل – أو .)
تجنّب أسماء الأشخاص والأغاني والاقتباسات المشهورة، ولا تعِد استخدام نفس العبارة في حسابات متعددة.

أمثلة:

• mango-glacier-laptop-furnace

• cricket.highway.mustard.piano

لا حاجة لحروف كبيرة أو رموز خاصة — فقط الطول والعشوائية.

كيفية تطبيق السياسة دون إحداث فوضى

تغيير سياسة المصادقة قد يثير مقاومة المستخدمين، لذا يُنصح باتباع نهج تدريجي:

1. ابدأ بمجموعة تجريبية من 50 إلى 100 مستخدم في أقسام مختلفة، وراقب سلوكهم لمدة أسبوعين دون فرض الإجراء.

2. انتقل إلى وضع التحذير فقط في المرحلة الثانية، حيث يُنبَّه المستخدم عند اختيار عبارة ضعيفة دون منعه.

3. بعد التقييم، ابدأ التنفيذ الكامل بناءً على مؤشرات الأداء التالية:

   • نسبة تبنّي عبارات المرور

   • انخفاض طلبات إعادة التعيين

   • عدد العبارات المحظورة (ضمن القوائم السوداء)

   • مؤشرات الاحتكاك المبلغ عنها من المستخدمين

سياسات تقنية داعمة لجعل التغيير دائمًا

لنجاح التحول إلى عبارات المرور، تحتاج سياسات Active Directory إلى تحديثات محددة:

• رفع الحد الأدنى للطول إلى 14 حرفًا على الأقل لدعم العبارات دون الإضرار بالمستخدمين القدامى.

• إلغاء متطلبات التعقيد الإجباري للحروف الكبيرة والرموز، فالأمان يتحقق بالطول لا بالتعقيد الظاهري.

• منع استخدام بيانات اعتماد مخترقة عبر مقارنة العبارات بقواعد بيانات كلمات المرور المسربة في الوقت الفعلي.

تساعد أدوات مثل Specops Password Policy في تنفيذ هذه التغييرات، إذ توفر:

• رفع الحد الأدنى للطول.

• حظر أكثر من 4 مليارات كلمة مرور مسربة.

• تكاملًا مع أنظمة إعادة تعيين كلمة المرور الذاتية (SSPR).
  كما تُحدّث قوائم الحظر تلقائيًا مع ظهور تسريبات جديدة.

الأمان الفعلي الذي تحتاجه المؤسسات

تخيل أن مؤسستك تطبّق سياسة تطلب 15 حرفًا دون قواعد تعقيد. يقوم المستخدم بإنشاء عبارة مثل umbrella-coaster-fountain-sketch، ويجتاز الفحص لأنها غير مُسربة. يمكنه تذكّرها بسهولة دون الحاجة إلى مدير كلمات مرور، ولن يعيد استخدامها لأنها فريدة.
بعد ستة أشهر، لا حاجة لإعادة التعيين، ولا ملاحظات لاصقة على المكتب، ولا اتصالات بالدعم الفني. فقط سياسة أذكى وأكثر واقعية.

عبارات المرور ليست عصا سحرية — فالمصادقة متعددة العوامل (MFA) ومراقبة بيانات الاعتماد المسربة تبقى ضرورية — لكنها الخطوة الأكثر فعالية لتحسين أمان المستخدمين وتقليل العبء الإداري: الطول، البساطة، والاعتماد على بيانات موثوقة.