مرحلة إعداد الموظفين الجدد (Onboarding) تمثل ضغطًا كبيرًا على فرق تقنية المعلومات، حيث يتعين عليهم تجهيز الأجهزة، إنشاء الحسابات، منح الصلاحيات، وتوفير كلمات المرور في وقت قصير. غالبًا ما يتم ذلك عبر مشاركة كلمة مرور مؤقتة تُعرف بـ”كلمة اليوم الأول”، لكن المشكلة أن هذه الكلمة لا تبقى مؤقتة دائمًا.
فقد يتم إرسالها عبر البريد الإلكتروني أو الرسائل النصية، أو يعاد استخدامها في أكثر من حساب، أو لا يتم تغييرها مطلقًا، مما يفتح ثغرة خطيرة أمام المهاجمين الباحثين عن طرق سهلة لاختراق الأنظمة المؤسسية.
عندما تتغلب سهولة الاستخدام على الأمن
الطريقة الأكثر شيوعًا لتسليم كلمات المرور الأولية هي إرسالها نصًا عبر البريد أو الرسائل القصيرة. هذه الطريقة سريعة ومريحة لكنها تخلق نقطة ضعف واضحة؛ فإذا تم اعتراض الرسالة أو الوصول إليها عبر جهاز غير آمن، يحصل المهاجم على مدخل مباشر إلى حسابات الشركة.
البديل هو مشاركة كلمة المرور شفهيًا، سواء وجهًا لوجه أو عبر الهاتف، وهو ما يقلل من خطر الاعتراض الرقمي لكنه يضيف تحديات تشغيلية، مثل تنسيق المواعيد بين فرق تقنية المعلومات والموظفين الجدد، أو اعتماد مدراء ووسطاء لنقل المعلومات، مما يزيد احتمالية سوء الاستخدام أو التسريب.
في النهاية، كلا الأسلوبين لا يوفران أمانًا أو قابلية للتوسع، وغالبًا ما تتحول كلمات المرور المؤقتة إلى نقطة ضعف طويلة الأمد بدلًا من أن تكون خطوة انتقالية قصيرة.
حلول أكثر أمانًا لإدارة كلمات المرور
ظهرت حلول متخصصة مثل Specops First Day Password ضمن حزمة Specops uReset، والتي تلغي الحاجة لتوزيع كلمات مرور اليوم الأول.
بدلًا من استلام كلمة مرور مؤقتة عبر البريد أو الهاتف، يقوم الموظف الجديد بإنشاء كلمة المرور بنفسه عبر عملية تسجيل آمنة. يتلقى المستخدم رابط تسجيل عبر بريده الشخصي أو رسالة نصية، أو خيار “إعادة تعيين كلمة المرور” على جهازه المرتبط بالنطاق، وبعد التحقق من هويته يمكنه إنشاء كلمة مرور متوافقة مع سياسات المؤسسة منذ البداية.
هذا الأسلوب يقلل من مخاطر الاعتراض أو سوء الاستخدام، ويجعل العملية أكثر سهولة لكل من فرق تقنية المعلومات والموظفين الجدد.
أمثلة واقعية على خطورة الإهمال
في نوفمبر 2023، تعرضت هيئة المياه البلدية في عليكويبا – بنسلفانيا لهجوم من مجموعة “Cyber Av3ngers” المرتبطة بإيران، حيث استغل المهاجمون وحدة تحكم صناعية محمية بكلمة المرور الافتراضية “1111”، ما منحهم القدرة على التحكم بمحطة ضخ عن بُعد. ورغم عدم تأثر إمدادات المياه، إلا أن الحادثة دفعت وكالة CISA الأميركية للتحذير من ضرورة تغيير كلمات المرور الافتراضية وفصل الأنظمة عن الإنترنت المفتوح.
وفي عام 2025، اكتشف الباحثون أن منصة التوظيف الذكية McHire التابعة لماكدونالدز يمكن الوصول إليها عبر حساب إداري قديم يستخدم “123456” كاسم مستخدم وكلمة مرور. المنصة، التي تديرها شركة Paradox.ai، كانت تتعامل مع بيانات ملايين المتقدمين، وقد تمكن الباحثون من الوصول إلى بيئة اختبارية تضم أكثر من 64 مليون طلب توظيف. ورغم أن الشركة أصلحت الثغرة بسرعة، إلا أن الحادثة أبرزت خطورة الإبقاء على كلمات مرور افتراضية أو تجريبية متصلة بأنظمة حية.
