نشرت مدونة جيزمادو قائمة بأشهر كلمات المرور في ٢٠١٤، تسخر فيه من الحمقى الذين يعرضون بياناتهم للخطر بهذه الطريقة. وما يدعو للسخرية، أنه يجدر التذكير بكون جيزمادو ممتلكة من شركة جاوكر ميديا، والتي أصبحت عنواناً لسوء إدارة كلمات المرور في ٢٠١٠، عندما نجح المهاجمون بالإيقاع بشبكات جاوكر وفك تشفير ما يقارب 200,000 كلمة مرورسيئة. ألن يكون من المثير للاهتمام مقارنة نشاط جيزمادو الحالي بما حصل عام ٢٠١٠؟
والمثير للاهتمام، أن ١٦ من بين ٢٥ كلمة مرور على قائمة هذه السنة لأشهر كلمات المرور كانت أيضاً على قائمة أكثر كلمات المرور استخداماً من اختراق بيانات جاوكر في ٢٠١٠. وإذا ألقينا نظرة على أكثر ٥٠ كلمة مرور شائعة كشفها اختراق جاوكر، نجد بأن هناك ٤ كلمات مرور جديدة فقط لم تكن موجودة على كلا القائمتين. لذا إذا كانت كلمة مرورك هي “access” أو “mustang” أو الكلمة المثيرة للضحك “696969” فعلى الأغلب أنك تقوم بعمل أفضل من غيرك.
“تغير القليل منذ حادثة اختراق جاوكر إلى قائمة هذه السنة من #كلمات_المرور السيئة”
Tweet
والقائمة بحد ذاتها هي عبارة عن تجميع لبيانات الدخول التي تتضمن تسريبات في البيانات من السنة، تم تجميعها من قبل القطاع الأمني في سبلاش داتا. وكما يمكنك الملاحظة، تقوم سبلاش داتا بتجميع كلمات المرور كل سنة، مع توضيح الفروقات فيما يخص كل كلمة على حدة:
123456 (لا تغيير)
password (لا تغيير)
12345 (أكثر ١٧)
12345678 (أقل ١)
qwerty (أقل ١)
123456789 (لا تغيير)
1234 (أكثر ٩)
baseball (جديدة)
dragon (جديدة)
footaball (جديدة)
1234567 (أقل ٤)
monkey (أكثر ٥)
letmein (أكثر ١)
abc123 (أقل ٩)
111111 (أقل ٨)
mustang (جديدة)
access (جديدة)
shadow (لا تغيير)
master (جديدة)
michael (جديدة)
superman (جديدة)
696969 (جديدة)
123123 (أقل ١٢)
batman (جديدة)
trsutno1 (أقل ١)
ومن المثير للاهتمام بأن ٨٠٪ من كلمات المرور المصنفة “جديدة” على القائمة كانت على أفضل ٥٠ كلمة مرور ضمن كلمات مرور جاوكر منذ أكثر من ٤ سنوات. كما يلفت الانتباه أن كلمة “123456789” ليست جديدة لقائمة سبلاش داتا، إلا أنها لم تظهر ضمن قائمة جاوكر غير الشهيرة لأفضل ٥٠ كلمة.
The 25 most popular passwords of 2014 are a reminder that we're all morons: http://t.co/uIT1t3dYRG pic.twitter.com/JhDByxjWep
— Gizmodo (@Gizmodo) January 20, 2015
وفعلياً، كانت كلمات مرور جاوكر المسربة مشفرة، إلا أنه تم فك تشفير 188,000 بسهولة بناء على الهاش الخاص بها. ويعتبر تشفير مخازن كلمات المرور من أقل المتطلبات الأمنية، وما استفدناه من قرصنة جاوكر أن حتى من يدعون بأنهم عباقرة التكنولوجيا سيئون فيما يتعلق بإدارة كلمات المرور.
والفكرة من هذه القصة ليست جديدة أو مستحدثة: الأشخاص سيئون في اختيار كلمات المرور، كما أنهم ضعيفون في النواحي الأمنية إجمالاً، لذا يجب أن تتولى القطاعات الأمنية هذه المسائل على عاتقها. فلا يمكنك لوم المستخدمين لاختراقات البيانات كالتي ألهمت هذه القائمة أو قادت إلى تسريب آلاف صور المشاهير.
وقد أخبرتكم بالفعل كيف يمكنكم إنشاء كلمات مرور قوية وتذكرها، فالموضوع ليس بغاية التعقيد، والواقع بأننا نعلم المخاطر المرتبطة بكلمات المرور الضعيفة إلا أننا نختار تجاهلها، ونعرف كيفية إنشاء كلمات مرور قوية، إلا أننا نشعر بالكسل من إنشاء كلمات مرور فريدة وخاصة بكل حساب من الحسابات الكثيرة التي نملكها.
لذا، فإن الجهود المقدمة من نوعية “Digits” من تويتر، أو TouchID من أبل، أو غيرها من الخدمات التي تعتمد على خاصية التحقق المزدوج واعدة للغاية. ونعرف بأنها ليست مثالية، إلا أنها تقدم لنا فرصة تجربة نماذج جديدة من التحقق، قد يقودنا إلى نماذج أخرى أفضل من النماذج الحالية المليئة بنقاط الضعف، وهي: كلمات المرور.