چرا تغییر رمز هر 90 روز یکبار دیگر توصیه نمی‌شود

شاید شما هم شنیده باشید که باید رمز عبور خودمان را هر 90 روز یکبار تغییر دهیم. اما آیا امروزه با قوی‌تر شدن سخت‌افزارهای شکستن رمز عبور، این ترفند هنوز جوابگو هست؟ به همین خاطر در ادامه به سراغ بررسی این موضوع رفته و از روش‌های نوین برای محافظت از حساب کاربری برایتان خواهیم گفت.

فهرست مطالب این مقاله:

- قانون 90 روزه از کجا آمده است؟
- چرا تغییر مداوم رمز عبور می‌تواند امنیت را کاهش دهد؟
- تغییر دیدگاه کارشناسان امنیتی نسبت به تغییر رمز
- طول رمز عبور مهم‌تر از پیچیدگی آن است
- چه زمانی واقعاً باید رمز عبور را تغییر داد؟
- روش‌های مدرن برای محافظت از حساب‌های آنلاین

مقدمه

در بسیاری از سازمان‌ها، دانشگاه‌ها و شرکت‌ها برای سال‌ها یک سیاست امنیتی ثابت وجود داشت. کاربران باید در بازه‌های زمانی مشخص، معمولاً هر چند ماه یک‌بار، رمز عبور حساب‌های خود را تغییر دهند. هدف از این سیاست جلوگیری از سوءاستفاده مهاجمان از رمزهای عبوری بود که به مرور زمان افشا می‌شدند.

با این حال، روش‌های حمله سایبری در سال‌های اخیر تغییر کرده است. در گذشته مهاجمان تلاش می‌کردند با استفاده از قدرت پردازشی بالا رمزهای عبور را به‌صورت مستقیم بشکنند، اما امروزه روش‌هایی مانند فیشینگ، مهندسی اجتماعی و استفاده از پایگاه‌های داده سرقت‌شده بسیار رایج‌تر شده‌اند. در چنین شرایطی، تغییر دوره‌ای رمز عبور دیگر نقش تعیین‌کننده‌ای در جلوگیری از نفوذ ندارد.

قانون 90 روزه از کجا آمده است؟

قانون تغییر رمز عبور هر 90 روز به دوره‌ای بازمی‌گردد که قدرت پردازشی کامپیوترها بسیار کمتر از امروز بود. در آن زمان شکستن یک رمز عبور هش‌شده ممکن بود هفته‌ها یا حتی ماه‌ها طول بکشد. بنابراین اگر کاربر پیش از آنکه مهاجم موفق به شکستن رمز شود آن را تغییر می‌داد، عملاً حمله بی‌نتیجه می‌ماند.

به همین دلیل بسیاری از سازمان‌ها و تیم‌های امنیتی، سیاستی را اجرا کردند که کاربران باید در بازه‌های زمانی مشخص رمز عبور خود را تغییر دهند. این سیاست در آن زمان منطقی به نظر می‌رسید، اما با پیشرفت فناوری و تغییر روش‌های حمله، این فرض دیگر چندان معتبر نیست.

در همین رابطه بخوانید:

- راهکارهای افزایش امنیت اطلاعات کامپیوتر + اشتباهات رایج

چرا تغییر مداوم رمز عبور می‌تواند امنیت را کاهش دهد؟

یکی از مهم‌ترین مشکلات تغییر مکرر رمز عبور این است که کاربران معمولاً برای ساخت رمز جدید از الگوهای بسیار ساده استفاده می‌کنند. وقتی فردی مجبور باشد هر چند ماه یک‌بار رمز خود را تغییر دهد، اغلب به جای ساخت یک رمز کاملاً جدید، تنها تغییر کوچکی در رمز قبلی ایجاد می‌کند.

برای مثال ممکن است عددی به انتهای رمز اضافه شود یا فصل و سال در آن تغییر کند. این تغییرات بسیار قابل پیش‌بینی هستند و ابزارهای مدرن شکستن رمز عبور دقیقاً برای تشخیص چنین الگوهایی طراحی شده‌اند.

عامل مهم دیگر پدیده‌ای است که کارشناسان امنیتی آن را «خستگی رمز عبور» می‌نامند. وقتی کاربران مجبور باشند ده‌ها رمز عبور را در بازه‌های زمانی کوتاه تغییر دهند، مدیریت این اطلاعات برای آن‌ها دشوار و خسته‌کننده می‌شود. در نتیجه بسیاری از افراد به راه‌حل‌های ساده‌تر روی می‌آورند.

برخی کاربران از یک رمز مشابه برای چند حساب استفاده می‌کنند، بعضی رمزهای خود را در فایل‌های متنی ذخیره می‌کنند و عده‌ای حتی آن‌ها را روی کاغذ یادداشت می‌کنند. در چنین شرایطی هدف اصلی که همان افزایش امنیت است عملاً از بین می‌رود.

تحقیقات نشان می‌دهد وقتی کاربران بدانند در آینده نزدیک مجبور به تغییر دوباره رمز عبور هستند، تمایل کمتری برای انتخاب رمزهای پیچیده و قوی دارند.

بنابراین کاربران ترجیح می‌دهند رمز ساده‌تری انتخاب کنند تا بتوانند آن را راحت‌تر به خاطر بسپارند. این موضوع باعث می‌شود کیفیت کلی رمزهای عبور کاهش پیدا کند.

تغییر دیدگاه کارشناسان امنیتی درباره تغییر رمز

در سال‌های اخیر بسیاری از نهادهای امنیتی دیدگاه خود درباره سیاست تغییر دوره‌ای رمز عبور را تغییر داده‌اند. یکی از مهم‌ترین این نهادها National Institute of Standards and Technology است که دستورالعمل‌های جدید خود را در سند SP 800-63B منتشر کرده است. بر اساس این دستورالعمل‌ها، تغییر دوره‌ای رمز عبور نباید به صورت اجباری انجام شود مگر اینکه نشانه‌ای از نفوذ یا نقض امنیت وجود داشته باشد.

در رویکرد جدید تأکید اصلی بر انتخاب رمزهای قوی از ابتداست. طبق این دستورالعمل‌ها، رمز عبور در سیستم‌هایی که تنها از یک عامل احراز هویت استفاده می‌کنند باید حداقل 15 کاراکتر داشته باشد. در صورتی که از احراز هویت دو مرحله‌ای استفاده شود، طول کمتر رمز نیز می‌تواند قابل قبول باشد زیرا عامل دوم امنیت اضافی ایجاد می‌کند.

طول رمز عبور مهم‌تر از پیچیدگی آن است

یکی از تغییرات مهم در توصیه‌های امنیتی جدید، انتقال تمرکز از پیچیدگی به طول رمز عبور است. در گذشته معمولاً از کاربران خواسته می‌شد ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نمادها را در رمز عبور خود استفاده کنند. اما تجربه نشان داده است که چنین قوانینی اغلب باعث ایجاد الگوهای قابل پیش‌بینی می‌شود.

برای مثال بسیاری از کاربران برای رعایت این قوانین تنها چند تغییر کوچک در کلمات ساده ایجاد می‌کنند. در مقابل استفاده از یک عبارت عبور طولانی می‌تواند هم امنیت بیشتری داشته باشد و هم راحت‌تر به خاطر سپرده شود. عبارتی متشکل از چند کلمه تصادفی معمولاً بسیار قوی‌تر از یک رمز کوتاه اما پیچیده است.

چه زمانی واقعاً باید رمز عبور را تغییر داد؟

اینکه تغییر دوره‌ای رمز عبور دیگر توصیه نمی‌شود به این معنا نیست که کاربران هرگز نباید رمز خود را تغییر دهند. در واقع در برخی شرایط تغییر رمز عبور اقدامی کاملاً ضروری محسوب می‌شود. یکی از مهم‌ترین این شرایط زمانی است که یک سرویس آنلاین دچار نشت اطلاعات شود.

اگر پایگاه داده یک وب‌سایت هک شود و اطلاعات کاربران منتشر گردد، بهترین اقدام این است که کاربران بلافاصله رمز عبور خود را تغییر دهند. سرویس‌هایی مانند Have I Been Pwned امکان بررسی این موضوع را فراهم می‌کنند که آیا اطلاعات یک حساب در نشت‌های داده‌ای شناخته‌شده ظاهر شده است یا خیر.

نشانه‌های دیگری نیز وجود دارند که می‌توانند احتمال نفوذ را نشان دهند. برای مثال اگر کاربر هشدار ورود از موقعیت جغرافیایی ناشناس دریافت کند، ایمیلی درباره تغییر رمز عبور دریافت کند که خودش درخواست نکرده یا متوجه تغییرات غیرمنتظره در تنظیمات حساب شود، باید فوراً رمز عبور خود را تغییر دهد و امنیت حساب‌های دیگر را نیز بررسی کند.

همچنین اگر رمز عبور قبلاً با شخص دیگری به اشتراک گذاشته شده باشد و آن شخص دیگر نیازی به دسترسی نداشته باشد، بهتر است رمز عبور تغییر یابد. در نهایت اگر کاربر هنوز از رمز عبور ضعیفی استفاده می‌کند که سال‌ها پیش ساخته شده است، اکنون زمان مناسبی برای انتخاب یک رمز قوی‌تر خواهد بود.

روش‌های مدرن برای محافظت از حساب‌های آنلاین

در دنیای امروز امنیت حساب‌های آنلاین تنها به رمز عبور وابسته نیست. یکی از مؤثرترین روش‌ها برای افزایش امنیت، فعال کردن احراز هویت دو مرحله‌ای است. در این روش علاوه بر رمز عبور، یک عامل دوم نیز برای ورود به حساب لازم است.

این عامل می‌تواند یک کد موقت در برنامه احراز هویت یا یک کلید امنیتی سخت‌افزاری باشد. به این ترتیب حتی اگر رمز عبور سرقت شود، مهاجم بدون دسترسی به عامل دوم نمی‌تواند وارد حساب شود.

در همین رابطه بخوانید:

- آیا ویندوز 11 به آنتی ویروس نیاز دارد؟

استفاده از مدیران رمز عبور نیز راهکار مهم دیگری محسوب می‌شود. این ابزارها می‌توانند برای هر حساب یک رمز عبور طولانی و تصادفی ایجاد کنند و آن را به صورت امن ذخیره نمایند. کاربر تنها باید یک رمز اصلی قوی را به خاطر بسپارد و بقیه رمزها به صورت خودکار مدیریت می‌شوند.

بسیاری از این برنامه‌ها همچنین در صورت مشاهده رمز عبور در پایگاه‌های داده هک‌شده به کاربر هشدار می‌دهند. فناوری جدیدی به نام Passkey نیز در حال گسترش است. در این روش به جای استفاده از رمز عبور سنتی، از کلیدهای رمزنگاری ذخیره‌شده روی دستگاه استفاده می‌شود که معمولاً با اثر انگشت، تشخیص چهره یا یک کد پین تأیید می‌شوند.

شرکت‌هایی مانند Google و Apple و Microsoft از این فناوری پشتیبانی می‌کنند. از آنجا که در این روش رمزی برای سرقت وجود ندارد، بسیاری از حملات فیشینگ عملاً بی‌اثر می‌شوند.

جمع‌بندی

قانون تغییر رمز عبور هر 90 روز زمانی یکی از اصول رایج امنیت دیجیتال محسوب می‌شد، اما پیشرفت فناوری و تغییر روش‌های حمله باعث شده است این توصیه دیگر کارایی گذشته را نداشته باشد. تحقیقات نشان می‌دهد اجبار کاربران به تغییر مداوم رمز عبور اغلب باعث ایجاد الگوهای قابل پیش‌بینی و رمزهای ضعیف‌تر می‌شود.

امروزه کارشناسان امنیت سایبری توصیه می‌کنند تمرکز کاربران به جای تغییر مکرر رمز عبور بر انتخاب رمزهای طولانی و قوی، فعال کردن احراز هویت دو مرحله‌ای، استفاده از مدیران رمز عبور و بررسی نشت اطلاعات حساب‌ها باشد. با ظهور فناوری‌هایی مانند Passkey نیز ممکن است در آینده نه‌چندان دور نیاز به رمز عبور به‌طور کامل از بین برود.

سوالات متداول

آیا تغییر رمز عبور هر 90 روز هنوز لازم است؟

خیر. بسیاری از کارشناسان امنیتی و نهادهایی مانند NIST دیگر تغییر دوره‌ای رمز عبور را توصیه نمی‌کنند مگر اینکه نشانه‌ای از نفوذ یا نشت اطلاعات وجود داشته باشد.

آیا تغییر زیاد رمز عبور می‌تواند خطرناک باشد؟

در برخی موارد بله. تغییر مداوم رمز عبور می‌تواند باعث شود کاربران از الگوهای ساده و قابل پیش‌بینی استفاده کنند یا رمزهای ضعیف‌تری بسازند.

یک رمز عبور قوی چه ویژگی‌هایی دارد؟

رمز عبور قوی معمولاً طول زیادی دارد و بهتر است به شکل یک عبارت عبور متشکل از چند کلمه تصادفی ساخته شود.

آیا احراز هویت دو مرحله‌ای ضروری است؟

فعال کردن احراز هویت دو مرحله‌ای یکی از مؤثرترین راه‌ها برای محافظت از حساب‌های آنلاین محسوب می‌شود.

Passkey چیست و چه مزیتی دارد؟

Passkey روشی جدید برای ورود به حساب‌هاست که به جای رمز عبور از کلیدهای رمزنگاری ذخیره‌شده روی دستگاه استفاده می‌کند. این روش می‌تواند بسیاری از حملات فیشینگ را بی‌اثر کند.