نشرت Digital Shadows، الشركة الرائدة في مجال استخبارات التهديدات والحماية من المخاطر الرقمية، دراسة جديدة تحدد حجم اختراق كلمات المرور عالميا.
وكشف الخبراء أن هناك أكثر من 24 مليار اسم مستخدم ومجموعات كلمات مرور متداولة في أسواق مجرمي الإنترنت، والعديد منها على الويب المظلم، ويمثل هذا الرقم زيادة بنسبة 65% عن التقرير السابق في عام 2020.
وتشير الدراسة إلى أن عددا صادما منهم يستخدمون كلمات مرور سهلة للغاية، على الرغم من التحذيرات المتكررة.
ويتم تداول العديد منها على شبكة الإنترنت المظلمة حيث يختبأ مجرمو الإنترنت.
ومن المثير للقلق أن الناس يواصلون استخدام كلمات مرور سهلة التخمين. ووجدت Digital Shadows أن كلمة "password" جنبا إلى جنب مع كلمة "qwerty" الكلاسيكية، تصنف من بين أفضل 50 كلمة مرور شائعة سهلة التخمين بشكل لا يصدق على الويب.
كما توصلت الدراسة إلى أن واحدا من كل 200 تقريبا يستخدم كلمة السر "123456".
ويقول خبراء شركة Digital Shadows إن 49 كلمة مرور من أصل 50 كلمة مرور شائعة الاستخدام يمكن "اختراقها" في أقل من ثانية واحدة عبر أدوات سهلة الاستخدام ومتوفرة بشكل شائع في المنتديات الإجرامية.
ويمكن لإضافة رمز خاص مثل # أو * أن يزيد نحو 90 دقيقة إلى الوقت الذي يستغرقه المحتال في حل كلمة المرور.
وبمجرد أن يخرق المتسلل قاعدة بيانات كلمات المرور ويأخذ البيانات، يمكنه المضي قدما في فعل شيء يسمى حشو بيانات الاعتماد، حيث يجرب نفس أسماء المستخدمين وكلمات المرور على الكثير من المواقع الأخرى، لمعرفة ما إذا كنت تستخدم نفس تفاصيل تسجيل الدخول.
وقال كريس مورغان، كبير محللي استخبارات التهديدات الإلكترونية في شركة Digital Shadows: "سننتقل إلى مستقبل دون كلمة مرور، ولكن في الوقت الحالي أصبحت قضية اختراق بيانات الاعتماد خارج نطاق السيطرة. لدى المجرمين قائمة لا حصر لها من بيانات الاعتماد المخترقة التي يمكنهم تجربتها، ولكن إضافة كلمات مرور ضعيفة إلى هذه المشكلة يعني أنه يمكن تخمين العديد من الحسابات باستخدام أدوات آلية في ثوان فقط".
ويحث الخبراء المستخدمين على التفكير في استخدام "مدير كلمات المرور" (password manager)، وهو تطبيق برمجي يساعد في توليد واسترجاع كلمات السر المعقدة، ويحتمل أن يتم تخزين كلمات السر هذه في قاعدة بيانات مشفرة، أو حساب مخصص على الطلب من قبل المستخدم نفسه.
ويمكن أيضا استخدام المصادقة متعددة العوامل (MFA) إذا كانت متوفرة، ما يسمح للأشخاص بتأكيد هويتهم باستخدام أرقام التعريف الشخصية أو التعرف على الوجه أو بصمات الأصابع بدلا من كلمة المرور.
ومن الأفضل أيضا استخدام كلمات مرور فريدة لكل موقع تستخدمه، وليس كلمة مرور واحدة للجميع.