دراسة: مقياس قوة «باس وورد» يـدفع المستخدمين إلى اختيار «كلمات أقوى»
توصلت دراسة إلى أن مقياس قوة كلمات المرور، المستخدم في العديد من مواقع الإنترنت عند إنشاء حساب جديد، أو إعادة تعيين الكلمة، يساعد المستخدمين على اختيار كلمات مرور أقوى لم يسبق لهم استخدامها في حسابات أخرى، وهو ما يُصعِّب من تعرض الحسابات للاختراق.
كما وجدت الدراسة أنه كان من السهل على المستخدمين تذكر الكلمات الجديدة والقوية، بالسهولة نفسها لتذكر الكلمات الأضعف. وتحمل الدراسة عنوان «هل تشمل كلمة مروري 11 حرفاً؟.. أثر مقياس قوة كلمات المرور على اختيارها». وشارك فيها باحثون من جامعتي «كاليفورنيا» في بيركلي، و«كولومبيا البريطانية» في فانكوفر بكندا، إضافة إلى شركة «مايكروسوفت» الأميركية. وهي واحدة من أولى الدراسات التي تختبر أثر مقياس قوة كلمات المرور في المستخدمين، بهدف تقديم إرشادات مفيدة لهم، وللمتخصصين بحماية أمن الإنترنت.
كلمات مرور قوية
وتفصيلاً، أشارت الدراسة إلى أن مقاييس قوة كلمات المرور كان لها أثر ملحوظ في تشجيع المستخدمين على اختيار كلمات قوية، عند إعادة تعيين كلمات المرور لحسابات قائمة بالفعل، بينما لم يكن لها الأثر نفسه عند التسجيل لإنشاء حساب جديد، أو عند تسجيل المستخدمين لإنشاء حسابات يعتبرونها غير مهمة. وفسر الباحث في جامعة كاليفورنيا والمؤلف الرئيس للدراسة، سيرجي إنجيلمان، ذلك بقوله إن «الاحتمال الأكثر شيوعاً هو اختيار المستخدم لكلمة مرور يستخدمها بالفعل في حساب آخر، بسبب عدم اكتراثه بأهمية الحساب، أو أن هذا ما اعتاده عند التسجيل لإنشاء حساب جديد».
وأضاف أنه «عندما كررنا التجربة ذاتها في سياق مختلف، وهو تغيير كلمة المرور لحساب يتمتع بأهمية كبيرة، كان لمقياس قوة كلمة المرورر أثر ملحوظ في سلوك المستخدمين في اختيار كلمات أقوى».
وتضمنت الدراسة تجربة شارك فيها منتسبون لجامعة «كولومبيا البريطانية»، وطُلب منهم اختبار قابلية استخدام بوابة إلكترونية يستخدمها الطلبة والأساتذة وموظفو الجامعة لخدمات، مثل البريد الإلكتروني والتقييمات الدراسية. وبمجرد أن سجلوا الدخول، تلقوا إشعاراً بضرورة تغيير كلمة المرور.
وبينما لم يحتفظ جهاز الكمبيوتر بالكلمات التي اختاروها فعلياً، احتفظ بنص مشفر لكلمات المرور، كما قارن بين صفات كل من كلمتي المرور الجديدة والقديمة من حيث طولها، واشتمالها على حروف كبيرة وصغيرة، وأرقام، ورموز خاصة.
وخلال التجربة، لم يظهر أمام مجموعة من المشاركين أي قياس لقوة كلمة المرور، واستخدم الباحثون مع مجموعة أخرى قياساً يُصنِّف كلمات المرور المختارة إلى «ضعيفة»، و«متوسطة»، و«قوية».
واعتمد الباحثون مع المجموعة الثالثة قياساً يعتمد على تحفيز المستخدمين، بمقارنة الكلمات التي يختارونها مع غيرهم من المشاركين؛ مثل عرض عبارة «الكلمة أقوى بنسبة 60٪ من المستخدمين الآخرين».
وأظهرت نتائج التجربة أن المستخدمين الذين عُرض لهم تقييم لقوة كلمات المرور، اختاروا كلمات مرور أقوى بدرجة ملحوظة، مقارنة مع مجموعة التحكم التي لم يتم تنبيهها بأي شكل.
واعتمدت الدراسة على تقنية «زيرو أوردر إنتروبي» وهي إحدى التقنيات الشائعة لتقييم قوة كلمات المرور، وكان معدل قوة كلمة المرور للمجموعة التي لم يُقدم لها أي مقياس 49.3 بايت، وهو معدل قوة كلمات المرور القديمة نفسه. بينما ازداد المعدل إلى 60.8 بايت لدى المجموعة الثانية، ووصل إلى 64.9 بايت لدى المستخدمين الذين تم تحفيزهم بمقارنة كلمات مرورهم مع مستخدمين آخرين.
وإضافة إلى هذه التقنية، رأى الباحثون أن كلمات المرور التي اختارها المستخدمون بمساعدة مقياس قوة كلمات المرور، كانت أطول وراوحت في المتوسط بين تسع و10 حروف، كما تضمنت عدداً أكبر من الرموز والحروف الصغيرة.
وكرر الباحثون التجربة بعد مرور أسبوعين، لاختبار قدرة المستخدمين على تذكر كلمات المرور الجديدة، وظهر أن الأشخاص الذين اختاروا كلمات مرور قوية، لم يواجهوا صعوبات في تذكر كلمات مرورهم الجديدة، أو يعودوا لكتابة الكلمات القديمة، مقارنة مع من اختاروا كلمات مرور أضعف.
مقاومة الاختراق
وعلى جانب آخر، وعلى الرغم من التأثير الإيجابي لمقاييس كلمة المرور في تشجيع المستخدمين على اختيار كلمات مرور قوية، فإنها لا تضمن اختيار كلمات مرور أشد مقاومة للاختراق. ويرجع ذلك إلى التقنية المستخدمة في تقييم قوة الكلمات؛ فيمنح تقييماً مرتفعاً لكلمة مثل ScertPa$$word1، في حين أنها من أوسع كلمات المرور انتشاراً وأكثرها عُرضة للاختراق في الهجمات العادية. بينما يعطي تقييماً أقل بكثير لكلمات أصعب تتطلب وقتاً طويلاً لاختراقها، ما يشير إلى ضرورة تحسين المعيار المستخدم لقياس قوة كلمات المرور، مثل إضافة تنبيه المستخدمين لتجنب كلمات المرور الأوسع انتشاراً. ويرى «إيجيلمان» أنه لم يثبت أن تحسين مقاييس قوة الكلمات لن يؤدي إلى الأثر نفسه في المستخدمين؛ فهم لا يعرفون أية معادلات يتم اعتمادها في تقييم قوة كلمات المرور. وقال إن «ما يعرفونه هو قيامهم بتصرفات معينة، ثم تلقّي تقييم على ما يفعلونه، وهم يحاولون مرة بعد أخرى ليتلقوا التقييم الذي يرضيهم، أظن أننا لو غيرنا الأسلوب الذي نبني عليه هذا التقييم، فسيكون بإمكاننا التأثير في المستخدمين بالطريقة نفسها». وتعتمد الكثير من مواقع الإنترنت قياس قوة كلمات المرور للمستخدمين، فمن بين المواقع الـ20 الأولى في تصنيف «أليكسا» تقدم 15 منها هذا المقياس. وعلى الرغم من ذلك، فإن «إيجيلمان» يبدي اندهاشه من إهمال نسبة كبيرة من مواقع الخدمات المصرفية عبر الإنترنت والشبكات الداخلية للشركات اعتماد هذه المقاييس.