توصيات نهج كلمة المرور لكلمات مرور Microsoft 365

اطلع على جميع محتويات الشركات الصغيرة الخاصة بنا حول مساعدة الشركات الصغيرة وتعليمها.

بصفتك مسؤول مؤسسة، فأنت مسؤول عن تعيين نهج كلمة المرور للمستخدمين في مؤسستك. يمكن أن يكون تعيين نهج كلمة المرور معقدا ومربكا، وتوفر هذه المقالة توصيات لجعل مؤسستك أكثر أمانا ضد هجمات كلمات المرور.

تحتوي حسابات Microsoft السحابية فقط على نهج كلمة مرور محدد مسبقا لا يمكن تغييره. العناصر الوحيدة التي يمكنك تغييرها هي عدد الأيام حتى تنتهي صلاحية كلمة المرور وما إذا كانت كلمات المرور تنتهي أم لا على الإطلاق.

لتحديد عدد مرات انتهاء صلاحية كلمات مرور Microsoft 365 في مؤسستك، راجع تعيين نهج انتهاء صلاحية كلمة المرور ل Microsoft 365.

لمزيد من المعلومات حول كلمات مرور Microsoft 365، راجع:

إعادة تعيين كلمات المرور (مقالة)

تعيين كلمة مرور مستخدم فردية حتى لا تنتهي صلاحيتها أبدا (مقالة)

السماح للمستخدمين بإعادة تعيين كلمات المرور الخاصة بهم (مقالة)

إعادة إرسال كلمة مرور المستخدم (مقالة)

حان الوقت لإعادة التفكير في تغييرات كلمة المرور الإلزامية.

فهم توصيات كلمة المرور

تندرج الممارسات الجيدة لكلمات المرور في بعض الفئات الواسعة:

• مقاومة الهجمات الشائعة يتضمن ذلك اختيار المكان الذي يدخل فيه المستخدمون كلمات المرور (الأجهزة المعروفة والموثوق بها مع الكشف الجيد عن البرامج الضارة والمواقع التي تم التحقق من صحتها) واختيار كلمة المرور التي يجب اختيارها (الطول والتفرد).

• تحتوي على هجمات ناجحة تتعلق احتواء هجمات المتسللين الناجحة بالحد من التعرض لخدمة معينة، أو منع هذا الضرر تماما، إذا تمت سرقة كلمة مرور المستخدم. على سبيل المثال، التأكد من أن خرق بيانات اعتماد الشبكات الاجتماعية لا يجعل حسابك البنكي عرضة للخطر، أو عدم السماح لحساب محمي بشكل سيئ بقبول روابط إعادة التعيين لحساب مهم.

• فهم الطبيعة البشرية تفشل العديد من ممارسات كلمات المرور الصالحة في مواجهة السلوكيات البشرية الطبيعية. يعد فهم الطبيعة البشرية أمرا بالغ الأهمية لأن الأبحاث تظهر أن كل قاعدة تفرضها على المستخدمين تقريبا تؤدي إلى إضعاف جودة كلمة المرور. تؤدي متطلبات الطول ومتطلبات الأحرف الخاصة ومتطلبات تغيير كلمة المرور جميعها إلى تسوية كلمات المرور، ما يسهل على المهاجمين تخمين كلمات المرور أو اختراقها.

إرشادات كلمة المرور للمسؤولين

الهدف الأساسي من نظام كلمات المرور الأكثر أمانا هو تنوع كلمة المرور. تريد أن يحتوي نهج كلمة المرور على الكثير من كلمات المرور المختلفة والتي يصعب تخمينها. فيما يلي بعض التوصيات للحفاظ على أمان مؤسستك قدر الإمكان.

• الاحتفاظ بمتطلبات الحد الأدنى للطول من ثمانية أحرف

• لا تتطلب متطلبات تكوين الأحرف. على سبيل المثال، *&(^٪$

• لا تتطلب إعادة تعيين كلمة مرور دورية إلزامية لحسابات المستخدمين

• حظر كلمات المرور الشائعة، للحفاظ على كلمات المرور الأكثر عرضة للخطر خارج نظامك

• تثقيف المستخدمين لعدم إعادة استخدام كلمات مرور المؤسسة الخاصة بهم لأغراض غير متعلقة بالعمل

• فرض التسجيل للمصادقة متعددة العوامل

• تمكين تحديات المصادقة متعددة العوامل المستندة إلى المخاطر

إرشادات كلمة المرور للمستخدمين

فيما يلي بعض إرشادات كلمة المرور للمستخدمين في مؤسستك. تأكد من إعلام المستخدمين بهذه التوصيات وفرض نهج كلمة المرور الموصى بها على المستوى التنظيمي.

• لا تستخدم كلمة مرور هي نفسها أو مشابهة لتلك التي تستخدمها على أي مواقع ويب أخرى

• لا تستخدم كلمة واحدة، على سبيل المثال، كلمة مرور أو عبارة شائعة الاستخدام مثل Iloveyou

• جعل كلمات المرور صعبة التخمين، حتى من قبل الأشخاص الذين يعرفون الكثير عنك، مثل أسماء وأعياد الميلاد لأصدقائك وعائلتك، وفرقك المفضلة، والعبارات التي ترغب في استخدامها

بعض النهج الشائعة وتأثيراتها السلبية

إنها بعض ممارسات إدارة كلمات المرور الأكثر استخداما، ولكن الأبحاث تحذرنا من آثارها السلبية.

متطلبات انتهاء صلاحية كلمة المرور للمستخدمين

تؤدي متطلبات انتهاء صلاحية كلمة المرور إلى ضرر أكثر من الجيد، لأنها تجعل المستخدمين يحددون كلمات مرور يمكن التنبؤ بها، تتكون من كلمات وأرقام متسلسلة مرتبطة ارتباطا وثيقا ببعضها البعض. في هذه الحالات، يمكن التنبؤ بكلمة المرور التالية استنادا إلى كلمة المرور السابقة. لا تقدم متطلبات انتهاء صلاحية كلمة المرور أي مزايا احتواء لأن مجرمي الإنترنت يستخدمون بيانات الاعتماد دائما تقريبا بمجرد اختراقها.

الحد الأدنى لمتطلبات طول كلمة المرور

لتشجيع المستخدمين على التفكير في كلمة مرور فريدة، نوصي بالاحتفاظ بحد أدنى معقول من متطلبات الطول المكونة من ثمانية أحرف.

طلب استخدام مجموعات أحرف متعددة

تقلل متطلبات تعقيد كلمة المرور من المساحة الرئيسية وتتسبب في تصرف المستخدمين بطرق يمكن التنبؤ بها، مما يؤدي إلى ضرر أكثر من الجيد. تفرض معظم الأنظمة مستوى معينا من متطلبات تعقيد كلمة المرور. على سبيل المثال، تحتاج كلمات المرور إلى أحرف من جميع الفئات الثلاث التالية:

• أحرف كبيرة

• أحرف صغيرة

• أحرف غير أبجدية رقمية

يستخدم معظم الأشخاص أنماطا مماثلة. على سبيل المثال، حرف كبير في الموضع الأول ورمز في الأخير ورقم في آخر 2. مجرمو الإنترنت على دراية بهذه الأنماط، لذلك يقومون بتشغيل هجمات القاموس الخاصة بهم باستخدام الاستبدالات الأكثر شيوعا، "$" ل "s"، "@" ل "a"، "1" ل "l". إن إجبار المستخدمين على اختيار مجموعة من الأرقام العليا والسفلية والأحرف الخاصة له تأثير سلبي. حتى أن بعض متطلبات التعقيد تمنع المستخدمين من استخدام كلمات مرور آمنة ولا تنسى، وتجبرهم على الخروج بكلمات مرور أقل أمانا وأقل تنسى.

أنماط ناجحة

في المقابل، فيما يلي بعض التوصيات في تشجيع تنوع كلمة المرور.

حظر كلمات المرور الشائعة

أهم متطلبات كلمة المرور التي يجب أن تضعها على المستخدمين عند إنشاء كلمات المرور هو حظر استخدام كلمات المرور الشائعة لتقليل قابلية مؤسستك لهجمات كلمات المرور الغاشمة. تتضمن كلمات مرور المستخدم الشائعة: abcdefg، وكلمة المرور، والقرد.

تثقيف المستخدمين بعدم إعادة استخدام كلمات مرور المؤسسة في أي مكان آخر

تتمثل إحدى أهم الرسائل التي يجب الوصول إليها للمستخدمين في مؤسستك في عدم إعادة استخدام كلمة مرور المؤسسة في أي مكان آخر. يزيد استخدام كلمات مرور المؤسسة في مواقع الويب الخارجية إلى حد كبير من احتمالية تعرض مجرمي الإنترنت لكلمات المرور هذه للخطر.

فرض تسجيل المصادقة متعددة العوامل

تأكد من تحديث المستخدمين لمعلومات الاتصال والأمان، مثل عنوان بريد إلكتروني بديل أو رقم هاتف أو جهاز مسجل للإعلامات المنبثقة، حتى يتمكنوا من الاستجابة لتحديات الأمان وإخطارهم بأحداث الأمان. تساعد معلومات الاتصال والأمان المحدثة المستخدمين على التحقق من هويتهم إذا نسيوا كلمة المرور الخاصة بهم، أو إذا حاول شخص آخر الاستيلاء على حسابه. كما يوفر قناة إعلام خارج النطاق لأحداث الأمان مثل محاولات تسجيل الدخول أو كلمات المرور التي تم تغييرها.

لمعرفة المزيد، راجع إعداد المصادقة متعددة العوامل.

تمكين المصادقة متعددة العوامل المستندة إلى المخاطر

تضمن المصادقة متعددة العوامل المستندة إلى المخاطر أنه عندما يكتشف نظامنا نشاطا مشبوها، يمكن أن تتحدى المستخدم للتأكد من أنه مالك الحساب الشرعي.

الخطوات التالية

هل تريد معرفة المزيد حول إدارة كلمات المرور؟ فيما يلي بعض القراءة الموصى بها:

• نسيان كلمات المرور، الانتقال بدون كلمة مرور

• إرشادات كلمة مرور Microsoft

• هل تنجز كلمات مرور الويب القوية أي شيء؟

• قوائم كلمات المرور والمستخدم Finite-Effort

• منع كلمات المرور الضعيفة من خلال قراءة عقول المستخدمين

• اختيار كلمات المرور الآمنة

• حان الوقت لإعادة التفكير في التغييرات الإلزامية في كلمة المرور

المحتويات ذات الصلة

إعادة تعيين كلمات المرور (مقالة)
تعيين كلمة مرور مستخدم فردية حتى لا تنتهي صلاحيتها أبدا (مقالة)
السماح للمستخدمين بإعادة تعيين كلمات المرور الخاصة بهم (مقالة)
إعادة إرسال كلمة مرور المستخدم - تعليمات مسؤول (مقالة)