أحد المشاكل المتعلقة بالخصوصية والحماية أن معظم الأشخاص يعتقدون أنهم ليسوا في خطر؛ كونهم لا يمتلكون أي شيءٍ هام يجعلهم أهدافاً للقراصنة ومنفذي عمليات سرقة البيانات. لكن الواقع يُشير إلى أمرٍ مختلف تماماً، فعلى الأغلب تعرَّض معظم المستخدمين حول العالم لعملية تسريب بيانات خلال وقتٍ ما من حياتهم، ولو نظرنا لقائمة التسريبات التي يوفرها موقع "haveibeenpwned"، لامتلكنا صورة أفضل عن كمية البيانات والمعلومات المسرَّبة خلال عمليات الاختراق المتتالية التي حدثت للعديد من المواقع على مدى السنوات الماضية. في الواقع، يوجد العديد من الخدمات حالياً التي تتيح للمستخدمين معرفة إن كانت بياناتهم قد تسرّبت سابقاً ضمن أحد عمليات الاختراق، وذلك مثل موقع "haveibeenpwned" أو خدمة مونيتور من فايرفوكس.
بهذه الصورة يمكننا الاتفاق على أن كمية المعلومات والبيانات المسرّبة التي يتم تبادلها بين القراصنة كبيرة جداً، وتقديرياً، فإن هنالك أكثر من 9 مليار و660 مليون حساب مختلف تم تسريب بياناته بشكلٍ جزئيٍّ أو كامل، حتى الآن. ولكن كيف يستجيب المستخدمون لعمليات الاختراق التي تستهدف بياناتهم وحساباتهم؟ بالتحديد، هل يحرص المستخدمون على تغيير كلمات المرور الخاصة بحساباتهم؟ والأهم، هل يحرصون على استخدام كلمات مرور قوية؟
هذه الأسئلة كانت محور دراسة إحصائية لمجموعة من الباحثين في جامعة كارنيجي ميلون الأميركية، حيث حمل بحثهم عنواناً بسيطاً هو: كيف يغيّر الأشخاص كلمات المرور الخاصة بهم بعد حدوث اختراق (How do People Change Their Passwords After a Breach).
من أجل فحص سلوك المستخدمين بشكلٍ دقيق، قام الباحثون بجمع بياناتهم من الحواسيب الشخصية الخاصة بـ 249 مشاركاً بالدراسة، وذلك ضمن فترةٍ زمنية بدأت من شهر يناير سنة 2017 وانتهت شهر ديسمبر سنة 2018، وعملية جمع البيانات تضمنت أيضاً كلمات المرور التي استعملها المستخدمون من أجل الدخول للخدمات المختلفة على الإنترنت. ومن أصل العدد الكليّ للمشاركين، أظهر الباحثون أن عدداً من الحسابات الخاصة بـ 69 من المشاركين بالتجربة قد تعرّض لاختراق خلال فترة البحث، وكان أكبرها الاختراق الذي حدث لمخدمات شركة ياهو سنة 2017، الذي أدى إلى تسرّب كل البيانات الخاصة بالحسابات المتوفرة على ياهو والبالغ عددها 3 مليارات حساب. بشكلٍ عام، ركز الباحثون على تسعة اختراقات حدثت خلال فترة البحث، أحدها الاختراق الشهير الخاص بياهو.
أظهرت نتائج الدراسة حقائقَ صادمة حول سلوك المستخدمين: فمن بين كافة الأشخاص الذين يمتلكون حساباتٍ ضمن مواقع وخدمات تعرضت للاختراق، قام 21 شخصاً فقط بتغيير كلمة المرور الخاصة بهم، وفقط 15 شخص قاموا بتغيير كلمة المرور الخاصة ضمن فترة الأشهر الثلاثة الأولى من حدوث الاختراق. هذا يعني أنه في حالة تسريب بيانات المستخدمين عبر اختراق موقعٍ ما، فإن مستخدماً واحداً من أصل ثلاثة مستخدمين سيقوم بتغيير كلمة المرور الخاصة به، ما يعني أن المخترقين والقراصنة سيمتلكون فرصةً عالية جداً لتنفيذ عمليات الابتزاز.
لم تنتهي النتائج السلبية الخاصة بالدراسة عند هذا الحد، بل امتدت أيضاً لتشمل نوعية كلمات المرور التي قام المستخدمون بوضعها بعد حدوث عمليات الاختراق؛ قام الباحثون بفحص مدى التشابه بين كلمات المرور القديمة وكلمات المرور الجديدة التي قام المستخدمون بوضعها، وكذلك قاموا بفحص قوة ومتانة كلمات المرور القديمة والجديدة، وما خلصوا إليه هو أنه فقط 9 أشخاص من أصل 21 قاموا بتغيير كلمات المرور الخاصة بهم لتصبح أقوى بعد حدوث عملية الاختراق، في حين أن الباقين قاموا بتغيير كلمة المرور الخاصة بحساباتهم لتصبح أضعف، أو تكون على نفس الدرجة من القوة مع كلمة المرور القديمة. بشكلٍ عام، قام كل الأشخاص الذين غيروا كلمات المرور الخاصة بهم باستخدام أجزاء من كلمات المرور القديمة الخاصة بهم، وعلى سبيل المثال، إذا كانت كلمة المرور القديمة هي iluvDONUTS90، فإن كلمة المرور الجديدة هي ih8DONUTS90، وهي تمثل تغييراً ضعيفاً؛ لأن جزءاً كبيراً من كلمة المرور المسرّبة -وهو DONUTS90- قد تم استخدامه في كلمة المرور الجديدة، ما يعطي القراصنة فرصة مرتفعة لاكتشاف كلمة المرور الجديدة والولوج للحساب من جديد.
أخيراً، كشف الباحثون ضمن دراستهم أن معظم المستخدمين الذين قاموا بتغيير كلمات المرور الخاصة بهم على موقعٍ ما بعد حدوث اختراق، قاموا باستخدام كلمات مرور متشابهة (وأحياناً متطابقة) في مواقع أخرى. بمعنى آخر، تغيير كلمة المرور حدث فقط للموقع المخترق، في الوقت الذي قد تكون كلمة المرور المسرّبة صالحة للاستخدام في موقعٍ آخر.
على ضوء هذه المعطيات، قام الباحثون بإجراء مناقشة وتحليل من شأنها المساهمة في تحسين واقع الحماية الرقمية، خصوصاً أن كلمة المرور هي الوسيلة الأبرز التي يتم استغلالها من قِبل القراصنة والمخترقين لسرقة البيانات. هنالك العديد من الأسباب التي تدفع المستخدمين لاختيار كلمات سر ضعيفة، منها المجهود الذهني الإضافي الذي تتطلبه عملية إنشاء وتذكر كلمات سر قوية، خصوصاً في حال وجود العديد من الحسابات على الإنترنت، ما يدفع المستخدمين بنهاية المطاف لإنشاء كلمة سر يمكن حفظها بسهولة. ببعض الأحيان، لا يُبدي المستخدمون معرفة كافية لتمييز الفرق بين كلمة سر قوية وضعيفة، ويعتقد البعض أن تبديل بعض المحارف هو أمرٌ كافِ لجعل كلمة المرور أقوى.
بأي حال، يجد الباحثون أنه يتوجب على الشركات والمواقع التي تتعرض لعمليات اختراق أن تُجبر المستخدمين على إعادة تعيين كلمة المرور الخاصة بهم بعد حدوث عمليات الاختراق، وأن تختار معايير أكثر صرامة لكيفية إنشاء كلمة المرور، حيث لا يمكن الاعتماد على كيفية فهم المستخدم لمعنى كلمة المرور القوية.