الاقتصاد السلوكي لإدارة كلمات المرور في المؤسسات بقلم: “نيريش سوامي”، محلل المؤسسة لدى شركة “مانيج إنجن”

عندما يُسأل المرء عن كيفية بدء يوم عمل عادي، فمن المرجح أن تشمل إجابته الأنشطة المعتادة مثل الاستيقاظ، تحضير القهوة، أو ربما تصفح الأخبار بسرعة. لكن في عالم ما بعد الجائحة حيث أصبح العمل عن بُعد شائعًا، فإن “تسجيل الدخول” إلى العمل أصبح جزءًا لا مفر منه من الروتين.

مختبئًا في هذا الفعل الروتيني حقيقة خالدة غالبًا ما نغفل عنها. إنه جزء من طقس حديث يؤديه كل موظف بهدوء وبشكل تلقائي، كما لو كان ذاكرة عضلية—طقوس تعتمد عليه المؤسسات في كل مكان، و يومًا بعد يوم لحماية نزاهة وسلامة أعمالها.

ليس الأمر مبهرجًا، ونادرًا ما يتم التشكيك فيه. لكنه يُحدد خط الدفاع الأول لأمن المؤسسات: إنه روتين “كلمة المرور”.

بينما يُعد روتين استخدام “كلمة المرور” أمرًا بالغ الأهمية للمؤسسات، إلا أنه بالنسبة للموظفين مجرد جزء من الروتين اليومي الممل، أمر ثانوي يُدفع بين دعوات التقويم وإعادة ملء القهوة، مدفوعًا أكثر بالعادة وليس بفهم واعٍ لتأثيراته الأمنية.

الفن الدقيق لاختيار كلمة المرور

إذن هكذا تسير الأمور، أليس كذلك؟
عندما تنضم إلى مؤسسة ما، يتم إضافتك إلى شبكتها الداخلية. على الفور، يُطلب منك اختيار “كلمة مرور” ستستخدمها لتسجيل الدخول إلى العمل، سواء عن بُعد أو غير ذلك.

لنكن صادقين، في هذه اللحظة بالذات، كم منا يُفضل أمن المؤسسة على راحته اليومية؟

نعم، هناك سياسات مؤسسية تفرض عليك اختيار كلمات مرور معقدة. لكن لنواجه الأمر، معظمنا يختار أقرب اختصار ذهني—نفس كلمة المرور التي استخدمناها لسنوات في أماكن أخرى، مع تعديلها بالكاد لتلبية الحد الأدنى من المتطلبات، وغالبًا ما تكون مكتوبة في مكان ما.

حسنًا، لنفترض أننا نفعل هذا في الروتين المؤسسي حيث نسيان كلمة المرور يمثل مشكلة، لأن هناك سياسات امتثال يجب اتباعها، وإجراءات إعادة تعيين، ودعم فني يجب التعامل معه. في بيئة عمل بيروقراطية كهذه، إعادة استخدام “كلمة مرور” سهلة التذكر يبدو منطقيًا إلى حد ما. ومع ذلك، نحن ننقل نفس السلوك إلى حياتنا الشخصية، حيث الدعم محدود وعواقب الاختراق يمكن أن تكون أكثر شخصية، ومع ذلك نختار الراحة على الأمان.

نحن نعلم أن إعادة استخدام نفس “كلمة المرور” أمر سيء. إذن، لماذا لا نزال نفعل ذلك؟

تميل المؤسسات إلى التغاضي عن هذا النمط السلوكي الأساسي وتستجيب بدلاً من ذلك بإضافة طبقات من تدريبات الامتثال وبروتوكولات الأمن الصارمة فوق روتين “كلمات المرور” المرهق بالفعل. هذا لأنها غالبًا ما تتعامل مع سوء استخدام “كلمات المرور” من قبل الموظفين على أنه مشكلة معرفية. تفترض أنه إذا كان الموظفون أكثر دراية، فسيمارسون عادات أفضل في إدارة كلمات المرور.

لكن الأمر ليس كذلك. هذا السلوك ناتج عن تحيزات معرفية عميقة تدفعنا نحو اتخاذ قرارات تعبر عن حذرنا تجاه أي شيء خارج حدود المألوف.

العقلانية المحدودة

“الجيد بما يكفي هو ما يكفي”.

تقترح هذه الفكرة أنه عندما يكون الناس مقيدين بحدود مثل الوقت، المعلومات، والموارد المعرفية، فإنهم لا يسعون لاتخاذ القرار المثالي، بل يختارون قرار مُرضٍ.

نحن لا نحاول أن نخطئ في الأمن. نحن ببساطة نحاول إنجاز عملنا. إدارة “كلمات المرور” مرهقة ذهنيًا، لذلك نلجأ إلى اختصارات مثل الملء التلقائي للمتصفح أو إعادة استخدام كلمات المرور. هذا ليس كسلًا، بل مجرد مقايضة فعالة في حسابنا الذهني للفوائد والتكاليف.

الاستدلال التوافقي

“إذا تذكرته، فلا بد أنه صحيح”.

يشير هذا التحيز المعرفي إلى أن الناس يتحققون من صحة أو أمن شيء ما بناءً على مدى سهولة تذكرهم لمثال أو معلومة تبرره. كلما كان المثال أكثر حداثة أو شخصية، شعر الناس أنه أكثر أمانًا بغض النظر عن الأدلة الفعلية.

نحن ندير كلمات المرور بنفس الطريقة التي ندير بها الذكريات: بالاعتماد على ما هو أسهل للتذكر. لذلك نتمسك بتنويعات نفس “كلمة المرور” أو نعيد استخدامها من حسابات أخرى. لا نختار هذه الكلمات لأنها آمنة (وهي ليست كذلك)، بل لأنها متاحة معرفيًا. نحن نساوي بين القابلية للتذكر والأمان، حتى عندما يجعلنا ذلك أكثر عرضة للخطر.

تجنب الخسارة

“أفضل ألا أفقد الوصول بدلاً من جعله أكثر أمانًا”.

يشير هذا المبدأ المعرفي إلى أن الناس يشعرون بألم الخسارة بشكل أكثر وضوحًا من متعة المكاسب المحتملة.

بالنسبة للعديد من المستخدمين، يبدو الخوف من الحظر خارج الحساب أكثر إلحاحًا من خطر التعرض لهجوم إلكتروني. هذه القلق يدفع عادات مثل كتابة كلمات المرور، أو إعادة استخدام كلمات المرور من الحسابات الشخصية، أو استخدام الإعدادات الافتراضية للنظام. ليس الأمر أن الناس لا يفهمون المخاطر، بل أن الحاجة إلى الوصول غير المنقطع تفوق غالبًا وعد الحماية طويلة المدى.

توقع قرارات مثالية من القوى العاملة في ظروف غير مثالية غالبًا ما يكون عديم الجدوى. إذا كان السلوك الآمن يشعر وكأنه عبء، فهذا يعني أن النظام لم يُصمم بأخذ الناس في الاعتبار. بينما يمكن غرس ممارسات الأمن من خلال فيديو تدريبي، إلا أن المسؤولية لا تتوقف عند هذا الحد.

سد الفجوة بين المألوف والأمن

لدعم السلوك الآمن على نطاق واسع، يجب على المؤسسات أن تزيل عبء إدارة كلمات المرور من أيدي الموظفين. تحتاج المؤسسات إلى تقليل احتمالية الخطأ البشري وتجاوز التحيزات التي تؤدي إلى إرهاق “كلمات المرور”، أو إعادة استخدامها، أو تخزينها بشكل غير آمن. أفضل طريقة لمنع السلوكيات الخطيرة في كلمات المرور هي إزالة الحاجة إليها تمامًا.

اعتماد أدوات المصادقة التي تتيح استخدام مفاتيح المرور (Passkeys)، والمصادقة الموحدة (SSO)، والروابط السحرية (Magic Links) يزيل نقاط الاحتكاك حيث يعاني المستخدمون عادةً.

تمثل مفاتيح المرور (Passkeys) تحولًا في السلوك الافتراضي. بدلاً من إجبار المستخدمين على تذكر أو إدارة بيانات الاعتماد، تستخدم مفاتيح المرور مفاتيح تشفير مرتبطة بالجهاز تتم مزامنتها بأمان عبر الأجهزة. و في الأماكن التي لا يمكن تطبيق مفاتيح المرور فيها، يمكن تمكين المصادقة الموحدة (SSO) للوصول عبر المؤسسات. تبسط المصادقة الموحدة الوصول عبر المنصات باستخدام بيانات اعتماد واحدة أو نقطة مصادقة واحدة. من خلال توحيد تسجيل الدخول، لا يتعين على المستخدمين التعامل مع العشرات من نقاط الدخول.

للتخلص من التحيزات التي تتداخل مع إدارة كلمات المرور، يمكن للمؤسسات الاستفادة من خزائن مفاتيح المرور التي تلغي الحاجة إلى إدارة كلمات المرور من قبل الفرد. بمجرد أن تصبح هذه الأنظمة في مكانها، يمكن للمؤسسات بعد ذلك، من خلال التدريب الذي يعزز المشاركة القائمة على القيمة، أن تظهر للموظفين كيف تجعل هذه الأنظمة الأمن يسير جنبًا إلى جنب مع الإنتاجية.

هذه الترقيات تتجاوز العقلانية المحدودة من خلال إزالة الضغط الذهني لإدارة الوصول تحت الضغط، لأنه كلما قل عدد القرارات التي يحتاج الناس إلى اتخاذها، قل عدد الفرص التي يستقرون فيها على أي شيء يمكنهم من إكمال يومهم. وعندما لا يوجد شيء لتذكره، لا يوجد مجال لتحيز التوافر لخلق وهم الأمن. يختفي الخيار، وبالتالي يختفي الخطر. بالنسبة للمستخدمين الذين يخشون من فقدان الوصول أكثر من الاختراق، هذا تحول مهم، لأنهم الآن يحصلون على الأمن دون التضحية بالوصول.

عندما تتبنى المؤسسة ضوابط من هذا النوع تزيل الاعتماد على التحيزات المعرفية للمستخدم، فإنها لا تنفذ فقط إجراءً أمنيًا، بل تقوم بتدخل سلوكي. إنها تقضي على نقاط القرار حيث تسير الأمور بشكل خاطئ، حيث يختار الناس ما هو سهل وليس ما هو صحيح.

ضمان مواكبة السياسات المؤسسية للتكنولوجيا

لا يمكن الاعتماد على التكنولوجيا وحدها للانتقال إلى مؤسسة آمنة حقًا. يجب أن ينعكس هذا أيضًا على مستوى السياسات. غالبًا ما يترك الوصول المشترك التقليدي عندما يتعلق الأمر بالوصول المميز إلى الأنظمة الحرجة إلى وجود فجوات. على سبيل المثال، في الحالات التي تكون فيها مهام الصيانة المجدولة مطلوبة على نقاط نهاية النطاق الحرجة، يعتمد الموظفون على بيانات الاعتماد المشتركة أو عمليات الموافقة اليدوية، حيث تؤدي الاختصارات المعرفية إلى حسابات ذات صلاحيات زائدة وحقوق وصول راكدة.

لمواجهة هذا، تتجه المؤسسات بشكل متزايد إلى مشاركة الوصول بدون “كلمات مرور” من خلال حلول إدارة الوصول المميز (PAM). تعمل هذه الحلول على تبسيط العملية من خلال منح الحقوق وسحبها ومراجعتها تلقائيًا بناءً على السياسات المحددة مسبقًا. تضمن حلول PAM أن كل وصول يكون في الوقت المناسب ودقيق النطاق، مما يلغي الحاجة إلى التدخل البشري.

ومع ذلك، حتى أفضل الحلول التقنية لا يمكنها التغلب على سياسات غير متوافقة.

في هذا السياق، يظهر الذكاء الاصطناعي كعامل تمكين حاسم في طبقة السياسات المؤسسية. مسؤولو تكنولوجيا المعلومات المكلفون بالإشراف على الوصول المميز هم أيضًا بشر ويخضعون لتحيزات معرفية مماثلة، مما قد يؤدي إلى منح الوصول بناءً على حالات سابقة. ومع ذلك، في بعض الأحيان قد يكون لدى المستخدمين المميزين أذونات لم يستخدموها أبدًا، مما قد ينزلق تحت الرادار، مما يؤدي إلى امتيازات راكدة.

عندما يتم إدخال الذكاء الاصطناعي في هذه المرحلة لاقتراح سياسات وصول مميز ديناميكية بناءً على تقييمات المخاطر في الوقت الفعلي وللكشف عن السلوك غير الطبيعي، فإنه يعالج هذه التدخلات المعرفية غير الضرورية.

إدراك العبثية في إدارة كلمات المرور المؤسسية

في أسطورة “سيزيف”، يحكي “ألبير كامو” قصة عبثية عن رجل محكوم عليه بدفع صخرة إلى أعلى التل إلى الأبد، فقط لمشاهدتها تتدحرج إلى الأسفل في كل مرة. يستخدم كامو هذه الصورة لاستكشاف كيف، حتى في المهام المتكررة والتي تبدو بلا معنى، نبحث عن الهدف.

بطرق عديدة، تبدو تفاعلاتنا اليومية مع بروتوكولات الأمن، سواء كانت كلمات مرور، أو مطالبات تسجيل الدخول، أو تدريبات التصيد الاحتيالي، أو قوائم المراجعة الامتثالية، مشابهة جدًا لعبء “سيزيف”. من المتوقع أن نبقى متيقظين، ونتبع قائمة متزايدة من القواعد، ونواكب عملنا الفعلي. لكن الناس لا يعملون بشكل جيد تحت الضغط المستمر. مع مرور الوقت، يبدأ التعب، تتولى العادات زمام الأمور، ونبحث عن حلول بديلة، ليس لأننا لا نهتم، بل لأنها طبيعة بشرية.

الحل ليس إضافة المزيد من التعقيد؛ بل إعادة التفكير في النظام. أدوات مثل مفاتيح المرور، والمصادقة الموحدة، وإدارة الوصول المميز، والذكاء الاصطناعي لا تحسن الأمان فحسب، بل هي تصحيحات فلسفية. إنها تعفي الفرد من هذه العبثية. عند القيام بذلك، تختفي الصخرة، ويبقى نظام مصمم ليعكس واقع العمليات الفكرية والقدرات المعرفية للناس.