על שימושיות של סיסמאות

אני לא מומחית באבטחת מידע, אבל זה נושא שמאוד מעניין אותי. מכל מה שהבנתי ולמדתי עד כה בתחום, הגעתי למסקנה שלא משנה כמה הטכנולוגיה חכמה, הבעיה היא תמיד טיפשותם של אנשים. כל מיני מנהגים מגונים הם אלה שגורמים לכך שסיסמאות יתגלו וחשבונות או אתרים ייפרצו. למעשה, Social Engineering עדיין נחשבת לאחת הדרכים הטובות ביותר לגלות סיסמא או להוציא מידע ממישהו.

למרות שלכאורה המודעות לאבטחת מידע עלתה, מדהים לראות עד כמה אנשים מתעלמים מהחוקים הבסיסיים של שמירה על הפרטיות ועל חשבון המייל שלהם. הם נותנים את הסיסמא בקלות ובלי לחשוב פעמיים, משתמשים בסיסמאות קלות לניחוש (תאריכי לידה, שמות הילדים, שמות החיות או צירופי מספרים טיפשיים), משתמשים באותה סיסמא בכל החשבונות והאתרים שבהם הם רשומים, כותבים את הסיסמא על נייר ליד המחשב ועוד.

בפוסט המצוין הזה על סיסמאות, אומר הכותב שהדרך הכי קלה לקבל סיסמא של מישהו היא פשוט לבקש. ובאמת, מדהים כמה בקלות אנשים מוסרים את הסיסמא שלהם, אפילו לאנשים זרים או זרים למחצה.

הפוסט הזה מנסה גם להסביר, בצורה פשוטה אם כי באריכות רבה, את המשמעות של סיסמא בטוחה מול סיסמא קלה לניחוש. הוא מסביר כמה זמן לוקח לנחש סיסמא בהתקפת Brute Force (ניסיונות לנחש את הסיסמא באמצעות הכנסת צירופים עוקבים – עד שמגלים מה הסיסמא), ומראה את ההבדל העצום בין סיסמא של 6 תווים שמורכבת מאותיות בלבד (סיכון גבוה, קלה לניחוש), סיסמא שמבוססת על מילה המופיעה במילון (סיכון גבוה מאוד) ובין סיסמא באותו אורך, שמכילה סימן כלשהו או מספר (סיכון נמוך, קשה יותר לניחוש).

יש פה גם דוגמאות לסיסמאות טובות וחזקות, שלא מצריכות מחשב על כדי לזכור אותן. תכל'ס, זה לא סביר לבקש מהאדם המצוי לזכור סיסמא נוסח #r45STTydfs-!q או משהו בסגנון. הנה כמה טריקים מהפוסט, בתוספת טריקים שלי, לייצור סיסמאות קלות לזכירה אבל קשות לפיצוח:

  • סיסמא שהיא משפט קצר: thisisfun או lifeislive.
  • סיסמא שהיא שורה משיר: allyouneedislove או stairwaytoheaven או anotherbrickinthewall.
  • סיסמא שהיא מוטו או ציטוט: thematrixhasyou או maytheforcebewithyou או royalwithcheese.
  • סיסמא בתוספת סימנים: מספיק שהוספתם סימן אחד, כבר שיפרתם משמעותית את הסיסמא. למשל: trickmeonce! או trick!meonce.
  • סיסמא ממש ארוכה (השיטה החביבה עלי): kissmyentireassmotherfukcer או fuckyouandthehorseyourodeinon.

נ.ב. אל תהיו חוכמולוגים. אף אחת מהסיסמאות המוצגות פה כדוגמא היא לא הסיסמא שלי 🙂 אפילו לא קרוב.

נ.ב. 2: הצלחתי סוף סוף לפתור את בעיית הגלילה האופקית שהיתה פה בבלוג, לאלה מכם שעדיין גולשים בגועל נפש שנקרא אקספלורר 7. ארור יהא דפדפן זה לעד.

נ.ב. 3: פירגנו לי שאני גיקית טכנולוגית, מומחית בניהול תוכן ובשיווק באינטרנט ושווה לעקוב אחרי בטוויטר – אחרי ואחרי עוד 49 גיקים אחרים. תודה וכבוד וכל זה.

נ.ב 4: זה מה שקורה כשנותנים לחובבנים להקים אתרי אינטרנט.

6 תגובות ל-“על שימושיות של סיסמאות

  1. ענבר

    יש עוד שיטה שאני אוהבת, למרות שאני לא בטוחה כמה היא בטוחה: שימוש באותיות אנגליות הנמצאות במקום של האותיות העבריות במקלדת כדי לכתוב מילה בעברית. לדוגמא: במקום נרקיסים לכתוב brehxho, ככה שמקבלים סיסמא שהיא ג'יבריש מוחלט אבל קל לזכור אותה.

    • אריאל

      גם אני חשבתי שזו שיטה טובה. עד שניסיתי לעשות לוגין באמצעות מכשיר סלולרי. מאז אני מחזיק בארנק תצלום של מקלדת 😀

  2. כדי להחליט כמה "חזקה" היא סיסמה, צריך לפעמים להכיר את המערכת המדוברת. במערכות מייקרוסופט מהדור הקודם, למשל, סיסמה היתה מקסימום 7 תוים, וגם אם המשתמש הכניס סיסמה ארוכה יותר, המערכת היתה שוברת אותה לשנים ושומרת שתי סיסמאות, כך שמאמץ ה"פיצוח" של סיסמה מוצפנת שנפלה לידי גורם עוין היתה מתמצה בחיפוש קומבינציות בנות 7 תווים. במקרה זה ישנה עדיפות חזקה לשילוב תווים שאינם מספרים או אותיות, וכך להגדיל את מרחב החיפוש באופן משמעותי.

    אם מדובר במערכת השומרת סיסמה ארוכה (וחלק מהאתרים, ימח שמם, מגבילים את אורך הסיסמה המותר) הרי שישנה עדיפות לסיסמה ארוכה וקלה לניחוש על פני סיסמה קצרה, מתחכמת, ובעלת אלמנט שיכוח גבוה.

    ההאקרים, על כל פנים, מעדיפים ליצור סיסמאות קלות לזכירה וגם קשות לפיצוח, באמצעות החלפת אותיות בתוים. למשל: R3v1t@lS@10m0n
    (למרות שכיום, כשהשיטה די נפוצה, ההיכרות שלה מקלה על הפרצנים במאמצי הניחוש שלהם.)

    בכל מקרה, הדיון על חוזק סיסמה מניח מקרה שבו הסיסמה המוצפנת (hash ליתר דיוק) נופלת בידי מי שפרץ למחשב, וזה מנסה לשחזר את הסיסמאות מתוך הקובץ. בשביל להתמודד עם האפשרות שמישהו סתם ינחש את הסיסמית ויכנס לאתר בשמך, מספיק לא להיות אידיוט.
    מרביתנו די טיפשים בעניין זה, הרי "מי באמת מתעניין בחשבון שלנו"…

  3. דני

    אנשי תוכן הם לא בהכרח גיקים, ואני לא מתכוון אלייך רויטל.
    ברשימה מופיעים אנשי תוכן שעוסקים רק בתוכן ולא בטכנולוגיה.

  4. […] בכל זאת אתם רוצים ללמוד לבחור סיסמאות טובות, כתבתי על זה כמה מילים בעבר. וחוץ מזה, באמת, למה לכם חשבון בהוטמייל? שתפו […]

  5. […] רוצים ליצור סיסמא זכירה וחזקה – אתם מוזמנים לקרוא מדריך קצר בנושא סיסמאות טובות שכתבתי […]

להגיב על ישי לבטל

האימייל לא יוצג באתר. שדות החובה מסומנים *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>