בימים האחרונים מדברים לא מעט על הידיעה לפיה נפרצו כ-10,000 חשבונות הוטמייל, על ידי האקרים/פישרים מתוחכמים. היום גם פורסם כי הפורצים הגאונים הם מארה"ב ומצרים, וככל הנראה היה זה ניסיון למצוא פרטי חשבונות בנק.
העניין הוא, שלא צריך להיות היום האקר מתוחכם כדי לפרוץ לאנשים לתיבת הדואר האלקטרוני. זה אפילו די קל, מכיוון שאנשים הם טיפשים, עצלים ולא מקשיבים לאזהרות חוזרות ונשנות הקשורות לאבטחת מידע בסיסית.
היום מתברר, ש-42% מהסיסמאות של חשבונות ההוטמייל שנפרצו היו, איך לא, הצירוף המדהים 123456. כמעט מחצית מהחשבונות היו "מוגנים" על ידי הסיסמא הכי נפוצה, הכי קלה לניחוש והכי מטומטמת שיש. נכון, אפשר לטעון שמי שמשתמש בהוטמייל הוא מלכתחילה לא גאון גדול, ובכל זאת – 123456?
טוב, טעיתי ולא שמתי לב, ותודה לדובי שתיקן – 42% מהסיסמאות היו סיסמאות שמכילות רק אותיות מ-A עד Z, וגם רק אותיות קטנות ולא CAPITAL. חפזתי בקריאה וזה מה שקרה. אז לא כולם שמו את 123456 בתור סיסמא. סליחה.
האמת היא, שחלק ממערכות ההרשמה הקיימות היום מכריחות את המשתמש לבחור סיסמאות סבירות יותר. למשל, לפעמים חייבים לבחור סיסמא עם אותיות ומספרים (ואז נוצרת הגאונות abc123 ודומותיה), יש אורך סיסמא מינימלי ויש אינדיקטור שמראה לך כמה הסיסמא שלך חזקה. כל אלה עדיין לא יכולים לפתור את הבעיות החמורות ביותר – אדישות וטיפשות.
אם בכל זאת אתם רוצים ללמוד לבחור סיסמאות טובות, כתבתי על זה כמה מילים בעבר. וחוץ מזה, באמת, למה לכם חשבון בהוטמייל?
אהם.
"A researcher who examined 10,000 Hotmail, MSN and Live.com passwords that were recently exposed online has published an analysis of the list and found that “123456″ was the most commonly used password, appearing 64 times.
Forty-two percent of the passwords used lowercase letters from “a to z”"
64 מקרים של 123456, או 0.64 באחוזים. ה-42 אחוז מתייחס למספר הסיסמאות שכללו רק אותיות קטנות (בלי אותיות גדולות או ספרות) – ואני חייב להודות שרוב הסיסמאות שלי גם נופלות להגדרה הזו. המציאות המצערת היא שיש יותר מדי סיסמאות לזכור, ולכן דווקא אתרים שדורשים ממני עירוב מאלצים אותי להשתמש באחת ממספר מצומצם למדי של ססמאות מעורבות שאני ממש מסוגל לזכור, בעוד שסיסמאות שהן בסך הכל מילים שמתקשרות לי בראש לאתר הרבה יותר קל לי להמציא.
אבוי, אתה צודק. משהו בעין שלי דילג. אני מיד מתקנת את זה.
ואגב, גם אני לא בעד סיסמאות משולבות מציקות ולא טבעיות. סטרינגים ארוכים של אותיות הרבה יותר קל לי לזכור.
המערכת הטלפונית של לאומי מכריחה אותך להחליף סיסמא כל 3 חודשים לפי הכללים הבאים.
1. שונה משתי הסיסמאות האחרונות שהיו בשימוש
2. לא רצף עולה של יותר משתי ספרות צמודות
3. בדיוק 6 ספרות
ועכשיו נראה אותך, באמצע שום מקום ממציאה בזריזות מספר שתוכלי לזכור גם בחודשיים שלאחר מכן שעונה לכל הכללים הללו. הקטע שכשנכשלתי שלוש פעמים הועברתי לנציג ששאל אותי מה מספר הבית. המספר באותה תקופה היה 39 וכך זכיתי לסיסמא הגאונית 393939.
נו, הגאונות
באוניברסיטה שלי הייתה שלו סיסמת גישה למחשבים בזמנו שהיינו צריכים להחליף אחת לחודשיים — רק שהייתי משתמש במחשבים הללו רק פעם בשבועיים-שלושה במקרה הטוב. בשלב כלשהו הפסקתי להשתמש בהם לגמרי כי נמאס לי לבקר בדסק הסיוע כל פעם שרציתי להשתמש במחשב…
כן, גם הסיסמאות של הבנקים לא בדיוק מבריקות בהקשר הזה. אבל עדיף שיאלצו אותך להחליף סיסמא מאשר שתישאר עם qweasd או משהו כזה.
[…] כל מי שקורא את הבלוג הזה, ויותר מכך מי שנתקל באינספור התגובות שאני משאיר אחרי במגוון מקומות באינטרנט, יודע כבר שאני קרציה מהסוג שמתוארת באילוסטרציה לעיל. אני לא מסוגל להתעלם משגיאה (ועוד באינטרנט!), ואני לא נוהג להיות מאוד נחמד כשאני מתקן אותן (e.g.). […]
זמנים כאלו, כשג'ימייל נופל פעמיים בשבוע, הם לא המועד הנכון לשאול למה לאנשים יש חשבונות הוטמייל.
עד שזה לא קורה לך אתה לא מתאמץ ומתגונן, וכמו שידוע אנשים עושים בדרך כלל ביטוח -אחרי- האסון…
לא מבין מה הקטע.
90% מהסיסמאות שברשותי הן בדיוק מהז'אנר המדובר. פשוט כל הסיסמאות הללו הם לדברים וחשבונות חד פעמיים שלא אכפת לי מהם.
יש לי לפחות 7 חשבונות GMAIL עם הסיסמא המדוברת שלא אכפת לי שיכנסו אליהם כל מי שרוצה ו2 חשבונות חשובים שמקודדים ב9 תווים של אותיות ומספרים שאף אחד בחיים לא יגלה.