האקרים |

בוחרים סיסמה חדשה? האקרים עשויים לפצח אותה בקלות

בהנחיות החדשות שפרסם ביוני המכון הלאומי לתקנים ולטכנולוגיה, נאמר כי רצף של מילים אקראיות - אזהרה: מילים של שירים וכדומה אינן נחשבות לצירוף אקראי - יהיה קשה יותר לניחוש ממילה בודדת

האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
וול סטריט ג'ורנל 21.08.2017

אני כל כך מבולבל. חשבתי שככל שמספר האותיות גדול יותר בסיסמת מחשב, כך טוב יותר. אחרי ככלות הכול, ניתן ליצור 6.6 קוודריליון שילובים של שמונה אותיות ממאגר של 26 אותיות גדולות, 26 אותיות קטנות, 10 ספרות ו-33 סימנים מיוחדים וסימני פיסוק.

השימוש בסימן מכל קטגוריה מקטין את מספר השילובים - מה שאמור להפוך את הסיסמאות לקשות יותר לניחוש - אך מאמר שהתפרסם לאחרונה בוול סטריט ג'ורנל גילה כי כללים אלה ננטשו כבלתי יעילים.

והבעיה? כשיוצרי הכללים המציאו את הסיסמה, הם לא צפו כיצד יישמו אנשים את ההנחיות. "זה אמור להיות אקראי", אמר קורמק הרלי, מומחה לאבטחה במיקרוסופט ריסרץ'. "אך בפועל אנשים פשוט מזלזלים בזה".

חלק מהמשתמשים עושים מאמץ, אך בוחרים בדרך הקלה. אם מאלצים אותם להכליל ספרה בסיסמה, הם נוטים להצמיד את הספרה 1 לסוף הסיסמה. אם מאלצים אותם להשתמש בסימן מיוחד, הם נוטים להחליף את האות S ב-$ ואת האות A ב-@. אם מאלצים אותם להכליל אות גדולה, הם נוטים להציב אותה בתחילת הסיסמה. בקיצור, המשתמשים מתנהגים באופן מאוד צפוי. אם המשתמשים בוחרים בסיסמה אקראית שמורכבת מתמהיל של אותיות קטנות וגדולות - ככל שהסיסמה ארוכה יותר כך טוב יותר - יהיה קשה לנחש את הסיסמה שלהם, אך מרבית המשתמשים אינם עושים זאת.

לעומת זאת, קל לזכור מילים. מכיוון שכך, ניסו חלק מהמשתמשים לשלב סימנים מוזרים בדרכים קלות לזכירה, אך להאקרים קל לנחש ש-P@$$wOrd1 היא למעשה password.

משתמשים אחרים השקיעו מאמץ קטן יותר בהגנה על חשבונותיהם המקוונים. כש-32 מיליון סיסמאות נגנבו מ-RockYou ב-2009, התברר כי מרבית ממשתמשי האתר בחרו ב-123456 כסיסמה.

בהנחיות החדשות שפרסם ביוני המכון הלאומי לתקנים ולטכנולוגיה נאמר כי רצף של מילים אקראיות - אזהרה: מילים של שירים וכדומה אינן נחשבות לצירוף אקראי - יהיה קשה יותר לניחוש מהמילה princess, אך קל יותר לזכור מ-fkB%397x^tyModc.

"היתרון של סיסמה שהיא ביטוי הוא שהיא ארוכה יותר", לדברי מאט בישופ, מנהל משותף של מעברת אבטחת המחשב באוניברסיטת קליפורניה, דייביס, שמייעץ לבחור סיסמה ביטוי, ולאחר מכן לשלב בה סימנים מיוחדים, למשל: correct-horse battery&staple.

"זה לא שאי אפשר בשום פנים ואופן לנחש את זה", אמר בישופ. "אבל זה מגדיל את מספר הניחושים שייאלץ ההאקר לעשות". כדי להקשות עוד יותר על ניחוש הסיסמה (אך גם להפוך אותה לקשה יותר לזכירה), ממליץ בישופ לאיית את המילים באופן שגוי, או להכניס בהן שינויים.

להאקרים יש כמה דרכים לחדור לחשבונות המקוונים של אנשים. תוכנה זדונית שמושתלת במחשב של מישהו יכולה לאסוף סיסמאות באמצעות רישום הקשות המקשים, ואנשי הפישינג מפתים משתמשים לשתף מידע על חשבונותיהם. במקרים אלה אין לחוזק הסיסמה משמעות.

לחוזק הסיסמה יש משמעות במקרים הבאים: באינטרנט עצמו, כשהאקרים מנסים להיכנס לאתרי אינטרנט באמצעות ניחוש הסיסמה, ומחוץ לאינטרנט, כשההאקרים מנסים לפענח רשימות של מידע גנוב על חשבונות.

"הניחוש באינטרנט נפוץ", אמר ד"ר הרלי. "אפשר לדבר בקלות על מאות או מיליונים או מיליארדים של ניסיונות ניחוש מדי יום ביומו. זה נכון בכל שירות מקוון". לאחר מספר רב מדי של ניסיונות כושלים בכל חשבון, חוסמות מרבית ספקיות השירות את המשך הניסיונות באמצעות נעילה זמנית של החשבון.

השגיאות הנפוצות בבחירת סיסמה
 השגיאות הנפוצות בבחירת סיסמה

הוספה לנושאים שמעניינים אותי
האקריםאבטחת מידעאבטחת סייבר
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל קוד האתי המופיע בדו"ח האמון לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה אוטומטית ולא יפורסמו באתר.