רבים עדיין הופכים את הסיסמאות שלהם לפשוטות מדי. שוטרסטוק / Vitalii Vodolazskyi
במשך יותר מ -15 שנה היו תחזיות שונות מצד מנהיגי הטכנולוגיה לגבי מות סיסמאות. ביל גייטס ניבא זאת שוב 2004 ולמיקרוסופט יש ניבא את זה לשנת 2021. היו בין היתר הצהרות דומות, לצד ביקורת מתמשכת על סיסמאות כאמצעי הגנה בלתי הולם.
עם זאת, סיסמאות נותרות היבט נפוץ של אבטחת סייבר, דבר שאנשים משתמשים בו מדי יום. יתרה מכך, סיסמאות מראות עדיין סימן קטן להיעלמות. אבל אנשים רבים עדיין משתמש בהם רע ונראה שלא מודעים לשיטות עבודה מומלצות.
זה נפוץ מאוד עבור מומחי אבטחה ברשת חברות להאשים את המשתמשים לשימוש בסיסמאות בצורה גרועה, מבלי להכיר בכך שמערכות מאפשרות בחירות גרועות שלהן.
אתרים רבים אינם מציעים הנחיות מראש כיצד לבחור את הסיסמאות שהם דורשים מאיתנו, אולי בהנחה שאנו יודעים דברים אלה כבר או שנוכל למצוא זאת במקום אחר. אבל העובדה שאנשים מתמידים בשימוש בסיסמאות חלשות מציע שזו השקפה אופטימית.
עצה מיושנת
בנוסף לחוסר הנחיה, מקובל למצוא אתרים האוכפים את דרישות הסיסמה המיושנות. אתה בטח מכיר מערכות שמתעקשות על מורכבות סיסמאות, בכך שאתה דורש אותיות גדולות, מספרים או תווים מיוחדים כדי להעצים את הסיסמאות (התגובה שלנו אליה משקפת לעיתים קרובות את הסרטון למטה).
עם זאת, ההדרכה הנוכחית הוא לאפשר מורכבות אך לא לדרוש זאת, ובעצם להתייחס לחוזק הסיסמה כמילה נרדפת לאורך הסיסמה.
אל האני המרכז הלאומי לביטחון הקיברנטי ממליץ ליצור סיסמה ארוכה על ידי שילוב של שלוש מילים אקראיות, מה שמאפשר משהו ארוך ובלתי נשכח מהרבה אפשרויות סטנדרטיות.
ניסיונות הסיסמה שלי
לא מועיל הוא שבמקום לתת הדרכה ודרישות בהתחלה, אתרים רבים חושפים רק כללים בתגובה לכך שניסינו דברים שאינם מותרים. ניסיתי ליצור סיסמה לאתר אחד כזה. מרבית ניסיונותיי קיבלו משוב שדרש פעולה נוספת, עד שהחלטתי על בחירה סופית שהתקבלה ללא תלונה. אבל הסיסמה שהתקבלה, סטיב !, הייתה קצרה וצפויה למדי.
היאבקות עם חוקים. סטיבן פורנל, מחבר מסופק
כששיחקתי קצת יותר התקבלו אפשרויות חלשות אחרות. לדוגמא 1234a !, abcde1 ו- qwert! כולם סיפקו את הכללים, וכך גם פורנל 1 - שאינו חזק במיוחד, במיוחד מכיוון שכבר הזנתי את פורנל כשם המשפחה שלי במקום אחר בטופס ההרשמה.
בינתיים, הכללים לעתים קרובות אומרים שאיננו יכולים להשתמש בסיסמאות שההתקנים שלנו מייצרים עבורנו אוטומטית, או כאלה שאנו עשויים ליצור לעצמנו באמצעות ההנחיות הנוכחיות.
אתרים רבים אינם מאפשרים סיסמאות שנוצרו. סטיבן פורנל
נראה כי אתרים מסוימים חושבים שהם יכולים לפצות על חוסר הדרכה באמצעות טכניקות כגון מד סיסמאות כדי לדרג את הבחירות שלנו. עם זאת, בעוד שאלה נותנים משוב, הם אינם תחליף למתן הדרכה כיצד נראה טוב.
באמצעות אתר אחר הזנתי סיסמה גרועה (המילה סיסמה), והמשוב היחיד שקיבלתי היה שהסיסמה חלשה מאוד. אם משתמש באמת הציע את הסיסמה הזו כניסיון, מה שצריך לומר לו הוא מדוע היא חלשה. למרות שאתה יכול ללא ספק למצוא אתרים מסוימים שנותנים משוב טוב ואינפורמטיבי יותר, הדוגמה הזו מייצגת לרוע המזל רבים אחרים.
כללים שיש לעקוב אחריהם
כמובן, לאחר שהדגישו את היעדר ההדרכה היעילה, יהיה זה מפריע לסיים מבלי להציע כאלה. ההנחיה של ה- NCSC אודות בחירת ושימוש בסיסמאות מפורטים והוסברו בקצרה להלן:
- השתמש בסיסמה חזקה ונפרדת לדוא"ל שלך - מכיוון שלעתים קרובות זהו המסלול שלך לגישה לחשבונות אחרים.
- צור סיסמאות חזקות באמצעות שלוש מילים אקראיות - זה ייתן לך סיסמאות חזקות ובלתי נשכחות יותר.
- שמור את הסיסמאות שלך בדפדפן שלך - זה מונע ממך לשכוח או לאבד אותן.
- הפעל אימות דו-גורמי - זה מוסיף אלמנט נוסף של הגנה גם אם הסיסמה שלך נפגעת.
כדאי להשלים זאת עם תזכורות נוספות שלא השתמש באותה סיסמה על פני מספר חשבונות מחשש שפרה של אחד מוביל להפרת כולם, לא לשתף אותם עם אנשים אחרים מכיוון שאז זו כבר לא הסיסמה שלך, ולא לשמור תיעוד נגלה עליהם. לאחסן אותם במיקום מוגן, כמו למשל בכלי לניהול סיסמאות, זה בסדר.
מדאיג לחשוב שסיסמאות קיימות כבר עשרות שנים ואנחנו עדיין טועים. והם רק היבט אחד של אבטחת הסייבר שאנחנו צריכים להשתמש בו כראוי. זה לא מבשר טוב יותר לאבטחת סייבר באופן נרחב יותר.
על המחבר
סטיבן פורנל, פרופסור לאבטחת סייבר, אוניברסיטת נוטינגהם
אבטחת ספרים
מאמר זה פורסם מחדש מתוך שיחה תחת רישיון Creative Commons. קרא את ה מאמר מקורי.
