אז אתה חושב שסיסמאות האינטרנט שלך מאובטחות?
פול הסקל-דאולנד
, מחבר מסופק

סיסמאות שימשו במשך אלפי שנים כאמצעי לזיהוי עצמנו לאחרים ובזמן האחרון, למחשבים. זה מושג פשוט - פיסת מידע משותפת, שנשמרת בסוד בין אנשים ומשמשת "להוכיח" זהות.

סיסמאות בהקשר IT צץ בשנות התשעים עם מחשב מרכזי מחשבים - מחשבים גדולים המופעלים במרכז עם "מסופים" מרוחקים לגישה למשתמש. הם משמשים כעת לכל דבר, החל מהקוד האישי שאנו מזינים בכספומט וכלה בכניסה למחשבים שלנו ולאתרים שונים.

אך מדוע עלינו "להוכיח" את זהותנו למערכות אליהן אנו ניגשים? ולמה כל כך קשה להשיג סיסמאות?

מה הופך סיסמה טובה?

עד לאחרונה יחסית, סיסמה טובה עשויה להיות מילה או ביטוי של עד שש עד שמונה תווים. אבל עכשיו יש לנו הנחיות אורך מינימלי. הסיבה לכך היא "אנטרופיה".

כשמדברים על סיסמאות, אנטרופיה היא מדד לחיזוי. המתמטיקה שמאחורי זה אינה מורכבת, אך בואו נבחן אותה במדד פשוט עוד יותר: מספר הסיסמאות האפשריות, המכונות לפעמים "שטח הסיסמה".


גרפיקת מנוי פנימית


אם סיסמה בת תו אחד מכילה אות קטנה בלבד, יש רק 26 סיסמאות אפשריות ("a" עד "z"). על ידי הכללת אותיות גדולות, אנו מגדילים את שטח הסיסמה שלנו ל -52 סיסמאות אפשריות.

שטח הסיסמה ממשיך להתרחב ככל שהאורך גדל ונוספים סוגי תווים אחרים.

הפיכת סיסמה לארוכה או מורכבת יותר מגדילה מאוד את 'שטח הסיסמה' הפוטנציאלי. שטח סיסמא רב יותר פירושו סיסמה מאובטחת יותר.

הפיכת סיסמה לארוכה או מורכבת יותר מגדילה מאוד את 'שטח הסיסמה' הפוטנציאלי. (אז אתה חושב שסיסמאות האינטרנט שלך מאובטחות)

אם מסתכלים על הדמויות שלעיל, קל להבין מדוע אנו ממליצים להשתמש בסיסמאות ארוכות עם אותיות קטנות וקטנות, מספרים וסמלים. ככל שהסיסמה מורכבת יותר, כך נדרשים ניסיונות רבים יותר לנחש אותה.

עם זאת, הבעיה בתלות במורכבות הסיסמה היא שהמחשבים יעילים מאוד במשימות חוזרות - כולל ניחוש סיסמאות.

בשנה שעברה, א נקבע שיא למחשב שמנסה לייצר כל סיסמא שניתן להעלות על הדעת. זה השיג קצב מהיר יותר מ- 100,000,000,000 ניחושים לשנייה.

על ידי מינוף כוח מחשוב זה, פושעי סייבר יכולים לפרוץ למערכות על ידי הפצצתן בכמה שיותר שילובי סיסמאות, בתהליך שנקרא התקפות כוח זרות.

ועם טכנולוגיה מבוססת ענן, ניחוש סיסמה בת שמונה תווים יכול להיות מושלם תוך 12 דקות ומחירו נמוך ככל 25 דולר.

כמו כן, מכיוון שסיסמאות משמשות כמעט תמיד למתן גישה לנתונים רגישים או למערכות חשובות, הדבר מניע את פושעי הסייבר לחפש אותם באופן פעיל. זה גם מניע שוק מקוון רווחי למכירת סיסמאות, שחלקן מגיעות עם כתובות דוא"ל ו / או שמות משתמש.

אתה יכול לרכוש כמעט 600 מיליון סיסמאות באופן מקוון תמורת 14 דולר ארה"ב בלבד!

כיצד נשמרות סיסמאות באתרים?

סיסמאות לאתר נשמרות בדרך כלל בצורה מוגנת באמצעות אלגוריתם מתמטי שנקרא has has. סיסמת גיבוב אינה ניתנת לזיהוי ולא ניתן להחזירה לסיסמה (תהליך בלתי הפיך).

כשאתה מנסה להתחבר, הסיסמה שאתה מזין נשלפת באמצעות אותו תהליך ובהשוואה לגרסה המאוחסנת באתר. תהליך זה חוזר על עצמו בכל פעם שאתה מתחבר.

לדוגמא, הסיסמה "Pa $$ w0rd" מקבלת את הערך "02726d40f378e716981c4321d60ba3a325ed6a4c" כאשר היא מחושבת באמצעות אלגוריתם הגיבוב של SHA1. נסה זאת עצמך.

כאשר אנו עומדים בפני קובץ מלא סיסמאות חשיש, ניתן להשתמש במתקפת כוח אכזרי המנסה כל שילוב של תווים לטווח אורכי סיסמא. זה הפך להיות נוהג כל כך נפוץ שיש אתרי אינטרנט שמציגים סיסמאות נפוצות לצד ערך הגיבוב (המחושב) שלהם. אתה יכול פשוט לחפש את הגיבוב כדי לחשוף את הסיסמה המתאימה.

גניבה ומכירה של רשימות סיסמאות נפוצה כעת כל כך, אתר אינטרנט ייעודי - hasibeenpwned.com - זמין כדי לעזור למשתמשים לבדוק אם חשבונותיהם "בטבע". זה גדל והכליל יותר מעשרה מיליארד פרטי חשבון.

אם כתובת הדוא"ל שלך רשומה באתר זה עליך בהחלט לשנות את הסיסמה שזוהה, כמו גם בכל אתרים אחרים שבהם אתה משתמש באותם אישורים.

האם מורכבות רבה יותר היא הפיתרון?

היית חושב שעם כל כך הרבה הפרות סיסמאות המתרחשות מדי יום, היינו משפרים את נוהלי בחירת הסיסמאות שלנו. למרבה הצער, השנה האחרונה סקר סיסמאות של SplashData לא הראה שינוי קטן במשך חמש שנים.

סקר הסיסמאות השנתי של SplashData בשנת 2019 חשף את הסיסמאות הנפוצות ביותר מ 2015 עד 2019.סקר הסיסמאות השנתי של SplashData בשנת 2019 חשף את הסיסמאות הנפוצות ביותר מ 2015 עד 2019.

ככל שיכולות המחשוב גדלות, נראה שהפתרון הוא מורכבות מוגברת. אך כבני אדם, איננו מיומנים בזכירת סיסמאות מורכבות ביותר (ואינן חדורות לנו).

עברנו גם את הנקודה בה אנו משתמשים רק בשתיים או שלוש מערכות הזקוקות לסיסמה. כעת מקובל לגשת לאתרים רבים, כאשר כל אחד מהם דורש סיסמה (לעיתים קרובות באורך ובמורכבות משתנים). סקר שנערך לאחרונה מעלה כי יש, בממוצע, 70-80 סיסמאות לאדם.

החדשות הטובות הן שיש כלים לטפל בבעיות אלה. מרבית המחשבים תומכים כעת באחסון סיסמאות במערכת ההפעלה או בדפדפן האינטרנט, בדרך כלל עם אפשרות לשתף מידע מאוחסן בין מספר מכשירים.

דוגמאות לכך כוללות את אפל iCloud Keychain ואת היכולת לשמור סיסמאות ב- Internet Explorer, Chrome ו- Firefox (אם כי פחות אמין).

מנהלי סיסמאות כגון KeePassXC יכול לעזור למשתמשים ליצור סיסמאות ארוכות ומורכבות ולאחסן אותן במיקום מאובטח לצורך הצורך.

אמנם עדיין יש צורך להגן על מיקום זה (בדרך כלל עם "סיסמת מאסטר" ארוכה), אך באמצעות מנהל סיסמאות ניתן לקבל סיסמה ייחודית ומורכבת לכל אתר שאתה מבקר בו.

זה לא ימנע גניבת סיסמה מאתר פגיע. אך אם הוא נגנב, לא תצטרך לדאוג לשנות את אותה סיסמה בכל האתרים האחרים שלך.

יש כמובן גם פגיעות בפתרונות האלה, אבל אולי זה סיפור ליום אחר.

על הכותבים

פול הסקל-דאולנד, דיקן עמית (מחשוב ואבטחה), אוניברסיטת אדית קוואן ובריאנה אושיאה, מרצה, פריצה והגנה אתית, אוניברסיטת אדית קוואן

מאמר זה פורסם מחדש מתוך שיחה תחת רישיון Creative Commons. קרא את ה מאמר מקורי.