הנה אחד מהמקרים הבודדים שבהם תקלה חמורה באבטחת מידע יכולה דווקא ללמד אותנו לקח חשוב. מומחה אבטחה שבחן את עשרת-אלפי הסיסמאות שדלפו השבוע מאתרי דוא"ל כמו גי'מייל והוטמייל מגלה לנו שהסיסמא הנפוצה ביותר הייתה 123456.
סיסמא זו לא הופיעה מספר רב של פעמים, יחסית (רק 66 פעמים מתוך הרשימה המלאה) אבל אם מביטים על רשימת עשרים ומשהו הסיסמאות הנפוצות באינטרנט בכלל- התמונה אינה מעודדת. 42% מהסיסמאות הכילו רק אותיות קטנות (באנגלית), ורק 6% הכילו שילוב של אותיות ומספרים.
התוצאה: האקר חכם יכול להכין רשימה של כמה מאות סיסמאות 'סטנדרטיות' ולנסות את כולן באופן אוטומטי: הסטטיסטיקה אומר שהוא יפצח כך כעשרים אחוזים מהחשבונות האישיים.
הנה רשימה מייצגת של סיסמאות סטנדרטיות. האם הסיסמא שלך היא אחת מהן?
1. שם ילדך או בן הזוג שלך.
2. יום ההולדת שלך.
3. 123, או 1234 וכו'.
4. QWERTY (שזה עקרונית כמו 123456)
5. שם קבוצת הכדורגל האהודה עליך (או כדורסל, אותו הדבר).
6. שם המוסד החינוכי שלך.
7. password (אף אחד לא יחשוב על זה, אה?)
חשוב לזכור שרוב האנשים משתמשים באותה הסיסמא לכמה מהאתרים אליהם הם רשומים. מכאן, שההאקר צריך לפרוץ רק את האתר עם האבטחה החלשה ביותר כדי לגרוף את כל הקופה...
נשתמע,
רן
11 comments:
סיסמה מוצלחת יכולה להכיל מילה בעיברית (שיהיה קל לזכור) שמשתמשת באותיות האנגליות במקלדת (שיהיה קשה למצוא אותה במילון מילים) - למשל "vhxyurhv" הלא היא "היסטוריה" כמו כן כדאי להוסיף ספרות ו/או סימנים ואותיות קטנות לכן השימוש במילה עיברית הכוללת צדיק סופית (למשל) נותנת שילוב של אותיות וסימן נקודה.
כיווץ = fhuu.
הבעיה בשיטה זו - היא להכניס ססמאות לסלולר אבל עם הכניסה המסיבת של מקלדות qwert ומסכי מגע, גם בעיה זו נעלמת.
"שני הפני שלי"
רעיון מעולה, לא חשבתי על זה אף פעם.
אם יש לכם, הקוראים, רעיונות נוספים- כתבו אותם פה ונרכז אותם בפוסט לטובת שאר הגולשים.
נשתמע,
רן
גם אני חשבתי על הרעיון של האותיות העבריות.
חשבתי גם על עוד רעיון שבו יש סיסמה אחת לכל האתרים/שירותים (שמכילה אותיות קטנות ומספרים) ובסוף מוסיפים אות גדולה שקשורה לאתר/שירות. לדוגמה בגוגל: xxxxxG או בוואלה xxxxxW וכו'.
וכמובן תמיד אפשר לחרבש משהו ואז לרשום את זה על פתק. בד"כ אחרי זמן מה גם זוכרים את זה.
בקשר לססמא מספר 1, יש לזכור שלכל משתמש זה (לרוב) משהו אחר, לכן האקר יצטרך להכיר את האדם אליו הוא מנסה לפרוץ, ולא רלוונטי להאקינג רנדומלי, כפי שרן מציע (20% מהחשבונות...).
שנית, מומחה הבטחה גיבסון מציע להמציא ססמא קשה לכל צורך, ולרשום אותן על נייר כדי לפתור את בעיית הזכרון.
אבל! הססמא לא שלמה בלי תוספת קטנה שהמשתמש זוכר בעל פה.
לדוגמא: לכל הססמאו על הדף מחליפים את הסימן הראשון והשני. ככה על הפתק יהיה כתוב A4exx!2 כאשר הססמא האמיתית היא 4Aexx!2. או m3#5aa במקום 3m#5aa כך גם יש ססמא קשה לפיצוח אקראי, גם קלה לזכירה (היא כתובה) וגם נפילת הפתק לידיים הלא נכונות לא מסכנת את כל הססמאות שלכם.
אני מגדיל אות או שתיים,מוסיף בסוף # או סימן קריאה ואז מוסיף ספרות שקל לזכור,למשל #257 למי שנולד ב25.7 .
אין ספק שניסיון "פריצת" חשבונות באמצעות חיפוש אלה שיש להם סיסמה חלשה וידועה מראש (123456) יכולה לעבוד, אולם בשביל זה צריך לדעת את שם המשתמש. לפעמים הוא לא ידוע.
אולם בשביל לנסות לפרוץ 20% מהחשבונות, כפי שציינת, יהיה צורך בשיטה קצת יותר מורכבת (איטית יותר) שמתחשבת בכך שניסוי כמה סיסמאות שגויות נועל את החשבון, ויש צורך לנסות שתי סיסמאות ולחכות זמן מסויים כדי שהחשבון לא ינעל.
עשרים אחוזים זה כמו עשרים פעם אחוז אחד?
לניר מירצקי...
הילדים שלי כבר מזמן משתמשים בשיטה של האותיות העבריות במקלדת, פשוט מכיוון שהם לא יודעים עדיין את האלף-בית האנגלי (לפחות לא ידעו עד לא מזמן)
בכל מקרה, השיטה הזו קלה לפיצוח לדוברי עברית או לכל אחד שמחזיק אצלו מפת אותיות על המקלדת של כל השפות הנפוצות האחרות. נראה לי שהשיטות האחרות שהוצעו כאן הן יעילות יותר במיוחד שיטת הקידוד בזכרון שהציע zipdrive :)
לויקטור
אמנם לכאורה דוברי עיברית יוכלו להשתמש במילון לפיצוח הסיסמה אך הם יצטרכו לעשות זאת עם אותיות באנגלית.
למרות שבניית כלי כזה שירוץ על מילים עיבריות אבל עם אותיות אנגליות דיי קלה, אני בספק אם פורץ אקראי ינסה לעשות זאת.
בכל מקרה זה מוריד מהרשימה את רוב האקרים בעולם שלבטח אינם דוברי עיברית.
זה דומה קצת לפנל נשלף ברכב. - אפשר לנסות לגנוב את זה - אבל לרכב ליד יש רדיו עם פאנל רגיל אז למה להסתבך.
תמיד יהיו מספיק 123456.
שכחת לתרגם שהמידע הושג באמצעות תרמית phishing כלומר המדגם לא מייצג.
כי קיבלנו רק ססמאות של מי שנפל בפח והאמין לתרמית.
דבר נוסף סיסמאות עם סמלים כגון #!. וכדומה הן הרבה יותר קשות לפיצוח אבל משום מה אתרים המקפידים על כללי בחירת הסיסמאות (כמו חברות כ.אשראי, ק.חולים..) אוסרים (מתוך בורות) להכניס סמלים אלה ואפילו מקטינים באופן מלאכותי את מספר הסיסמאות שניתן להשתמש בהן (בגלל כל מני כללים אידיוטים אחרים שהם מוסיפים - חייב להתחיל באות גדולה אסור שיסתיים בסיפרה אסור יותר מ8 אותיות...).
שכחתי לציין "לטובה" את ebay שם הסיסמאות הן case insensitive
כלומר אם הסיסמא שלך AbC תוכל להכנס גם עם ABC abc Abc ABc ...
מסתבר שזה לא באג - זאת מדיניות מכוונת!! כדי להקל על האוכלוסיה הקשישה - כן זה ההסבר הרישמי שקיבלתי מהם!! הנה טבלה שמדגימה את הבעיתיות
http://onemansblog.com/2007/03/26/how-id-hack-your-weak-passwords/
הוסף רשומת תגובה