שימוש בביטויים נפוצים הופך את סיסמת ביטוי הסיסמה שלך לחסרת תועלת: הנה איך לבחור ביטוי טוב יותר

דנו כיצד להשתמש בביטויי סיסמה כסיסמאותיכול להגביר את האבטחה שלך, אבל אם בחרת ביטוי המשמש בדיבור יומיומי, אתה לא עושה לעצמך - או לנתונים שלך - טובה. על פי מחקר חדש של קיימברידג', ביטוי נפוץ, כמו, נניח, "מחוץ לפארק", מאובטח רק במעט ממילה במילון, וכל מי שמחפש לפצח את הסיסמה שלך כבר יודע לנסות ביטויים נפוצים יחד עם מילים נפוצות. אם אתה מעדיף ביטויי סיסמה, הנה איך להפוך אותם לאבטחים יותר.

מדוע ביטויי סיסמה נפוצים אינם מאובטחים כמו שאתה חושב

הסיבה שמערכות סיסמאות רבות לא יאפשרו לך לבחור מילים במילון כסיסמאות שלך - או לפחות דורשות ממך להוסיף מספרים, אותיות רישיות או תווים מיוחדים למילים האלה - היא כי הדבר הראשון שהאקר יעשה כדי לנסות ולנחש סיסמה היא לנסות כל מילה במילון כדי לראות אם הם יכולים להיכנס. אפילו החלפת "i" ב-"1" או "e" ב-"3" לעתים קרובות לא מספיקה - העובדה שהטריקים האלה היו קיימים במשך כְּמוֹ כל עוד יש להם פירושו שהתחליפים הנפוצים הללו מתווספים בקלות לרשימת המילונים שלך ונכללים בהתקפת הכוח החמור. המטרה של עידוד ביטויי סיסמה במקום זאת היא ליצור אישורים שהם חסרי משמעות לחלוטין עבור כלי עזר לפיצוח סיסמאות, אך בלתי נשכח לאדם שצריך לגשת למערכת נתונה מדי יום.תמונה מאתפרנסיס סטור.

עם זאת, הבעיה היא שכל כך הרבה אנשים, כשהם מאמצים ביטויי סיסמה, משתמשים בביטויים נפוצים מספרים, סרטים פופולריים, ציטוטים בלתי נשכחים, קבוצות ספורט או שמות עצם אחרים שניתן לנחש בקלות.קבוצת חוקרים מאוניברסיטת קיימברידג' פרסמה לאחרונה מחקר(קישור PDF) שם הם גילו ששימוש במילון של הביטויים הנפוצים הללו אפשר להם לפצח כ-8,000 ביטויי סיסמה במערכת PayPhrase הישנה של אמזון. הם מסיקים שביטויי סיסמה כמערכת סיסמאות מספקים בסופו של דבר פחות מ-30 סיביות של אבטחה, שלדעתם היא חלשה מכדי לעמוד ברוב ההתקפות המקוונות.Ars Technica מסביר מה זה אומרבמילים פשוטות:

"30 סיביות של אבטחה" פירושו שהסיכוי של ניחוש בודד לפצח ביטוי סיסמה של ארבע מילים יהיה אחד ל-2^30. יתרה מכך, הביטויים בני שתי המילים שפוצצו במחקר סיפקו רק 2^20.8 (או 20,656/0.0113) סיביות של אבטחה. דרך נוספת לבטא את אותו ממצא היא שמילון של קצת פחות מ-21,000 ביטויים מספיק כדי לנחש את אישורי הכניסה שבהם קצת יותר מאחוז אחד מהאנשים בעולם האמיתי ישתמשו.

אומנם, אחוז אחד מהביטויים הוא מספר קטן מאוד, אבל זה עדיין סיבה לדאגה, ומוביל את הנקודה: כל מערכת אבטחה, גם אם היא בנויה היטב ומורכבת מספיק, יכולה בקלות ליפול טרף לדפוסים שהוצגו על ידי המשתמש. בסופו של דבר, המשתמש - והסיסמה שלו - הוא כמעט תמיד החוליה החלשה ביותר.

כיצד לשפר את ביטויי הסיסמה שלך

זה לא אומר שכל תקווה אבודה לביטויי סיסמה, או שצריך לוותר עליהם ולחזור לסיסמאות חזקות סטנדרטיות. בכנות, אם אתה יכול לשלב בין השניים, אתה צריך - החוזק של סיסמה חזקה עם אותיות, מספרים, רישיות משתנות ותווים מיוחדים משתפר באופן משמעותי כשמחרוזים יחד כביטוי. המפתח הוא לבחור ביטוי שקל לך לזכור, אבל לא, למשל, את קבוצת הספורט האהובה עליך, או את שם העיר והמדינה שלך מחוברים יחד, או את המותג והדגם של המכונית שלך. כן, זה מפחית את קלות השינון, אבל זה משפר מאוד את האבטחה שלך.

המחקר מצביע במפורש על כך ש"ביטויים מרובי מילים, אם הם נבחרים בתמימות על פי נטיות השפה הטבעית, אינם יעילים בהתקפות ניחושים מופחתות כמו בחירות חלופיות, כמו בחירת 2 מילים אקראיות או בחירת שם אישי באקראי". לכן, כדי להגביר את אבטחת ביטוי הסיסמה שלך, אתה צריך לבחור מילים שחשובות לך, אבל לא חשובות לאף אחד אחר. לדוגמה, "ניסאן אלטימה" אולי לא מילה במילון, אבל זה שם עצם פרטי שניתן לנחש בקלות. במקום זאת, תוכל לנסות את "My03AltimaIsBlue".

כַּאֲשֵׁרשוחחנומחולל ביטויי הסיסמה XKCD, הצבענו על שיטה בטוחה נוספת שכדאי לחזור עליה. אם אתה רוצה להשתמש בטקסט האהוב עליך משיר, תפס את צמד התווים הראשונים מהמילים בשורה האהובה עליך, במקום לחבר את כל המילים יחד. הצענו שאוהב ג'קסון 5 עשוי לחלץ סיסמה מהמילים "אוי מותק תן לי עוד הזדמנות להראות לך שאני אוהב אותך" ולהמציא "obgmomctsytily", שהוא בטוח יותר באופן משמעותי.

המחולל סיסמאות XKCDעצמו הוא אכלי חזק ליצירת סיסמאות, בעיקר בגלל שהמילים שהוא מחבר ביחד הן אקראיות - אין להן משמעות מאחוריהן, וקשה יהיה לשבור אותן בהתקפת מילון, ואפילו קשה יותר אם מערבבים רישיות ותווים מיוחדים. אתה יכול גם להרים את זה ולהשתמש בשיטת העברה לימיןעבור הסיסמאות שלך, מה שבאמת הופך אותן לבלתי מובנות.

לבסוף, לאחר שעשית את כל זה, ובנית משפט סיסמה נהדר שקשה לפיצוח וקשה לשבור, עשה לעצמך טובה ותחבר אותו למערכת ניהול סיסמאות כמוLastPass,KeePass, או1 סיסמה, כך שתוכל להשתמש בביטויי סיסמה חזקים שונים עבור כל שירות שבו אתה משתמש, ואחד בלתי נשכח כדי להיכנס לכספת הסיסמאות שלך.

האם אתה משתמש בביטויי סיסמה, או דבק בסיסמאות חזקות? אולי אתה מערבב ביניהם? שתף את הטיפים והטריקים שלך לסיסמה בתגובות למטה.

תמונת כותרת מאתXKCD.