לכל אחד ולאמם יש אסטרטגיית אבטחת סיסמאות, חלקם טובים יותר מאחרים. בחירה נכונה פירושה שקלול אבטחה מול נוחות, כך שתוכל להישאר בטוח מבלי לאבד את דעתך. אבל מה האיזון הטוב ביותר? האם זה אותו דבר לכולם? בעזרת מומחה אבטחה החלטתי לברר.
במהלך השנים, עשינו זאתפרסם כמה עצות לאבטחת סיסמאות, טריקים וטכניקות החל מהפשוט בלתי נשכח לפרנואיד המושלם. למרות שתמיד השתמשתי בסיסמאות חזקות, רבים מעמיתיי לעבודה עשו מאמצים רבים כדי להגביר את האבטחה שלהם הרבה מעבר לשלי. ידעתי שהסיסמאות שלי צריכות ביקורת, אבל אמצעי האבטחה שהציבו עמיתיי נראו כל כך מתסכלים ולא נוחים. רציתי בטיחות אבל בלי כל הטרחה. כדי לגלות את השילוב הטוב ביותר בין אבטחה ונוחות, החלטתי לבדוק את כל השיטות שאנו ממליצים בעזרת מומחה אבטחה וחקירותברנדון גרג. אולם לפני שנוכל להתחיל, עלינו לדעת מה הופך את הסיסמאות שלנו לפגיעות.
שלושת המשתנים התורמים לסיסמאות חלשות
ברנדון הסביר שלסיסמאות חלשות יש שלושה משתנים, וכל אחד הופך אותם לפגיעים יותר:
סיסמה קלה לניחוש/פיצוח: ברנדון אומר, "עם אמזון EC2, GPUs* ותוכנה כמו מתקפת רשת מבוזרת (DNA) של Accessdata, לנחש חצי מיליארד סיסמאות בשנייה זה קל. השיא האישי שלי הוא 370 מיליון ניחושים בשנייה - לא מטורף, אבל טוב יותר מרובם רשויות אכיפת החוק נראה גם שאתרים מסוימים, כמו טוויטר, מאפשרים סוגים אלה של התקפות כוח גסות נגד חשבונות משתמשים כל עוד 'ניחוש הסיסמה' הוא מ. כתובת IP אקראית בכל ניסיון." עם כל כך הרבה ניחושים אפשריים לשנייה, אינך רוצה סיסמה ניתנת לפיצוח בקלות. בהמשך הפוסט, נדון באילו שיטות מייצרות את הסיסמאות המאובטחות והאמינות ביותר.
סיסמה שנשכחה בקלות: הסיסמאות שלך לא עוזרות לך אם אינך זוכר אותן. ברנדון אומר, "איפוס תמיד של הסיסמה הקשה לזכור רק מוביל לעוד טעויות וחשיפות בעתיד."
סיסמה אחת מספקת גישה לאתרים רבים: שימוש באותה סיסמה לכל דבר אומר שאם האקר פוצח את אחד החשבונות שלך, הוא פיצח את כולם.
*גרפי GPU או כרטיסים גרפיים משמשים לסיסמאות גסות בגלל האופן שבו הם מתמודדים עם חישובים מקבילים. ניתן לייצר GPU אחד או אשכולות של GPUs בזול למדי והם מהירים פי כמה בניחוש סיסמאות מאחיהם ה-CPU.
ביטול אחד או שניים משלושת המשתנים אינו דורש מאמץ רב, אך הסרת שלושתם גורמת לרמה הגבוהה יותר של אי נוחות שאני, ואנשים רבים, מקווה להימנע. אמנם אף אסטרטגיית אבטחה לא חסרה פגיעויות, אבל בפוסט הזה נבדוק כמה סוגים של סיסמאות, החל החלשות וחזקות ושיטות ניהולן כדי לגלות מה הכי טוב לנוחות ומה הכי טוב לאבטחה.
ארבע הרמות של אבטחת סיסמאות
הכי פחות מאובטח: סיסמאות אלפאנומריות פשוטות
הסוג החלש ביותר של סיסמה כולל שילובים של מספרים ואותיות, או רק אחת מכל אחת. אולי קל לזכור מילה, מספר הטלפון שלך או שניהם, אבל קל לפצח את הסיסמאות האלה. לתוכנה הקיימת אין בעיה לנחש מילים במילון, מספרי טלפון, או אפילו שילובים של שניהם - במיוחד כאשר הסיסמה היא מתחת לשמונה תווים.
עם זאת, לא תשכח סיסמה פשוטה. אם אתה משתמש בו עבור כל חשבון שבבעלותך, לא תצטרך לזכור הרבה בכלל. כמובן, זהומְאוֹדלֹא בָּטוּחַ. אם אתה משתמש בסיסמה פשוטה וקצרה, במיוחד בחשבונות רבים, אתה לא רחוק מלהשתמש בסיסמה כלל. למידע נוסף על מדוע קל לפצח סיסמאות חלשות,לקרוא את זה.
דוגמאות: charlie, hotstuff, 8675309, mary212
מאובטח במקצת: סיסמאות מורכבות של 8+ תווים
סיסמאות מורכבות דורשות יותר מאמץ כדי להקליד, אבל הן גם דורשות הרבה יותר מאמץ כדי לפרוץ. סיסמה מורכבת מורכבת משמונה תווים לפחות. כדאי לכלול הוןואותיות קטנות, מספר אחד לפחות ולפחות סמל אחד (למשל !, ?, @ וכו'). כדאי גם להימנע ממילה אחת במילון (למשל פנטומימה → p@nt0m!me). שימוש בביטוי כנקודת התחלה עדיף, אבל שוב, לא מושלם (למשל "אני אוהב עזים → iLuVg0@ts).
שיטה זו נכשלת כאשר אתה משתמש בסיסמה ייחודית לכל אתר מכיוון שאתה צריך לזכור הרבה, הרבה מחרוזות מורכבות של אותיות, מספרים וסמלים.
דוגמאות: t@lk4Ev3r!, iLuVg0@ts, b3stFr13ndS4eVer?!
מאובטח מאוד: סיסמת בסיס מורכבת נפוצה עם מזהים ייחודיים
אתה לא יכול לזכור בקלות סיסמה ארוכה ומורכבת, כך ששימוש בסיסמה שונה עבור כל חשבון פשוט לא עובד (אלא אם כן אתה משתמש גם במנהל סיסמאות, אבל נגיע לזה מאוחר יותר). לזכור רק אחד, לעומת זאת, עושה דברים הרבה יותר קלים. זה גם הופך את הסיסמה שלך לפחות מאובטחתאֶלָא אִםאתה מוסיף מזהה ייחודי. מזהה ייחודי זה יכול להתייחס לאתר כך שלא תשכח אותו. לדוגמה, אם השתמשת ב-iLuVg0@ts כסיסמת הבסיס הנפוצה שלך ורצית ליצור סיסמה עבור Gmail, תוכל להשתמש ב-iLuVg0@ts-gmail. ברנדון מעדיף שיטה זו על פני אחרים:
סיסמת בסיס משותפת בתוספת שם האתר מסירה למעשה את כל שלושת המשתנים. בגלל האורך הוא לא ייסדק על ידי התקפה של מילון או כוח גס. אם ה-Linkedin ייפגע הג'ימייל שלך יישאר בטוח ולבסוף לא תשכח את הסיסמה שלך. זו האפשרות הכי טובה שיש.
דוגמאות: iLuVg0@ts-gmail, iLuVg0@ts-linkedin, iLuVg0@ts-facebook
כמובן, אם האקר נבון הצליח לפצח סיסמה אחת, הוא עשוי להבין את האחרות. ברנדון מציע:
בסיסמאות שלי אני מערבב את סיסמת ה"אתר" לא עם תווית ישירה של GMAIL או LinkedIn, אלא עם אימייל ל-gmail או קורות חיים ל-linkedin. שוב משהו שקל לזכור, אבל קשה לנחש אם החשבון שלך נפגע.
דוגמאות: iLuVg0@ts-email, iLuVg0@ts-resume, iLuVg0@ts-friends
עם סיסמאות שמות בסיסיות נפוצות, יש לך אפשרות בטוחה נוספת: שימוש בביטוי של שלוש מילים עם רווחים (למשל "עזים אוהבות gmail"). שיטה זו עשויה להיראות פחות בטוחה מכיוון שהיא כוללת מילים פשוטות במילון, אך היא פועלת מכיוון שרווחים פועלים. (תוכל לקרוא עוד על שיטת שלוש המיליםכָּאן.) ברנדון מציין ששיטה זו נכשלת לפעמים בגלל האופן שבו אתרים ויישומים מגבילים את אפשרויות הסיסמה שלך:
שיטת שלוש המילים היא רעיון טוב, אך מוגבלת על ידי רבים מהאתרים והיישומים שבהם אתה משתמש. זה פותר את הבעיה הקשה לפיצוח והבעיה שנפגעת בקלות, אבל לא קל לזכור. למה, אתם שואלים? רוב האתרים אינם מאפשרים רווחים בתור תו מיוחד, אז אתה תקוע באמצעות "goats@love@gmail." חלק מהאתרים אפילו מונעים את מספר התווים המיוחדים שבהם אתה משתמש, כך שאולי יש לך אפליקציה אחת שמאפשרת סיסמה A ואחרת שלא. הדבר הבא שאתה יודע שיש לך חמישה סגנונות סיסמאות שונים ואתה לא יכול לזכור איזה סגנון שייך לאיזה כניסה.
דוגמאות: עזים אוהבות gmail, goats@love@facebook, goats!love!pinterist
כאמור, אף פתרון לא מגיע ללא פגיעויות. אם כל האתרים שלך מאפשרים רווחים או לא מגבילים תווים מיוחדים, שיטת שלוש המילים מציעה פשטות רבה יותר. כך או כך, סיסמת בסיס משותפת ומזהה ייחודי מציעים אבטחה ונוחות כאחד.
מאובטח במיוחד: אימות דו-גורמי וסיסמאות אפילו שאתה לא יודע
אין סיסמה בטוחה יותר ממחרוזת תווים ארוכה ומורכבת שאיש אינו יודע. הבעיה הברורה? אתה לא יכול להזין סיסמה שאתה לא יודע. מנהלי סיסמאות אוהביםLastPassפתור בעיה זו על ידי אחסון כל הסיסמאות שלך במסד נתונים בודד, ללא נעילה באמצעות סיסמה ייחודית אחת לבחירתך. כמובן, כפי שברנדון מציין, זה בא עם פגם גדול אחד:
באופן אישי, אני חושש מכל מנהל סיסמאות המשמש לריכוז החשבונות שלי. כמי ש"מפקח" על מערכות רבות אני יכול לומר לך באופן אישי שאם אני לוכד את סיסמת המאסטר של LastPass זה כמו לפתוח מתנה עטופה יפה. התכוונתי למקד רק לחשבון הטוויטר שלך, אבל אתה פשוט נתת לי חנות אחת
כֹּל
החשבונות שלך, אפילו חשבונות הבנקים שלא היה לי מושג שיש לך. תודה לך LastPass ולמשתמש העצלן.
שימוש במנהל סיסמאות סובל מפגיעות דומה לשימוש באותה סיסמה לכל אתר: אתה מפצח אחת, אתה מפצח את כולם. בעוד LastPass, במיוחד, עושה מאמצים רבים לשמור על בטיחות הסיסמאות שלך, אתה מסכן את עצמך על ידי שימוש בסיסמה אחת כדי לשלוט בכולן. הפתרון? אימות דו-גורמי, משהואולי שמעתם עליהם לאחרונה. ברנדון מסביר איך זה עובד:
אימות דו-גורמי מוסיף שכבת אבטחה שכמעט בלתי אפשרי לעקוף אותה. לאחר שימוש באחת מאפשרויות הסיסמה שלמעלה, גוגל (ואתרים אחרים) שולחים הודעת טקסט לטלפון שלך. לא רק שקשה להאקרים כמובן לצפות בטלפון שלך (אלא אם כן זה מותקן
FlexiSPY
או כלים אחרים לניטור תאים) זה נותן לך ראש לתקיפה. אם תקבל פתאום הודעת טקסט עם קוד הרשאה בשעה 2:00 לפנות בוקר, זה יכול להיות סימן שהחברה שלך לשעבר מנסה להיכנס לחשבון שלך.
כשאתה משתמש במנהל סיסמאות כמו LastPass, אתה צריךלאפשר אימות דו-גורמיאו שאתה, כדברי ברנדון, עשוי להציע את הסיסמאות שלך כמתנה עטופה יפה. למרות שלעתים קרובות אנו טוענים ששיטה זו מאבטחת את החשבונות שלך טוב יותר מכל שיטה, היא גם יוצרת את אי הנוחות הגדולה ביותר. תצטרך להחליט אם אי הנוחות הזו חשובה לך או לא.
כיצד אוכל לבחור את אבטחת הסיסמאות הטובה ביותר עבורי?
אבטחת החשבונות שלך פירושה בחירת איזון בין נוחות להגנה. אם אתה מוכן לסבול בדיקות אבטחה קבועות ולהשתמש בסיסמאות שנוצרות באקראי שאינך יודע, אתה יכול להפסיק את הפרנויה שלך. רוב הכותבים והעורכים של Lifehacker משתמשים ברמת אבטחת סיסמאות זו מכיוון שהם לא רוצים לקחת את הסיכון ומוצאים אי נוחות מועטה במאמץ הנוסף. למעשה, רבים הסתגלו לשיטות החדשות ולא מצאו שאימות דו-גורמי אינו נוח כלל. אתה עלול להרגיש אותו הדבר.
באופן אישי, אני מוצא את השיטה הזו מוגזמת ומכבידה מדי. כתוצאה מכך, בחרתי ברמת האבטחה השלישית שלנו ("מאוד מאובטחת") המתוארת לעיל משתי סיבות. ראשית, שימוש בשיטה הדורשת מנהל סיסמאות כרוך במתן אמון במישהו אחר בנתונים שלך. כאשר אתה נותן למישהו אחר את הנתונים שלך אתה לוקח סיכון שהוא עלול לאבד אותם או לשתף אותם (בין אם בכוונה או לא). אם אי פעם סיפרת לחבר סוד, אתה מבין את הסיכון הפוטנציאלי. הסוד השמור היחיד הוא זה שאתה שומר בעצמך. אמנם אינך יכול להימנע מלחלוק את המידע שלך לחלוטין, מכיוון שזה יוביל לחיים מבודדים להחריד, אבל אני מאמין לצמצם את כמות המידע הזה למינימום. שנית, אני רוצה גישה קלה למדי לנתונים שלי ואני בסדר עם הנחת סיכון מסוים. בתור מישהו שעבר חלק ניכר מהקשיים, אני לא מאמין בניסיון לחיות חיים ללא סיכונים. דברים רעים קורים. אנחנו צריכים לנקוט באמצעים סבירים כדי למנוע אותם, אבל לפעמים הם עדיין קורים. בעיני, מעט אבטחה נוסף לא שווה את אי הנוחות.
במה כדאי לבחור? ברנדון מסכם בצורה יפה את תהליך קבלת ההחלטות:
אבטחה לא תמיד עוסקת במי יש את האזעקות הטובות ביותר, את הגדרות הגבוהות ביותר או את הטכנולוגיה העדכנית ביותר. ישנם משתנים רבים באבטחה שלעתים קרובות אנשים מתעלמים מהם כולל עלות ונוחות. אנחנו יכולים לנעול את המחשבים, הטלפונים והאינטרנט שלנו עם הצפנה מלאה, קוראי ביולוגי והרשאה מרובת רמות, אבל אם אינך מעריך את הסיכון הריאלי של עצמך, תוכל להכביד על עצמך בקלות על ידי עלויות גבוהות וגישה איטית. בעוד שאימות דו-שלבי הוא כיום אחת השיטות הטובות ביותר להגנה על הנתונים שלך, הזמן הנוסף לרמת ההרשאה השנייה יכול להפוך למטרד ואולי יתר על המידה. האם אתה מפחד שסין תחטוף בג'ימייל שלך? אם לא, אין צורך באימות דו-גורמי. האם יש חשש אמיתי שניתן לפרוץ לחשבון החיסכון שלך? השתמש באימות דו-גורמי בכל אתרי הבנקים המציעים זאת. הבן טוב יותר את הסיכון שלך כדי לבחור טוב יותר את רמת האבטחה שאתה צריך.
רמת הסיכון שאתה רוצה לקחת תלויה בצרכים האישיים שלך וברמת הסיכון שאתה מוכן לקחת. רק זכור - בעוד שאתה יכול ליישם פרוטוקולי אבטחה קיצוניים, שום דבר לא מונע את האפשרות של פריצה. הכל פגיע.גבה את הנתונים שלך. עקוב מקרוב אחר החשבונות שלך.אבטחה כוללת יותר מאשר נעילת הכל עם סיסמאות טובות. כדאי להכין את עצמך לגרוע מכל. בינתיים, עם זאת, נעל את החשבונות שלך בצורה מאובטחת מספיק עבורך ומשתלבת היטב בחייך.
תודה מיוחדת לברנדון גרגעל עצותיו המומחיות. ברנדון עבד בחקירות עבור חברות Fortune 500 רבות במהלך 12 השנים האחרונות שחקר גניבה, הונאה, פשע מאורגן, ריגול תאגידי ומקרים רבים בפרופיל גבוה, כמו גם היה מחנך, מחבר שפורסם, ונואם מומלץ בנושאי מעקבים, זיהוי פלילי מחשבים, מורכבות חקירות ופריצות אתיות. אתה יכול לברר עליו יותרכָּאן.
תמונות מאתאדל(Shutterstock) ומלאי אלמנטים(Shutterstock).
