מדוע דרישות סיסמאות מורכבות אינן בהכרח הופכות אותך לבטוח יותר

אנחנו כבר יודעים שרוב המשתמשיםסיסמאות חכמות אינן מגנות עליהן מפני האקרים. מסתבר שגם דרישות הסיסמאות המורכבות שרוב האתרים מבקשים מכם אינן עושות כל כך כדי לעזור.

דרישות המורכבות לא עוצרות האקרים, ואנחנו עדיין צפויים

בסרטון למעלה,יועץ האבטחה ריק רדמןמסביר כיצד רוב האתרים משתמשים בכללים חלשים או מיושנים כדי לעזור לך ליצור סיסמה. לאתרים שבהם אתה יוצר התחברות כנראה יש דרישות שנראות בערך כך:

• חייב להכיל יותר מ-8 תווים.

• יש להשתמש באות גדולה, באות קטנה ומספר.

• חייב להשתמש בתו מיוחד כמו %, &, *, או !.

אלה גורמות לסיסמאות שלך להרגיש בטוחות יותר - והן טובות יותר מסיסמה כמו 123456 - אבל עבור מפצחי סיסמאות מודרניים, אלה הם מכשולים טריוויאליים לעקוף. כפי שמציין רדמן, תמורת 2,000 דולר יכול קרקר לרכוש מכונה שיכולה לפצח את כל הסיסמאות האפשריות של 8 תווים - לא משנה בכמה אותיות גדולות או תווים מיוחדים אתה משתמש - תוך 3.7 ימים בלבד בעת שימוש בהצפנת NTLM (שבה Windows משתמשת) . אם אתר משתמש בהצפנת MD5 כדי לאחסן את הסיסמה שלך, יידרשו 8 ימים לפצח את כל הסיסמאות האפשריות של 8 תווים. להצפנת SHA1, כמו הסוג שבו לינקדאין השתמשהעבור סיסמאות המאוחסנות בדליפה האדירה שלה, המכונה הזולה הזו יכולה לפצח את כולם תוך 24 ימים. אם למפצח סיסמאות הייתה גישה למכונות טובות יותר, ניתן היה לצמצם את הזמן הזה באופן דרמטי.

במילים אחרות, לא משנה אילו כללים היו ללינקדאין לגבי סיסמאות, אם הייתה לך סיסמה של 8 תווים במהלך הדליפה הגדולה ההיא, קרקר איפשהו עכשיו יודע את זה. וזה אם אתה פוצח סיסמה בדרך הקשה.

במציאות, רוב האנשים דבקים במודע או בתת מודע לדפוסים מסוימים בעת יצירת הסיסמאות שלהם. רדמן משתמש בסיסמאות הבאות כדוגמאות:

Austin1!, Sports9?, Hiphop4$, Camels2%

כל אחת מהן נראית כמו סיסמאות די מציאותיות עבור האדם הממוצע. הם כוללים עניין או מילה שהם יכולים לזכור, הם מתחילים באות גדולה, והם כוללים מספר ותו מיוחד המודבקים עליהם כדי לספק את דרישות הסיסמה של אתר אינטרנט.

עם זאת, כל הארבעה עוקבים אחר דפוס מסוים: אות גדולה אחת, חמש אותיות קטנות, מספר אחד, מיוחד אחד. קרקרים יכולים להשתמש בדפוסים כאלה כדי להפחית באופן דרסטי את משך הזמן שלוקח לנחש סיסמה מוצפנת. כעת, במקום לקחת 2,000 דולר ו-8 ימים, אפליקציה לפיצוח סיסמאות יכולה לעשות זאת בהרבה פחות זמן.

זו גם הסיבה שדרישות ארוכות יותר של סיסמה לא בהכרח משפרות את המצב. אם משתמש קצה צריך להזין סיסמה של 12 תווים במקום 8 תווים, סביר להניח שהוא ישתמש בסיסמה כמו Mississippi9, שפשוט משתמשת במילת בסיס ארוכה יותר, אבל עדיין דבקה בדפוס צפוי.

כל זה לא אומר שסיסמאות מורכבות הן רעות מטבען, או שזו אשמתך. רוב האתרים שבהם אתה משתמש פשוט לא מסבירים בצורה מספקת כמה מורכבת הסיסמה שלך צריכה להיות. הבעיה היאלָנוּ. אם זה משהו שאנחנו יכולים לזכור בצורה מהימנה, זה כנראה משהו שמפצח סיסמאות מקצועי יכול להבין. הסיסמה המאובטחת היחידה היאאת זה שאתה לא זוכר.

מה אתה יכול לעשות כדי להגן על עצמך

ההרצאה של רדמן מכוונת לאנשי אבטחה ומנהלי אינטרנט. חלק ממה שמופיע בסרטון למעלה עשוי להישמע קטלני ולא בשליטתך (כי כן). למרבה המזל, עדיין יש כמה דברים שאתה יכול לעשות כדי להגן על עצמך:

• הפסק להשתמש באותה סיסמה עבור יותר מאתר אחד.אי אפשר להדגיש את זה מספיק. זה לא משנה אם יש לך סיסמה אקראית לחלוטין של 100 תווים, אם השתמשת בה במספר אתרים. לא משנה מה הסיסמה שלך הייתה בלינקדאין, היא נמצאת שם עכשיו. אם האקר מקצועי פוצח את הסיסמה שלך באתר אחד, יש לו אותה בכולם. תָמִיד,תָמִיד,תָמִיד השתמש בסיסמאות ייחודיות לכל אתר.

• השתמש בסיסמאות שאינך זוכר (עם מנהל סיסמאות):הסיסמה הטובה ביותר שתוכל לקבל היא סיסמה מורכבת מכדי שתוכל לזכור. מנהלי סיסמאות מושלמים לכך. קבל מנהל סיסמאות, השתמש בו כדי ליצור סיסמאות אקראיות שאי אפשר לזכור, ואחסן אותן עם האפליקציה. כן, זה אומר לסמוך על אפליקציה אחת עם כל הסיסמאות שלך, אבל זה אומר שהסיסמאות שבהן אתה משתמש בפועל יכולות להיות הרבה יותר חזקות. בדוקהשוואת מנהל הסיסמאות שלנוכדי למצוא אחד שמתאים לך. לכל הפחות,השתמש ב-Smart Lock של Chrome.

• אם אתהישכדי לזכור סיסמה, השתמש בביטוי סיסמה:יש מקרים שאתה פשוט צריך להשתמש בסיסמה בלתי נשכחת. במקרה כזה, אם אפשר,השתמש בביטוי סיסמה במקום זאת. במקום ליצור סיסמה קצרה עם כללים מוזרים, ביטויי סיסמה הם ביטויים ארוכים או אפילו משפטים. אלה יכולים להיות קל יותר לזכור תוך שהם גם ארוכים מספיק כדי להכשיל את רוב מפצחי הסיסמאות. או לפחות להכשיל אותם מספיק כדי לוותר עליך ולעבור למישהו אחר.

• הפעל אימות דו-גורמי בכל מקום:אימות דו-גורמי מחייב אותך להשתמש בגורם שני כמו הודעת טקסט או קוד שנוצר בטלפון שלך כדי להיכנס, בנוסף לסיסמה.הפעל אותו בכל מקום. באופן אידיאלי, רוב האתרים ידרשו זאת, אבל כרגע זה אופציונלי. זו אי נוחות קלה, אבל זה יכול להציל את החשבון שלך אם הסיסמה שלך תיפצח אי פעם.

אתה יכול גם להודיע ​​לאתרים שאתה לא מרוצה כאשר תקני האבטחה שלהם חסרים. אם הםלא תומכים באימות דו-גורמי, שים מגבלות על משך הסיסמה שלך, או ישלח אליך את הסיסמה שלך באימייל בטקסט רגיל אם תאבד אותה, שלח דוא"ל לתמיכה שלהם ויידע אותםזה לא מקובל. חברות לא תמיד עושות את מה שהכי טוב למען אבטחת המשתמשים שלהן, אלא אם כן הן מתבקשות על ידי דרישת משתמש או עלות. אם אתה משתמש באתר עם אבטחה לקויה, הודע להם. מקווה שהם יסתדרו.