פרצות אבטחה קורות כל כך הרבה בימינו, כנראה שנמאס לך לשמוע עליהן ועל כל הדרכים בהן אתה צריך לחזק את החשבונות שלך. גם אם אתהלַחשׁוֹבשמעתם כבר הכל, עם זאת, הכלים של היום לפיצוח סיסמאות מתקדמים יותר וחותכים את תעלולי הסיסמאות החכמים שרבים מאיתנו משתמשים בהם. הנה מה השתנה ומה עליך לעשות בנידון.
פיצוץ מהעבר הוא פיצ'ר שבועי ב-Lifehacker שבו אנו מחייה פוסטים ישנים, אך עדיין רלוונטיים, להנאת הקריאה והפריצה שלכם. השבוע, בעקבות הבאג דימום לב, חשבנו שהגיע הזמן להחיות את הפוסט הזה ולהפריך כמה מיתוסים שעדיין נפוצים מאוד.
רקע: קל יותר לפצח סיסמאות מתמיד
הסיסמאות שלנו הרבה פחות מאובטחות מאשר היו לפני כמה שנים, הודות לחומרה מהירה יותר וטכניקות חדשות שבהן משתמשים מפצחי סיסמאות.Ars Technica מסבירשמעבדים גרפיים לא יקרים מאפשרים לתוכניות לפיצוח סיסמאות לנסות מיליארדי שילובי סיסמאות בשנייה; מה שהיה לוקח שנים לפיצוח עכשיו עשוי לקחת רק חודשים או אולי ימים.
מה שהופך את המצב להרבה יותר גרוע הוא שהאקרים יודעים הרבה יותר על הסיסמאות שלנו מאשר פעם. כל דליפות הסיסמאות האחרונות עזרו להאקרים לזהות את הדפוסים שבהם אנו משתמשים בעת יצירת סיסמאות, כך שהאקרים יכולים כעת להשתמש בכללים ואלגוריתמים כדי לפצח סיסמאות מהר יותר ממה שהם יכלו באמצעות התקפות פשוטות של מילים נפוצות.
קח את הסיסמה "Sup3rThinkers" - סיסמה שתעבור את רוב מבחני חוזק הסיסמה בגלל אורכה של 13 תווים ושימוש באותיות גדולות ומספרים מעורבים. אתר אינטרנטעד כמה הסיסמה שלי מאובטחת?מעריך שייקח למחשב שולחני כמיליון שנים לפצח, עם הערכה של 4 מיליארד חישובים לשנייה. זה ייקח להאקר רק כמה חודשים עכשיו, אומר ארס:
סיסמאות כגון "mustacheehcatsum" (זה "שפם" מאוית קדימה ואחר כך אחורה) עשויות לתת מראה של אבטחה חזקה, אבל הן נסדקות בקלות על ידי בידוד הדפוסים שלהן, ולאחר מכן כתיבת כללים שמגדילים את המילים הכלולות בפריצה של [2009 שירות משחקים מקוונים] RockYou [...]ורשימות דומות. כדי ש[בודק חדירה ביטחונית] רדמן יפצח את "Sup3rThinkers", הוא השתמש בכללים שכיוונו את התוכנה שלו לנסות לא רק "סופר" אלא גם "סופר", "sup3r", "Sup3r", "סופר!!!" ושינויים דומים. לאחר מכן הוא ניסה כל אחת מהמילים הללו בשילוב עם "הוגים", "הוגים", "חושבים 3" ו"חושבים 3.
במילים אחרות, האקרים לגמרי תלויים עלינו!
מה אתה יכול לעשות: לחזק את הסיסמאות שלך על ידי יצירתןייחודיובלתי צפוי לחלוטין
הצענו הרבהעצות חזקות לסיסמאותבמהלך השנים, אבל לאור יכולות הפיצוח המהירות והחדשות יותר, כדאי לבדוק את אלה.
1. הימנע מנוסחאות סיסמאות צפויות
הבעיה הגדולה ביותר היא שכולנו מרפדים את הסיסמאות שלנו באותו אופן (בין השאר מכיוון שרוב החברות מגבילות את אורך הסיסמה שלך ודורשות סוגים מסוימים של תווים). כאשר נדרש להשתמש בשילוב של אותיות גדולות וקטנות, מספרים וסמלים, רובנו:
השתמש בשם, מקום או מילה נפוצה בתור הזרע, למשל, "fido" (נשים נוטות להשתמש בשמות אישיים וגברים נוטים להשתמש בתחביבים)
השתמש באות הראשונה באות רישיות: "פידו"
הוסף מספר, ככל הנראה 1 או 2, בסוף: "Fido1"
הוסף את אחד הסמלים הנפוצים ביותר (~, !, @, #, $, %, &, ?) בסוף: "Fido1!"
לא רק דפוסים אלהברור למנחשי סיסמאות מקצועיים, אפילו החלפת תנועות במספרים ("F1d01!") או הוספה של מילה נוספת ("G00dF1d01!") לא יעזור הרבה, מכיוון שהאקרים משתמשים בתבניות נגדנו ומוסיפים יחד מילים מרשימות הסדקים הראשיות.
טכניקות ערפול חכמות אחרות, כמו העברת מקשים שמאלה או ימינה או שימוש בתבניות מקלדת אחרות, נמחקות כעת גם על ידי כלי פריצה. כפי שכתב מגיב אחד במאמר Ars Technica, האקרים משתמשים במחוללי מילות מפתח כדי לחקות מיליוני דפוסי מקלדת.
הפתרון: אל תעשה מה שכולם עושים. הימנע מהדפוסים שלמעלה וזכור את היסודות: אל תשתמש במילה אחת במילון, בשמות או בתאריכים בסיסמה שלך; השתמש בשילוב של סוגי תווים (כולל רווחים); והפוך את הסיסמאות שלך ארוכות ככל האפשר. אם יש לך תבנית לאופן שבו אתה יוצר סיסמאות בלתי נשכחות, היא מאובטחת רק אם אף אחד אחר לא משתמש בכלל זה. (בדוק את האוסף של מקצוען אבטחת ה-IT, מארק ברנט, של10,000 הסיסמאות הנפוצות ביותר, שלדבריו מייצג 99.8% מכל סיסמאות המשתמשים ממאגרי מידע שדלפו, או רשימה זו של500 הסיסמאות הנפוצות ביותרבעמוד אחד.)
2. השתמש בסיסמה ייחודית לכל אתר
עוד דקה נחזור ליצירת סיסמאות, אבל קודם כל: זו אסטרטגיית האבטחה החשובה מכולן.השתמש בסיסמה שונה עבור כל אתר. זה מגביל את הנזק שניתן לעשות אם/כאשר ישנה פרצת אבטחה.
אם אתה משתמש באותה סיסמה לכל דבר, ומישהו מקבל את הסיסמה שלך בפייסבוק, יש לו את הסיסמה שלך עבורכל אתר שאתה מבקר בו. אם יש לך סיסמה שונה לכל אתר, יש להם גישה רק לחשבון הפייסבוק שלך - כך שלפחות כל החשבונות האחרים שלך מוגנים.
4. השתמש בסיסמאות אקראיות באמת
בטח שמעתם שביטוי סיסמה אקראי בן ארבע מילים הוא בטוח יותר ובלתי נשכח יותר מסיסמאות מסובכות אך קצרות יותר, בתור קומיקס אינטרנטxkcd הצביע בשנה שעברה. זה נכון, אבל לעתים קרובות לא רלוונטי, כי כמו שאמרנו: אתה צריך להשתמש בסיסמה שונה עבור כל חשבון. אם אתה זוכר 100 סיסמאות שונות של ארבע מילים, היה האורח שלי. אבל לרובנו, זה לא משנה כמה קל לזכור את הסיסמאות שלך - פשוט יש יותר מדי מהן. (אם כי גישת ביטוי הסיסמה עשויה להיות טובה, למשל, לכניסה למחשב שלך או למקרים המעטים שבהם אתה צריך לזכור את הסיסמה שלך.)
גם שימוש בווריאציה של אותה סיסמה עבור כל אתר אינו רעיון טוב. נניח שיש לך סיסמה כמו ro7CSfac2V3p1 עבור פייסבוק, ואתה משתמש בגרסה ro7CSlif2V3p1 עבור Lifehacker, וכן הלאה עבור כל האתרים האחרים שלך. אם האקר מקבל גישה לאחת מהסיסמאות הללו, הוא יכול בקלות לנחש את האחרות על ידי החלפת "fac" באותיות שעשויות להתאים לאתרים אחרים (או להבין מהו האלגוריתם שלך). זה יותר קשה, אבל רחוק מלהיות בלתי אפשרי, וזה לא מספיק בטוח לסמוך עליו - אם אתה זוכר את זה, מישהו אחר כנראה יכול להבין את זה.
אז: האפשרות הבטוחה ביותר היא להשתמש במחולל ומנהל סיסמאות. אם אתה רוצה לשמור על החשבונות שלך בטוחים, אתהצוֹרֶךלהשתמש בסיסמה אקראית, ארוכה ומורכבת באמת, ולהשתמש ב-שונה לחלוטיןאחד לכל חשבון. איך משיגים את זה? השתמש במנהל סיסמאות כמוLastPass,KeePass, או1 סיסמה. לא רק שהם ישמרו עבורך את כל הסיסמאות שלך, אלא שהם יכולים ליצור עבורך סיסמאות אקראיות. זה קל יותר לשימוש ולהגדיר ממה שאתה עשוי לחשוב.
למידע נוסף, קרא את המדריך שלנוכיצד לבדוק ולעדכן את הסיסמאות שלך עם LastPassלהנחיות מפורטות. לִזכּוֹר,הסיסמה המאובטחת היחידה היא הסיסמה שאתה לא זוכר- וזו הדרך היחידה להשיג זאת. הטריקים החכמים של סיסמא שהשתמשנו בהם פשוט לא חותכים את זה יותר.
לבסוף, ודא שאתהלהפעיל אימות דו-גורמיעֲבוּרכל האתרים שתומכים בזה! זה, ללא ספק, אחד מההדרכים הטובות ביותר לאבטח את החשבונות שלךנגד האקרים - גם אם הם יקבלו את הסיסמה שלך, הם לא יוכלו לקבל גישה לחשבון שלך.
