עצור, סיסמה!

כולנו כבר יודעים שאבטחה היא נושא חשוב. ועדיין, אנחנו נוטים להתעצבן כשאתר רוצה שנירשם אליו ונזין שם משתמש חדש וסיסמה. “עוד סיסמה? איך אני אזכור את כל הסיסמאות האלה?” וכך אנו נוטים להשתמש בסיסמאות פשוטות וניתנות לזכירה בקלות, כמו “1111” או תאריך הלידה שלנו, או שאנחנו משתמשים באותה הסיסמה עבור כל האתרים והתוכנות בהם אנחנו משתמשים.

טעות חמורה.

סיסמאות, כמו מפתחות, נועדו למנוע מגורמים בלתי-רצויים גישה למקומות פרטיים, חשובים או סתם אישיים. כמו מפתחות, נרצה שהם יהיו משוכללים, כדי שלא כל אחד עם סיכת ראש יוכל לפרוץ לנו הביתה (או לתיבת הדואר). כמו מפתחות, לא נראה להשתמש במפתח מאסטר, כדי שאם מישהו ישיג גישה למקום שמור אחד, הוא לא יוכל להשתמש במפתח כדי להגיע לכל שאר המקומות. וכמו מפתחות, גם אוסף של סיסמאות יכול להכביד (אם כי, למזלנו, הוא אינו יכול להרעיש, לקרוע כיסים או ליפול לנו על הרגל). הבה נסקור מספר כללי בטיחות וטיפים שיעזרו לנו להתנהל נכון עם סיסמאות.

עצור, סיסמה! ג'ימייל בתחקור ביטחוני
עצור, סיסמה! ג’ימייל בתחקור ביטחוני

כללי בטיחות

צרו סיסמאות מורכבות

כדי לפרוץ לחשבונות משתמשים, נעזרים הפורצים בדרך-כלל בתוכנות מחשב שעוזרות להם “לנחש” סיסמאות. תוכנות כאלה יכולות לנסות צירופים שונים במהירות מדהימה, וכך לכסות אפשרויות רבות ולהגדיל את הסיכוי לפגיעה בסיסמה הנכונה. לדוגמה, הקוד הסודי של כרטיס אשראי מורכב מארבע ספרות. כדי למצוא אותו, יש לנסות את הצירוף “0000”, אחר-כך את “0001” וכו’, עד ל-“9999”. בסך-הכל, מדובר בעשרת אלפים צירופים – ממש לא הרבה בשביל מחשב מודרני. למעשה, כל מחשב שיוצר בעשור האחרון מסוגל לספור מאפס עד מיליון תוך פחות מאלפית שניה. כדי להרתיע פורצים (ותוכנות), נוכל להגדיל את אורך הסיסמה שלנו. לדוגמה, הגדלת מספר הספרות לחמש משמעותה 100,000 צירופים (מ-“00000” עד “99999”), פי עשרה מהמספר הקודם, וזאת באמצעות הוספת סיפרה אחת בלבד! הוספת אותיות לסיסמה בנוסף לספרות תגדיל את המורכבות של כל תו – בנוסף לספרות בין 0 ל-9, אפשר יהיה גם להקיש כל אות בין א’ לת’, ובכך להגדיל את המורכבות של כל תו ל-37 אפשרויות (10 ספרות + 22 אותיות + 5 אותיות סופיות) במקום העשר הקודמות (ספרות בלבד). ארבעה תווים יתנו לנו מורכבות של 1,874,161 צירופים שונים – מ-“0000” ועד “תתתת”, וחמישה תווים יזניקו אותנו ל-69,343,957 אפשרויות. ככל שנוסיף סוגי תווים (אותיות אנגליות קטנות וגדולות, תווים מיוחדים כמו “+” או “%”) ונגדיל את מספרם, נוכל להגיע לסיסמה שיקשה מאוד על תוכנת מחשב לפצח בזמן סביר.

פורצי המחשבים נעזרים לא רק בתוכנות, כי-אם גם בשכל ישר. אנשים רבים משתמשים במידע קיים עבור הסיסמאות שלהם – ממספר הטלפון שלהם ועד לתאריך הלידה. מאחר שהמידע הזה זמין לכל וניתן להשגה בלי בעיות, לא כדאי להשתמש בו. בסרטים, הכספת נפתחת לאחר שהפורץ מנסה את תאריך הלידה של הילדים, את שם הכלב או צירוף פשוט, כמו “12345”. הרבה פעמים, התיאור הזה לא רחוק מהמציאות. בקטגוריה זו נכללות סיסמאות כמו “password1”, “סיסמה”, “1998” ואפילו “123qwe” – לא צריך להיות גאון כדי להסתכל על לוח המקשים ולמצוא צירופים פשוטים.

אתרים מסוימים מקשים עלינו לאבטח את עצמנו – הם מגבילים אותנו לאותיות קטנות באנגלית, או לספרות בלבד, או לאורך סיסמה של שמונה תווים לכל היותר. צרו את הסיסמה החזקה ביותר שאתם יכולים, בהתחשב במגבלות שמטילים האתרים הללו – אל תחזרו על אותו תו פעמיים, אל תיצרו מלים או מספרים בעלי משמעות ואל תחזרו על סיסמאות.

השתמשו בסיסמאות שונות

אמרתי זאת כבר, ואומר זאת שוב: כשאתם משתמשים בסיסמה אחת לכל האתרים ולכל המחשבים אליהם אתם ניגשים, מי שיכול לגשת למקום אחד יוכל לגשת לכולם. אם נתתם את הסיסמה לחבר כדי שיוכל לבדוק עבורכם אימייל בעודכם בטיול, הוא יוכל גם לגשת לחשבון הבנק שלכם. אם אתם משתמשים בחשבון אחד במחשב עבור כל בני הבית וכולם יודעים את הסיסמה, יש לכולם עכשיו גם גישה לחשבון האשראי שלכם (יש לכם ילדים? חישבו מה הם יכולים לעולל עם המידע הזה…).

הפתרון פשוט: השתמשו בסיסמה שונה עבור כל אתר ועבור כל חשבון. כך תוכלו לשלוט ברמת הגישה שיש לאנשים אחרים לחיים הפרטיים שלכם, וגם לצמצם נזקים במקרה שאחת הסיסמאות דולפת. וזה קורה: מדי פעם, אנחנו שומעים על סיסמאות שנגנבו מאתר כלשהו. כדאי מאוד, שגם אם מישהו פרץ לאתר הקניות האהוב עלינו וגנב את שם המשתמש והסיסמה שלנו שם, הוא לא יוכל להשתמש במידע הזה כדי להיכנס בשמנו לאתרים אחרים ולחגוג על חשבוננו.

שנו את הסיסמאות מדי פעם

ואל תשתמשו בהן שוב, גם לא עבור חשבונות אחרים. כך תוכלו להקשות על פורצים, שייאלצו להתחיל מהתחלה בכל פעם. אתרים מסוימים (בעיקר בנקים) אף יכריחו אתכם לעדכן את הסיסמה בכל חודשיים-שלושה. זהו טווח הזמן המקובל, וכל המקצר – הרי זה משובח (כן, אני יודע – גם מסובך).

אתר Live של מיקרוסופט בודק אישור כניסה
אתר Live של מיקרוסופט בודק אישור כניסה

אל תשמרו את הסיסמאות שלכם במקום גלוי

את הכותרת לעיל הייתי רוצה לנסח כ”אל תשמרו את הסיסמאות שלכם בכתב, בשום מקום”, אבל אני מציאותי. קשה לזכור סיסמה ארוכה ונטולת משמעות (בלי שמות, תאריכים או מלים ידועות – זוכרים?). קשה עוד יותר לעשות זאת עם סיסמאות שונות עבור כל אתר וחשבון – לרובנו יש יותר מעשרה חשבונות הדורשים סיסמה (מחשב בבית ובעבודה, ספק אינטרנט, תא קולי, כתובת אימייל אחת או שתיים, הקוד של הרכב, כרטיס האשראי ועוד, ואפילו לא דיברנו על אתרי קניות, בנקים ותשלומי חשבונות). ראיתי כבר סיסמאות כתובות על פתקים שהוצמדו לצג המחשב, כאלה שהודבקו מתחת למקלדת וגם כאלה שנשמרו בצורה מאוד מסודרת במסמך במחשב. כל האמצעים הללו נגישים מדי, וכל פורץ (פיזי הפעם) יוכל לגלות את הסיסמאות ולעשות בהן שימוש זדוני.

מה עושים? מצפינים. תוכנות שונות (בהן נדון בהמשך) יעזרו לנו לשמור את אוסף הסיסמאות שלנו. התוכנות הללו מוגנות אף הן באמצעות סיסמה, אבל עכשיו עלינו לזכור רק סיסמה אחת. נוכל לדמות זאת למפתחות המונחים בכספת – עכשיו עלינו לשמור רק על מפתח הכספת. מצד שני, אם מישהו יניח את ידו על המפתח הזה, הכל אבוד – הוא יוכל לגשת לכל שאר המפתחות. לכן, שימרו מכל משמר על הסיסמה הראשית, זיכרו אותה בעל-פה, אל תכתבו אותה ואל תשתפו אותה עם אף אחד.

אל תשתפו אחרים בסיסמאות שלכם

אני לא מדבר כאן על אנשים שאנחנו לא בוטחים בהם – זה מובן מאליו. אבל גם אנשים שאנחנו מכירים ואוהבים יכולים לגרום לפגיעה בנו – אולי הם לא מקפידים על אבטחת המידע שלהם, הסיסמה שנתתם להם כתובה אצלם איפשהו וכל אחד יכול לקרוא אותה? אולי הם חושבים שהסיסמה שנתתם להם היא סיסמה טובה ולכן הם משתמשים בה בעצמם? ואולי הם חושבים שהיא סיסמה ממש מצוינת, ומספרים לכולם על החברים הגאונים שלהם שחשבו על סיסמה כל-כך מקורית?

טוב, בואו לא נגזים; ועדיין, שיתוף סיסמאות אינו רעיון טוב – הוא רק מגדיל את הסיכון. במקרה שאתם צריכים לשתף מישהו בסיסמה כדי שיבצע עבורכם פעולה כלשהי, אל תשכחו לשנות אותה מייד אחרי שהוא סיים, כדי למנוע בעיות אפשריות.

עצות לעבודה עם סיסמאות

ייצור סיסמאות

סיסמאות אקראיות
סיסמאות אקראיות

כדי ליצור סיסמאות מאובטחות, עלינו להשתמש בתווים שונים ומשונים. אתרים שונים מציעים סיסמאות המיוצרות באופן אקראי לפי דרישה. לדוגמה, בכל פעם שתרעננו את הדף (לחיצה על F5) בעמוד הסיסמאות של סטיב גיבסון, תקבלו סיסמאות שונות. אתרים אחרים מציעים עמוד בו תוכלו לבחור את אורך הסיסמה וסוגי התווים (עם/בלי אותיות גדולות, עם/בלי מספרים וכו’). אם המאמר הזה גורם לכם להרגיש מעט פרנואידים, תוכלו לבקש מספר גדול מהרצוי של תווים ולבחור רק חלק מהם עבור הסיסמה שלכם כדי להרגיש בטוחים לגמרי.

ישנן גם תוכנות שכל תפקידן הוא לייצר סיסמאות, אך מאחר שהאתרים שציינתי עושים זאת לא פחות טוב ואינם מצריכים התקנה כלשהי, נדלג על התוכנות הללו.

טריק נוסף שאנשים משתמשים בו הוא הסתמכות על “בסיס סיסמה” קבוע, תוך שינוי חלקים בסיסמה בהתבסס על האתר עבורו אנו מייצרים אותה. לדוגמה, נבחר בצירוף “8jrs5” כבסיס לסיסמה. הסיסמה שלנו בבנק תהיה “8jrs5banK”, הסיסמה לאתר כרטיס האשראי תהיה  “8jrs5visA” והסיסמה שלנו באתר הקניות איביי תהיה “8jrs5ebaY”. עליתם על הנוסחה? כל הסיסמאות מורכבות מהבסיס ולאחריו שם האתר באותיות קטנות, כשהאות האחרונה של שם האתר גדולה. כדאי, כמובן, ליצור בסיס וכללי חיבור מורכבים יותר, אבל הרעיון נשאר. היתרון בשיטה זו הוא שימוש בסיסמאות שונות מצד אחד, כשמצד שני קל לזכור אותן. החיסרון הוא בפגיעות: מי שיעלה על הנוסחה שלנו יוכל להסיק ממנה את כל הסיסמאות שלנו, מתן סיסמה אחת לחבר מסכנת את כולן, וגם קשה לשנות אותן כל שלושה חודשים, מאחר שהן די קבועות עבור כל אתר.

תוכנות

תוכנות מסוימות יזכרו עבורנו סיסמאות, ואפילו יציעו אפשרויות נוספות. לדוגמה, כל דפדפן מציע כיום לזכור עבורנו שמות משתמש וסיסמאות עבור האתרים בהם אנו מבקרים. הדפדפן פיירפוקס מציע, נוסף על זכירת הסיסמאות ומילוין בעמודים הנכונים, גם הגנה על רשימת הסיסמאות באמצעות סיסמה ראשית, ואפילו סנכרון הסיסמאות בין המחשבים בהם אנחנו משתמשים. הנה מספר תוכנות נוספות:

RoboForm - גרסת אייפון
RoboForm – גרסת אייפון

תוכנה בשם SplashID מנהלת שמות משתמש וסיסמאות ומאפשרת למשתמש לחפש ולעדכן אותן. אם יש לכם טלפון חכם, תוכלו להתקין עליו גרסה ניידת של התוכנה שתסתנכרן עם המחשב שלכם. באופן זה, תוכלו לשאת עמכם את הסיסמאות שלכם לכל מקום, ולהיכנס לחשבונות שלכם גם אם אתם משתמשים כרגע במחשב שאינו שלכם. התוכנה עולה אמנם כסף, אבל מעריציה טוענים שהיא שווה כל שקל.

תוכנת ניהול סיסמאות אחרת בשם RoboForm מוסיפה תכונה מעניינת: נוסף על ניהול הסיסמאות וסנכרון אפשרי עם מכשיר הטלפון, היא אף תמלא עבורכם טפסים בעמודי אינטרנט באופן אוטומטי במבחר דפדפנים.

קיימות גם תוכנות חינמיות לניהול סיסמאות, למרות שאוסף האפשרויות שלהן מוגבל יותר. אחת מהן היא KeePass, המציעה גם מבחר תוספים ותוכנות לטלפונים שנכתבו על-ידי מתנדבים.

 סיסמאות ללא תווים

סמסונג גלקסי עומד על המשמר
סמסונג גלקסי עומד על המשמר

במקרים מסוימים, ניתן להשתמש בהגנה נטולת סיסמאות, או לפחות כאלה הדורשות הקלדה. לדוגמה, מחשבים ניידים מגיעים לפעמים עם קורא טביעות אצבע – הירשמו באמצעות התוכנה המסופקת עם המחשב ותוכלו להיכנס לחשבון שלכם בהינף אצבע ממש, ללא הקלדת סיסמה. טלפונים חכמים מסדרת גלקסי של סמסונג מציעים הגנה באמצעות ציור קווים בין נקודות במקום הקלדת סיסמה – רק מי שיודע לצייר את הציור שהוזן יוכל להשתמש בטלפון.

דוגמה נוספת היא מערכת ההפעלה Windows 8, שם נעשה ניסוי להציג צורה חדשה של סיסמאות: המחשב יציג תמונה על המסך, והמשתמש יצטרך לגעת בנקודות מסוימות לפי הסדר. לדוגמה, ביצירת ה”סיסמה” נוכל לבחור בתמונה של הילדים, ואז לגעת בלחי ימין, בלחי שמאל ובאף של כל אחד מהם. מעכשיו, בכל פעם שנרצה להיכנס לחשבון שלנו במחשב, נצטרך לחזור על רצף הנגיעות שהגדרנו.

איך אתם זוכרים סיסמאות? איך אתם בוחרים אותן? האם יש לכם רעיונות לטריקים שלא נדונו כאן? אשמח לשמוע!

One thought on “עצור, סיסמה!”

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *