פצח את זה: כיצד לבחור סיסמאות חזקות ולשמור אותן כך

אם יש דבר אחד שאנשים מקשרים לטכנולוגיה מודרנית, זה סיסמאות. הם נמצאים בכל מקום, ורובנו משתמשים בהם לעשרות דברים מדי יום. עם זאת, רוב האנשים אדישים באופן מזעזע לגבי אבטחת הסיסמה שלהם. רובנו כנראה מכירים מישהו שמשתמש באותה סיסמה עבורו הכל, מהמחשב והאימייל שלהם לחשבונות הפייסבוק והבנק שלהם - והסיסמה הזו עשויה להיות משהו ברור כמו יום ההולדת שלהם או שם הרחוב שבו הם גדלו. ובטח אנחנו גם מכירים מישהו שיש לו פתק דביק בצד הצג שלו שכותרתו "סיסמאות" (ב אדום, עם קו תחתון כפול) עם רשימה של כל דבר, מטוויטר ועד נטפליקס, שפשוט עומדת בפני כולם לקרוא.

השיטות האלה אולי נשמעות כמו משהו מהדור של הסבים והסבתות שלנו, אבל זה לא לגמרי נכון: בשבוע שעבר צפיתי ב חבר מן המניין של דור D מנסה לעבור מסמסונג גלקסי S (er, Fascinate) ל-HTC Rezound דרך המחברת שלו מַחשֵׁב. איך הוא העביר את כל הסיסמאות שלו? היה לו פיסת נייר בארנק עם "כל הסיסמאות שלו" - ועוד את כל הוא התכוון שְׁלוֹשָׁה. אחד למייל ולרשתות חברתיות, אחד למייל של דודתו הגדולה ("אני בודק את זה בשבילה"), ואחר לכל השאר. כשהסתכל מעבר לכתפו, שלושתם היו מילים יומיומיות: כף היד,ממלמל, ו ליליאן. נחשו מי הייתה של דודתו?

למרבה המזל, יש דרכים פשוטות להפוך סיסמאות קשות לניחוש והן קלות לזכור. לצערי, תעשיית הטכנולוגיה לפעמים מפריעה לשימוש בהם. להלן סקירה של חולשות סיסמאות נפוצות וכמה דרכים בהן תוכל לשפר את הסיסמאות שלך ואת הבטיחות המקוונת שלך.

ערפול מול מורכבות

אמת נפוצה לגבי סיסמאות היא שהם צריכים לעולם לא שיהיה קל לנחש. רוב האנשים שמבינים בטכנולוגיה מסכימים שאף אחד לא צריך להשתמש בפרטים על עצמם כסיסמה: זה כולל ימי הולדת, כתובות ושמות של חברים ובני משפחה (כולל הורים, אחים, בני זוג, ילדים ו אפילו חיות מחמד). באופן דומה, סיסמה עושה סיסמה גרועה במיוחד - כמו כל השאר סיסמאות זרוקות נפוצות.

עצה ירוקה עד זו מתפרשת לעתים קרובות כמשמעות שסיסמאות צריכות להיות מְעוּרפָּל, או מונח שאף אחד לא היה חושב שתבחר אם היו לו מיליון שנים. כן, לא ברור יכול לעבוד - וזה מראה טוב יותר מאשר לבחור סיסמה ברורה. עם זאת, סיסמה לא ברורה מגינה עליך רק מפני אנשים שיודעים עליך משהו. רוב הסיכויים הם שרוב האנשים מנסים לפצח את הסיסמאות שלך לא מכיר אותך.

רוב פיצוח הסיסמאות לא קורה כפי שהוא מוצג בסרטים, שם הגיבור שלנו (או נבל) יושב ליד מקלדת, מנסה ביטוי או שניים, משפשף את סנטרו, ואז מרגל אחר תמונת ילדות השולחן. אהה! הקלד את מילת הקסם ו פרסטו, אבטחה עוקפת. בעולם האמיתי, הרוב המכריע של פיצוח סיסמאות הוא אוטומטי, עם מחשבים פשוטו כמשמעו לזרוק כל מילה במילון (ואחר כך קצת) על מערכת בתקווה להיתקל בה מונח נכון. גישה זו יכולה לעבוד מכיוון שמחשבים יכולים לנסות סיסמאות הרבה יותר מהר ממה שבני אדם יכולים להקליד אותן, והן יכולות לפעול 24 שעות ביממה, שבעה ימים בשבוע, ללא הפסקות שירותים. מפצחי סיסמאות אוטומטיים אינם יודעים דבר על המשתמשים שהם מנסים להתפשר: זו גישה של כוח גס.

אז מסתבר שמפתח לסיסמה חזקה הוא לא שלו עִרפּוּל אבל זה מוּרכָּבוּת - דברים שמפחיתים את הסיכוי לנחש אותו על ידי מפצח סיסמאות אוטומטי. עם זאת, יצירת סיסמה מורכבת טובה פירושה לדעת קצת על האופן שבו סיסמאות נשברות.

שבירת סיסמאות

במונחים כלליים מאוד, לפיצוחי סיסמאות יש בדרך כלל שתי גישות. האחת היא פשוט לנסות רשימה מורכבת מראש של סיסמאות אפשריות. אלה בדרך כלל מתחילים מסיסמאות נפוצות מאוד (כמו סיסמה אוֹ qwerty) ולרדת למונחים פחות נפוצים, ובסופו של דבר להשתמש ברשימת מילים שנאספה ממילון מקוון וממקורות אחרים. סבירות גבוהה יותר שגישה זו תמצא סיסמאות שהן מילים חוקיות או גרסאות בהן, גם אם הן לא ברורות.

גישה נוספת לפיצוח סיסמאות היא לנסות רצפים חוקיים של אותיות, מספרים וסמלים, ללא קשר למשמעותם. מפצח סיסמאות המשתמש בגישה זו עשוי להתחיל עם aaaaaaa לקבלת סיסמה בת שמונה תווים, ולאחר מכן נסה אאאאאאב לאחר מכן aaaaaac וכן הלאה במעלה האלפבית, דרך ערבובים של אותיות גדולות וקטנות, והשלכת מספרים וסמלים. גישה זו נוטה יותר למצוא סיסמאות "ידידותיות למכונה" או שנוצרות באופן אקראי. קוד סיסמה כמו 4De78Hf1 לא קשה יותר למצוא את הדרך הזו מאשר מִתבַּגֵר יהיה.

אז מה הסיכויים לנחש סיסמה? רוב המערכות כיום מאפשרות למשתמשים ליצור סיסמאות באמצעות אותיות (אותיות גדולות וקטנות), מספרים ומבחר סמלים. סמלים מותרים משתנים לעתים קרובות בין מערכות (חלקם מאפשרים כמעט כל דבר, אחרים מאפשרים רק קומץ), אך למטרותינו בואו נניח שזה אומר שכל תו בסיסמה יכול להיות אחד מתוך כ-80 ערכים - שני אלפביתים באורך 26 אותיות כל אחד, עשר ספרות ו-18 סמלים. (בתיאוריה לפחות 127 ערכים צריכים להיות זמינים עבור כל תו, אך בפועל מדובר במספר קטן יותר.)

שימוש בגישה של כוח גס גרידא, זה אומר שידרשו מקסימום 80 ניחושים כדי להבין באקראי סיסמה של תו אחד. סיסמה של ארבעה תווים יכולה לקחת למעלה מ-40 מיליון ניחושים (80 × 80 × 80 × 80 = 40,960,000) וסיסמה של שמונה תווים יכולה להשתלט על 1.6 קוודריליון ניחושים (1,677,721,600,000,000).

אם מפצח סיסמאות היה מסוגל לבצע 1,000 ניחושים בשנייה, הוא יצטרך בערך חודש כדי להפעיל את כל השילובים של סיסמה של ארבעה תווים, ולמעלה מ-53,000 שנים להפעיל את כל השילובים של סיסמה בת 8 תווים. זה נראה די בטוח, נכון?

ובכן לא באמת. במונחים סטטיסטיים בלבד, לקרקר יש סיכוי של 50/50 למצוא את הסיסמה ב חֲצִי הזמן ההוא. מטריד יותר, לאנשים שמייצרים מפצחי סיסמאות יש דרכים אחרות לשפר את הסיכויים שלהם. תזכור איך סיסמה האם הייתה אחת הסיסמאות הגרועות ביותר לשימוש? נחשו מהי גם סיסמה גרועה מאוד? סיסמה, החלפת מספר אפס באות O. בעוד שפצחי סיסמאות מריצים את המילים הנפוצות שלהם מתוך מילון, הם גם מנסים גרסאות נפוצות לאלו מילים, החלפת אפסים עבור O, סימני @ ו-4 עבור A, 3 עבור E, של 1 ו-! עבור I, 7 עבור 5 של T עבור S, ו בקרוב. באופן דומה, 0qww294e היא סיסמה נוראית - זה פשוט סיסמה הוסט שורה אחת למעלה במקלדת אנגלית רגילה. טכניקות אלו טורפות את העדפת המשתמשים לסיסמאות קלות לזכור. למרבה הצער, על ידי החלפה (או שימוש באותיות גדולות) של תו או שניים במונח שקל לזכור, אנשים הופכים בעיקר את הסיסמאות שלהם לסתומות יותר, אבל לא הרבה יותר בטוחות. למעשה, סיסמאות טיפוסיות בנות שמונה תווים שנבחרו על ידי המשתמש עם שילוב של רישיות, מספרים וסמלים מכילות בדרך כלל רק כ-30 סיביות של אנטרופיה, או קצת יותר ממיליארד שילובים אפשריים. למה? מכיוון שרשימת המונחים שאנשים מבססים עליהם את הסיסמאות שלהם קטנה בהרבה מסך השילובים האפשריים של אותיות, מספרים וסמלים.

כמה מהר אפשר לשבור סיסמאות? ניסיון של 1,000 סיסמאות בשנייה עשוי להיראות בלתי אפשרי - אחרי הכל, רוב השירותים נוטים לנעול אותנו מחוץ לחשבונות שלנו אם אנחנו הקלד שגוי של סיסמה שלוש או ארבע פעמים, לעתים קרובות מאפס את הסיסמה ומחייב אותנו לענות על שאלות אבטחה כדי ליצור סיסמה חדשה אחד. טכניקות "שער" אלו לַעֲשׂוֹת שפר את אבטחת החשבון, ודרך אגב, הם גם דרך קלה ומסנוורת נהדרת לעצבן אנשים. (אני לא יכול להגיד לך כמה פעמים ננעלתי מחוץ לחשבון ה-iTunes שלי על ידי התקפות סיסמאות, אבל זה כנראה יותר ממאה.)

עם זאת, תוקפים שמתכוונים לשבור סיסמאות אינם דופקים על דלת הכניסה של שירות ומנסים (תרתי משמע) מיליוני פעמים להיכנס לאותו חשבון. הם משתמשים בשיטות אימות פחות פומביות שאינן כפופות לנעילה (כמו ממשק API פרטי לשותפים או אפליקציות), ומפיצים את התקפות על פני מגוון רחב של חשבונות כדי למנוע תקופות נעילה, או (תרחיש הטוב ביותר) יישום טכניקות פיצוח סיסמאות על סיסמה גנובה נתונים. רוב המערכות מצפינות את נתוני הסיסמה שהן מאחסנות, אבל הקבצים המוצפנים האלה מאובטחים רק כמו המערכת עצמה. אם תוקפים יכולים לשים את ידם על קובץ הסיסמה המוצפנת (דרך חור אבטחה, בסיכון מכונה, או הנדסה חברתית, בתור התחלה) הם יכולים לתקוף אותה מהר מאוד ברגע שהיא לבד מערכות. זו הסיבה שסיפורים על תוקפים המשיגים מידע על חשבון (כמו Stratfor, אפסילון, סוני, ו זאפוס) מטרידים. לאחר שהנתונים המוצפנים הוסרו, התוקפים יכולים להחיל כלים הרבה יותר חזקים כדי לפצח אותם.

בעולם האמיתי, זה אומר שהנתון של 1,000 סיסמאות בשנייה הוא שמרני ביותר. חומרת מחשוב שולחנית טיפוסית בימינו יכולה לבדוק מיליונים של סיסמאות בשנייה מול טכנולוגיות הצפנה נפוצות. באופן דומה, ישנם כיום כלים לפיצוח סיסמאות הממנפים מעבדים גרפיים, ומפעילי בוטנט פליליים עוסקים אף הם בעסקי פיצוח הסיסמאות. הם יכולים לפזר את עומס העבודה על פני אלפי מחשבים. שלב את הכוח הגולמי הזה עם היוריסטיות מתוחכמות (כמו לנסות גרסאות של מספרים ואותיות על מילים נפוצות) וזה לא יוצא דופן לפצח סיסמת משתמש טיפוסית בת שמונה תווים בפחות מחצי שָׁעָה.

יורים לעצמנו ברגל

ציינו לעיל כיצד סיסמה של שמונה תווים יכולה, עם אותיות רישיות, קטנות, מספרים וסמלים, להכיל הרבה יותר מ- קוודריליון שילובים אפשריים, אך רוב הסיסמאות בנות שמונה תווים הנמצאות בשימוש כיום נמצאות בתוך מאגר של כמיליארד בלבד שילובים. זה בגלל שבני אדם הם לא מכונות. כאשר מחשב מסופק לשימוש גם צב אוֹ Y&4nS0\2 כסיסמה, נחשו איזו קל יותר לאדם לזכור? עכשיו, נחשו איזה מהם בטוח יותר.

מערכות מסוימות מיישמות דרישות סיסמאות שנועדו להבטיח שמשתמשים לא ישתמשו בסיסמאות הניתנות לפיצוח בקלות. גישה נפוצה היא לדרוש שסיסמאות משתמש יהיו בעלות אות גדולה אחת לפחות, ספרה אחת, סמל אחד ואורכן של לפחות שמונה תווים. (חלק מהמערכות אינן אוכפות דרישות, אך מציעות מדד של "חוזק סיסמה" כמדד למידת היעילות של סיסמה לדעתה. מערכות מסוימות גם דורשות מהמשתמשים לשנות את הסיסמאות שלהם מדי כמה זמן (למשל, כל 30 או 45 יום) ולמנוע מהם שימוש חוזר סיסמאות.

דרישות מסוג זה לַעֲשׂוֹת להגביר את האבטחה של סיסמאות, אבל הן גם מקשות על אנשים לזכור את הסיסמאות הרבה יותר. המשמעות היא שחלק ניכר מהמשתמשים ימציא מיד דרכים לשנות את אבטחת המערכת לנוחיותם. בטח, יש אנשים שיכולים להתמודד עם סיסמאות כמו 9.3nDs(# אבל הרבה אנשים אחרים הולכים להגיב עם פתקים דביקים עמוסי סיסמאות בצדי המסכים, הערות שלהם ארנקים, או מסמך Microsoft Word על שולחן העבודה שלהם שכותרתו מועילה "סיסמאות" כך שהם יכולים להעתיק ולהדביק כאשר נחוץ. דרישות בניית סיסמא נוטות גם לפגוע בפריון ולהגדיל את עלויות התמיכה (הן לעובדים והן לקוחות), מכיוון שיותר אנשים ישכחו את הסיסמאות שלהם או יינעלו מחוץ לחשבונות שלהם, מה שדורש ידני התערבות.

יצירת סיסמאות מורכבות

הגביע הקדוש של הסיסמאות נראה אז כסיסמה כלומר מורכב מספיק שזה לא מעשי לפיצוח באמצעות טכניקות אוטומטיות, ועם זאת קל מספיק כדי לזכור שמשתמשים לא מתפשרים על אבטחה על ידי אחסון או ניהול שלהם בצורה לא בטוחה.

הנה כמה טיפים להכנת סיסמאות מורכבות שקל לזכור:

• השתמש בסיסמאות ארוכות. אם סיסמה של שמונה תווים יכולה לכלול 1.6 קוודריליון שילובים אפשריים, תארו לעצמכם כמה סיסמה של 16 תווים יכולה להיות? (בערך 2.8 לא-מיליון, או 2.8³⁰.) עם זאת, אולי חשוב יותר, קבוצת הערכים עבור סיסמה בת 16 תווים תוך שימוש במונחים נפוצים ו וריאציות הוא קצת פחות מ-1.2 קווינטיליון, שם זה היה קצת יותר ממיליארד עם שמונה תווים סיסמה. שימוש בסיסמאות ארוכות יותר הוא הדרך הקלה ביותר להפוך סיסמאות למורכבות יותר ובטוחות יותר.
• השתמש במילים משולבות. איך ליצור סיסמאות ארוכות שקל לזכור? טכניקה נפוצה אחת היא להשתמש בסדרה של שלושה עד חמישה פשוטים, שאינו קשור תנאים. בדרך כלל קל לזכור אותם כמו מספרי PIN; מבחינה קוגניטיבית, אנשים נוטים לזכור מילים שלמות כיחידות בודדות. עם זאת, סיסמאות אלו יכולות להיות מורכבות מאוד, לפחות מנקודת המבט של פיצוח סיסמאות. ואת הסיסמאות האלה קל ליצור רק על ידי התבוננות מסביב או העברת ספר לדף אקראי. בהצצה שמאלה מהחלון שלי אני רואה צפרדע צעצוע, מכונית וחלון של המטבחון של מישהו. סיסמה חדשה: FrogHubcapCupboard - זה 18 תווים, אבל רק שלוש מילים לזכור. נראה נכון: RunnerCameraGlueString - ארבע מילים קצרות, 22 תווים. השתמשתי רק באותיות רישיות כדי לעזור לפרוץ מילים. הוספת תווים או תחליפים נוספים יכולה להגביר את המורכבות - רק אל תהיי מורכבת כל כך שתיפול טרף לחולשות של סיסמאות קשות.
• השתמש בביטויים או מילים. דרך נוספת ליצור סיסמאות ארוכות היא להשתמש בחלקים של ביטויים או מילים. למילים, שירים נפוצים יחסית טובים אולי מאלה שחשובים לך במיוחד: שוב, אתה לא רוצה אנשים שמכירים אותך היטב כדי להיות מסוגלים לנחש את הסיסמאות שלך רק בגלל שאתה מעריץ ענק של מייקל בולטון (או לא). דוגמאות לסיסמאות העשויות משלבים או מילים עשויות להיות אתה לא ג'ק קנדי (19 תווים), iShotaManinReno (15 תווים), impeepinandimcreepin (20 תווים).
• השתמש במנמוניות. החיסרון של סיסמאות ארוכות הוא שהן עשויות להיות קשות להקלדה, במיוחד במכשיר נייד. טריק נוסף שחלק מהאנשים מוצאים בהם שימושי ליצירת סיסמאות מורכבות קצרות יותר הוא השימוש בתו הראשון של כל מילה בביטוי או בשיר. "כמה דרכים חייב אדם ללכת" יכול להפוך HmrmamwD-רק שמונה תווים, אבל מורכב יחסית מנקודת המבט של תוכנית לפיצוח סיסמאות. באופן דומה, "נער את זה, לנער את זה כמו תמונת פולארויד" יכול להיות SiSiLapp - אולי לא נהדר, אבל יותר טוב מזה צב. הטריק הזה יכול גם לעזור ליצור סיסמאות טובות למערכות שעדיין יש לה מגבלה על אורך הסיסמאות.

הנחיות אלה בדרך כלל יעזרו לך למצוא סיסמאות מורכבות שקל לזכור אותן. כמובן, כאשר עוסקים במערכות סיסמאות עם דרישות הרכב (כלומר, הם מצפים לאותיות מעורבות, מספרים, או סמלים) עדיין תצטרך להמציא טוויסטים מגניבים על סיסמאות כדי למלא אותם דרישות. רק זכור שעם סיסמאות ארוכות יותר, אתה יכול לבצע את ההחלפות והשינויים שלך במקומות ברורים - בדרך כלל קל יותר לזכור את הסיסמאות הארוכות האלה אפילו עם דרישות מאשר שטויות קצרות סיסמאות.

עוד כמה רמזים

דברים נוספים שכדאי לחשוב עליהם בעת בחירת הסיסמאות שלך:

• השתמש בסיסמאות נפרדות עבור שירותים נפרדים. אל תשתמש בסיסמת הרשת החברתית שלך לבנקאות מקוונת. אם סיסמה נפגעת בשירות אחד, האחרים צריכים להיות בטוחים.
• בחר סיסמאות חשובות בקפידה. מערכות כניסה יחידה עשויות להיות נוחות מאוד, אך גם ליצור נקודת כשל אחת עבור שירותים מרובים. דוגמאות לכך יהיו סיסמאות לחשבונות בשירותי גוגל, יאהו ומיקרוסופט, שבהם סיסמה אחת פצועה יכולה לתת מישהו גישה לדואר אלקטרוני, מסמכים, תמונות, רשתות חברתיות, בלוגים, ספריות תמונות, רשימות אנשי קשר, ספרי כתובות ו יותר. באופן דומה, עם כל כך הרבה אתרים (אפילו טרנדים דיגיטליים) קבלת כניסות לפייסבוק וטוויטר, לסיסמת רשת חברתית שנפגעה יכולה להיות השלכות מרחיקות טווח.
• שנה את הסיסמאות שלך. מפתה לחשוב שאם אחת מהסיסמאות שלך תישבר, תדע מיד: הדוא"ל שלך ייעלם, הבלוג שלך ייעלם להפוך לסט של גרפיקה של lulz, רשימת המתנות שלך באמזון עשויה להיות מלאה באפשרויות מביכות, ייתכן שחשבון ה-PayPal שלך יימחק הַחוּצָה. עם זאת, זה לא תמיד המקרה: אם מישהו מפצח את הסיסמה שלך, ייתכן שלא יהיה שום סימן גלוי, לפחות לא מיד. על ידי שינוי הסיסמה שלך באופן קבוע, אתה מבטיח שגם אם מישהו פורץ פנימה, חלון ההזדמנויות שלו לנצל אותך מוגבל. התדירות שבה עליך לשנות סיסמאות משתנה בהתאם לאופן שבו אתה משתמש בשירותים מקוונים. עבור כל דבר שכרוך בכסף אמיתי, אני בדרך כלל ממליץ למשתמשים לשנות את הסיסמאות שלהם כל 30 עד 90 יום - ככל שיותר כסף, כך לעתים קרובות יותר.

אין סיסמה בטוחה

אולי הדבר החשוב ביותר שיש לזכור לגבי סיסמאות הוא זה כל אפשר לפצח את הסיסמה: זו רק שאלה של כמה זמן ומאמץ מישהו מוכן להשקיע בזה. הטיפים כאן יעזרו להפחית את הסיכויים שהסיסמאות שלך יוסרו על ידי תוקפים אקראיים ואפילו חברים ובני משפחה, אבל אף סיסמה לא מאובטחת לחלוטין. אם גישה מאובטחת לשירות חשובה לך מאוד, שקול לבדוק צורות שונות של אימות מרובה גורמים כדי להפחית עוד יותר את הסיכויים לגישה לא מורשית.

קרדיט תמונה: Shutterstock / jamdesign / טטיאנה פופובה / פדרו מיגל סוזה

המלצות עורכים

• הסיסמאות המביכות האלה גרמו לסלבריטאים לפרוץ
• לא, 1Password לא נפרץ - הנה מה שבאמת קרה
• כיצד להגן על תיקייה באמצעות סיסמה ב-Windows וב-macOS
• LastPass חושף כיצד הוא נפרץ - וזה לא חדשות טובות
• Reddit נפרץ - הנה איך להגדיר את 2FA כדי להגן על החשבון שלך