בחרתם סיסמא שהיא שם של סרט, ספר או ביטוי? אתם חשופים ל-Dictionary Attacks

כשבוחרים רצף מילים כסיסמא, מסתבר שאנשים רבים בוחרים ביטויים מפורסמים, שמות של סרטים או ספרים, ולא מודעים לכך שהסיסמא שלהם הופכת כך לחשופה לתקיפה

סיסמאות רבות ניתן לנחש באמצעות מילון

אם הסיסמא שלכם מורכבת מרצף של מילים המרכיבות ביטוי, ייתכן והסיסמא שלכם לא מאובטחת כמו שאתם חושבים. מחקר חדש בתחום מגלה, כי אנשים רבים בוחרים במקום רצף מילים רנדומלי שיהפוך לסיסמא קשה לפיצוח, ביטוי או רצף מילים מוכר או ידוע, למשל ביטויים מסרטים.

הקשר הלא-רנדומלי

מחקר חדש שפורסם לאחרונה על ידי צוות חוקרים בריטי חושף, כי בקרב אנשים שבוחרים להרכיב את הסיסמא שלהם מתוך רצף מילים, חלק משמעותי מהם בוחר את הסיסמא מתוך ביטויים מוכרים, או מתוך רצף הגיוני של מילים. בכך, חושפים אותם אנשים את עצמם לתקיפות מסוג dictionary attacks, וסוגים נוספים. במסגרת המחקר, החוקרים ניסו בהצלחה לנחש ביטויים בהתאם לרשימה של שמות סרטים, ספרים וביטויים משפה טבעית.

כר הניסויים שנבחר למחקר הוא אחד השירותים של אמאזון, שנסגר לאחרונה, בשם Amazon PayPhrase. השירות שימש כאחד מאפשרויות האימות והתשלום של אמאזון, והציע למשתמשים שירות אימות באמצעות ביטויים, והיה אמור להציע אבטחה מוגברת, לאור הקושי בניחוש סיסמאות מורכבות שכאלה. במסגרת הרישום לשירות, מתבקשים המשתמשים להמציא לעצמם ביטוי ייחודי שיזהה אותם. אם הביטוי המבוקש נבחר ונשמר כבר לזכותו של משתמש אחר, המערכת אינה מאפשרת את השלמת הרישום עד לבחירה של ביטוי אחר.

כפי שחלקכם וודאי יודע, האבטחה של סיסמא המבוססת על רצף מילים מושפע משמעותית מהרנדומליות של הקשר ביניהן. כך יוצא שביטוי כמו “horsestoveblue” יהיה קשה יותר לניחוש לעומת “alltheprettyhorses“. אמנם, סיסמאות רנדומליות קשות יותר לזיכרון, ומשתמשים רבים מוותרים על סיסמאות חזקות בגלל השיקול הזה, אך דווקא הרנדומליות הזאת היא שמקשה על הפורצים לנחש את הסיסמא.

את המחקר תוכלו להוריד במלואו כאן, על אף שהחוקרים טוענים כי מדובר רק במחקר ראשוני שדורש מחקר מעמיק ומקיף יותר בהמשך.

לשמור עליכם

הסיסמא שאתם בוחרים לשירותים השונים, בין אם זה חשבון הדואר האלקטרוני או חשבון הבנק, תפקידה להיות אחת משומרות הסף על הזהות שלכם. באמצעות הסיסמאות השונות אתם מזהים את עצמכם מול המערכות האוטומטיות, או הממוחשבות, ואלה משתמשות בסיסמא, לצד מידע נוסף, כדי לוודא שהאדם הפיזי שפונה אליהם הוא אכן אתם. לכן, יש חשיבות רבה בבחירת הסיסמא, וכמובן גם לכך שתמנעו מלהשתמש באותה הסיסמא ביותר ממקום אחד.

את החשיבות לבחירת סיסמאות שונות לכל שירות אליו אתם נרשמים אנחנו רואים חדשות לבקרים, בכל פעם שנפרץ אתר כזה או אחר, ומאגר המידע שלו נגנב. כך יוצא שאם אתם משתמשים באותה סיסמא באתר מסוים וזו אותה סיסמא שלכם גם במייל, אז כשאותו אתר ייפרץ ומאגר המידע שלו יגיע לידי הפורצים, הם יוכלו לנסות להשתמש באותה הסיסמא גם במייל שלכם, וכך לקבל גישה מלאה למייל שלכם. משם, הדרך קצרה לשנות את הפרטים שלכם בבנק ובשירותים אחרים המשתמשים בכתובת הדואר האלקטרוני שלכם כדי לאחזר מידע וסיסמאות נוספות.

אז מה אפשר לעשות? נתחיל בבחירה של סיסמא שונה לכל שירות. אם כבר אתם מרעננים את הסיסמאות באתרים השונים ובשירותים השונים בהם אתם חברים, מומלץ לבחור שילוב רנדומלי של מילים, ועדיף שלא יהיה להן קשר כלשהו גם בהקשר של שפה טבעית. אגב, אם באותו שירות אפשר להכניס תווים שאינם חלק מרצף האותיות, כגון מספרים וסימנים מיוחדים (SHIFT+כל מספר), אפשר ומומלץ לשלב גם אותם. אבל, אל תנסו להחליף אותיות מסוימות במספרים, כגון להחליף את האות E במספר 3, וכדומה, כי התוקפים יודעים ומכירים את ההחלפות הפופולאריות האלו גם כן, ואם הם מכירים את השיטה, זה אומר שהיא כבר לא יעילה.

וידאו: פרטיות, סיסמאות ואתם

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: