הסיסמא הטובה ביותר? זו שאתם בעצמכם לא יודעים

מדוע הסיסמה המאובטחת היחידה היא זאת שאתם אפילו לא יודעים שאתם יודעים

הכתבה פורסמה לראשונה במגזין Popular Science ישראל בגיליון 224 שראה אור בדצמבר 2012 ונכתבה במקור על ידי ג’סטין מקלכלן.

תמונה: ג'סי לנץ, מדע פופולארי

תמונה: ג’סי לנץ, מדע פופולארי

הריסטו בוג’ינוב רוצה שתשכחו את הסיסמה שלכם. ליתר דיוק, הוא רוצה שלא באמת תדעו אותה מלכתחילה. בוג’ינוב, מדען מחשבים בסטנפורד ועמיתיו פיתחו תוכנת מחשב שיכולה להשתיל מילות סיסמה בתת-המודע של אדם – וגם להשיב אותן באופן תת-מודע.

השיטה תוכל לגרום לכך, למשל, שלא יהיה מצב שבו סוכן ממשלתי בעל סיווג בטחוני גבוה יחשוף את הסיסמה שלו; הסוכן לא באמת ידע את הקוד הסודי. בסופו של דבר, השימוש במילות סיסמה בתת-מודע עשוי לחלחל אל שאר האוכלוסייה. ובהתחשב במצב המסוכן של אבטחת מילות סיסמה, כמה שזה יקרה יותר מוקדם – זה יותר טוב.

“חמישה אחוזים מהסיסמאות הן וראיציות של המילה Password”

“הבעיה עם מילות סיסמה היא שקל לפרוץ אותן”, אומר רם פמראג’ו, מנהל טכנולוגי ראשי בחברת האבטחה StrikeForce Technologies. הכלים לפיצוחן, כמו תוכנות נוזקה, קלים להשגה ותוכנות קוד פתוח יכולות לפרוץ סיסמה מוצפנת בתוך ימים, אם לא שעות או דקות.

קחו סיסמה בת שבעה תווים עם אותיות, מספרים וסמלים. לפני חמש עד עשר שנים, המחשב הממוצע היה צריך יותר מ-1,000 שנים כדי לנחש אותה. המחשבים הביתיים של היום יכולים לעשות את זה בכחודש. בגלל כח המיחשוב הגובר הזה, יש מומחים הממליצים על מילות סיסמה בנות 20 עד 30 תווים. אבל העצלות האנושית גם היא בעיה גדולה. מי רוצה לזכור סיסמה בת 30 תווים? מחקר עכשווי אחד מצא שחמישה אחוזים ממילות הסיסמה הן וריאציה כלשהי של המילה “password”.

אימון מוח. חוקרים משתמשים במשחק מחשב כדי ללמד את התת-מודע מילות סיסמה. המשחק מתאים את מהירותו כדי להיות בקצב של ביצועי השחקן. תמונה: מדע פופולארי

אימון מוח. חוקרים משתמשים במשחק מחשב כדי ללמד את התת-מודע מילות סיסמה. המשחק מתאים את מהירותו כדי להיות בקצב של ביצועי השחקן. תמונה: מדע פופולארי

אבל אם אדם היה יכול ללמוד באופן תת-מודע מילת סיסמה, הוא לא היה צריך לעולם לטרוח לזכור אותה. הוא לא היה שוכח אותה בטעות והוא לעולם לא היה רושם אותה על פתק שאחרים עלולים למצוא. אלה הם היתרונות שבוג’ינוב חשב עליהם בקיץ האחרון בסימפוזיון האבטחה USENIX היוקרתי, שם הוא הציג את המחקר שלו – הראשון שמראה שאנשים יכולים לזכור באופן תת-מודע מילות סיסמה ולשחזר אותן ממחשבותיהם.

בניסוי, למדו משתתפים מילת סיסמה על ידי משחק במשחק מחשב. על המסך, עיגולים שחורים נפלו אחד אחרי השני מראש המסך לתחתיתן של שש עמודות שסומנו ב-S, D, F, J, K ו-L. כשעיגול הגיע לתחתית, השחקן הקליד את האות של העמודה. לקח כ-30 עד 45 דקות לסיים את המשחק, שהוא כמעט בן 4,000 לחיצות מקש. השחקנים לא ידעו את זה, אבל המשחק הכיל מילת סיסמה – רצף של 30 אותיות שהם הקלידו 105 פעמים. עד שהשחקנים סיימו את המשחק, הם ידעו את הסיסמה טוב מספיק כדי שהיא תראה מוכרת במקצת, אבל הם עדיין לא יכלו לזהות אותה, ובטח שלא לחזור עליה בעל פה. (בממוצע, הם דירגו את מידת יכולת הזיהוי שלהם את הסיסמה כ-6 מתוך 10, ומילת סיסמה רנדומלית כ-5 מתוך 10).

כדי להשתמש בסיסמה, המשתתפים שיחקו בגרסה בת חמש עד עשר דקות של המשחק. הפעם, התוכנה השוותה כמה במדויק הם הקלידו את מילת הסיסמה עצמה לעומת רצפים בני 30 תווים שנוצרו רנדומלית. 71 אחוז מהמשתתפים קיבלו ניקוד גבוה יותר עם מילות הסיסמה האמיתיות מאשר עם המזוייפות. כשהם שיחקו את המשחק שבועיים לאחר מכן, 61 אחוז הצליחו יותר עם הסיסמאות האמיתיות.

תאורטי או פרקטי?

בעתיד, יוכלו אנשים להשתמש במשחק דומה כדי להתחבר למערכת המחשב שלהם בבוקר. אבל בוג’ינוב מזהיר שהעבודה היא עדיין מקדמית. תהליך הלמידה לוקח לרוב האנשים יותר מדיי זמן, הוא אומר, לכן הוא מרוכז כעת בשיפור השיטה למצבי אבטחה-גבוהה – סוג היישומים בהם פולחן של 45 דקות לסיסמה יהיה שווה את ההשקעה. הוא מציע שהמערכת תוכל לשמש כתצורה של אימות משני, תחליף לשאלות האבטחה שכיום דרושות כדי לשנות סיסמה בחשבון אי-מייל.

לא משנה מה היישום, בוג’ינוב אומר שחוקרים עדיין צריכים לענות על שאלות בקרתיות אודות השיטה. כיצד הם יכולים להתאים ליותר אנשים? מה הדרך הטובה ביותר להאיץ את התהליך? וכמה זמן מחזיקות מעמד מילות הסיסמה של התת-מודע?

התשובות לשאלות האלה יוכלו להוביל לתפנית מעניינת באבטחת סיסמה. ראסל דייטז, מנהל טכנולוגי ראשי של חברת אבטחת המידע SafeNet, אומר שהשיטה הנוכחית היא לאבטח מערכת נגד תיחכום אנושי כמו גם כשלים אנושיים. “אתה רוצה להוכיח שמישהו הוא מי שהוא בו בזמן שאתה מבטל את החוליה החלשה – המשתמשים האנושיים עצמם”, הוא אומר. אבל כפי שהמחקר של בוג’ינוב מציג, החווייה האנושית עשוייה להיות מה שאף אדם או מחשב אחר יכול לזייף.


אוהבים מדע ולא מקבלים מספיק ממנו בניוזגיק? Popular Science ישראל וניוזגיק יוצאים בשיתוף פעולה במיוחד במסגרתו יוכלו גולשי האתר להנות ממנוי הכרות מיוחד לגרסה הישראלית של מגזין הטכנולוגיה והמדע במחיר של 20 ש”ח בלבד למשך 3 חודשים. לפרטים נוספים והרשמה

 

Avatar

מדע פופולארי

הגב

2 תגובות על "הסיסמא הטובה ביותר? זו שאתם בעצמכם לא יודעים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דוד סרגוביץ'
Guest

מזכיר לי את המורים בבית ספר "200 פעם לא אדבר יותר בשעת השיעור"..

student
Guest

Have you heard about two-factor AuthN ?

wpDiscuz

תגיות לכתבה: