סדרת הפוסטים עוסקת בקשיים של אזרחים ותיקים בהתמקדות בעולם האינטרנטי ובעולם הדיגיטלי. הפוסטים הם חלק מההכנה שלי לבניית הרצאה בנושא.
בפוסט הקודם בסדרה עסקתי בתרמית וואטסאפ. בפוסט זה אעסוק בנושא הסיסמאות.
בעולם האינטרנטי והדיגיטלי אנחנו נאלצים להשתמש בסיסמאות על מנת לבצע פעולות ביישומים, למשל: פעולות בחשבון הבנק או הפעלת חנייה באמצעות אפליקציה.
הבעיה
אם מישהו יודע את הסיסמה של אדם אחר, הוא עלול להתחזות לאותו אדם ולבצע פעולות בשמו.
דוגמה: אם הוא יודע את הסיסמה ופרטי זיהוי נוספים ביחס לחשבון בנק הוא יכול למשוך ממנו כסף.
סיסמאות חזקות וסיסמאות חלשות
יש כאלה המעוניינים לפצח סיסמאות של אחרים על מנת להתחזות אליהם ולגרום תועלת לעצמם ונזק לזה שהם התחזו אליו.
בפסקה הקודמת הבאתי דוגמה כזו.
סיסמאות חלשות קל לפצח גם אם לא יודעים אותן. דוגמה: כשעשיתי Penetration Test למערכת בנקאית בחו"ל עמדתי כמה מטרים מלקוח שהקיש סיסמה למערכת הממוחשבת.
הסיסמה שלו הייתה מספר פעמים של חזרה על הספרה 1, משהו כמו: 11111111. גם מרחוק אפשר להבחין בזה שהלקוח מקליד את הסיסמה על מקש אחד. במרחק שעמדתי לא בטוח שאפשר לזהות שזה דווקא 11111111 ולא 22222222. בשני ניחושים אני מגלה את הסיסמה שלו.
אגב, לא כל אחד ישמור על הפרטיות של הלקוח. מי שיעמוד הרבה יותר קרוב ממני יראה בבירור על איזה מקש הוא לחץ.
יש כאלה שבוחרים סיסמאות אחרות הקלות לפיצוח למשל:
1234
השם שלהם או שם הבן או הבת שלהם
תאריך הלידה שלהם או של אחד מילדיהם
גם סיסמאות קשות אפשר לפצח באמצעות טכניקות שונות, כמו Brute Force או הקלטת הקלדת הסיסמה.
ריבוי סיסמאות
כמעט בכל אתר וכמעט בכל אפליקציה בטלפון חכם צריכים סיסמה.
קשה לזכור סיסמה אחת. קשה שבעתיים לזכור עשרות סיסמאות.
תוסיפו לכך את הדרישה של חלק מהאתרים וחלק מהישומים להחליף סיסמה אחרי פרק זמן מסוים.
איך אנשים פותרים את הקושי?
1. בוחרים את אותה סיסמה לכמה יישומים ו/או לכמה אתרים.
2. בוחרים סיסמאות חלשות משום שיותר קל לזכור אותן.
3. כותבים את הסיסמאות על דפי נייר.
יש כאלה המשלבים ביניהן.
יש כאלה, בעיקר צעירים, שמשתמשים ביישום לניהול סיסמאות. צריך לזכור רק סיסמה אחת לאותו יישום. היישום מייצר סימסאות משתנות לאפליקציות ולאתרי אינטרנט.
לאזרחים ותיקים השימוש ביישום כזה פחות מתאים. הם עלולים לא לדעת מה לעשות, אם וכאשר תהיה בעיה באותו יישום או אם הם ישכחו את הסיסמה לאותו יישום.
כל שלוש השיטות שתיארתי לעיל הן בעיתיות. גם השילוב ביניהן.
הבעיתיות של השיטות לפתרון הקושי בריבוי סיסמאות
בסיסמאות חלשות כבר דננו.
כאשר כותבים את הסיסמאות על דף נייר ומישהו יראה אותו או ייקח אותו אז כל הסיסמאות שלכם חשופות לפניו וקל לו להתחבר כאילו הוא אתם.
בדרך כלל, נדרש שילוב של סיסמה ושם משתמש. במקרים רבים שם המשתמש הוא כתובת הדוא"ל של המשתמש. קל למצוא אותה.
במקרים אחרים מי שכותב על דף את הסיסמה, ברוב המקרים, יכתוב לידה גם את שם המשתמש.
בחירת אותה סיסמה לכמה יישומים או אתרים ראויה לדיון מעמיק יותר, בפסקה הבאה.
הבעיה בסיסמאות זהות לאתרים או יישומי שונים
קורה לא פעם שהאקרים מצליחים לפרוץ מאגר סיסמאות של יישום או של אתר.
הם מורידים את קובץ הסיסמאות למחשבים שלהם.
אחרי זה הם יכולים לדרוש כופרה מהארגון שמנהל את היישום או את האתר.
לחילופין, הם יכולים להתחזות לכל אחד מהמשתמשים שסיסמאותיהם נחשפו.
מי שגנב מאגר סיסמאות ושמות משתמש, או חלק ממנו, מספיק מתוחכם על מנת להבין שאנשים משתמשים באותה סיסמה, ובמקרים רבים גם באותו שם משתמש, באתרים ו/או יישומים שונים.
התוצאה היא שגם ביישומים האחרים הוא יכול "לגנוב" את הזהות של המשתמשים.
חומות סיניות
תדיימנו לעצמכם משתמש שבחר באותה סיסמה לחשבון הבנק שלו ולאתר שמדווח על שערי המסחר בבורסה.
ההתחזות אליכם באתר שמדווח שערי מסחר בבורסה לא יכולה לגרום לכם נזק ממשי.
המלצות נוספות
1. השתמשו בסיסמאות OTP
2. הימנעו מבחירת סיסמאות קלות לניחוש.
יש סיסמאות חלשות הניתנות לניחוש קל.
יש סיסמאות חלשות שקשה יותר לנחש אותן. יש ביניהן כאלה שלכם יהיה קל לזכור. כך למשל, שם של מקום במדינה בחו"ל בו ביקרתם והתרשמתם ממנו לפני כמה עשרות שנים לא יהיה קל לניחוש. הוא יהיה קל לזיכרון.
3. אחרי פריצה של מאגר סיסמאות
החליפו מידית את הסיסמה שלכם. אם בחרתם באותה סיסמה באתרים אחרים או ביישומים אחרים, החליפו אותה גם בהם.
4. אם בחרתם לכתוב את הסיסמאות וזיהוי המשתמש על דף, שמרו אותו במקום שאינו גלוי.
קישורים קשורים