יום שלישי, 23 באפריל 2019

סיסמאות: החוליה החלשה באבטחת מידע

לפני יותר מ-15 שנה ביצעתי Penetration Test במתקן בנקאי באירופה במסגרת פרויקט ייעוץ של חברת ייעוץ בינלאומית גדולה. באחד מהמקרים עמדתי מאחורי עובד בסניף בנק שנכנס למערכת. העובד היה מורשה להיכנס למערכת אבל ממרחק של כמה מטרים יכולנו אני ויועץ נוסף לדעת בקלות מהי סיסמת הכניסה שלו למערכת. כשהאיש הכניס למערכת את הסיסמה שלו הוא הקיש מספר פעמים על הספרה "1". לא הוקשו ספרות אחרות, אותיות או סימנים אחרים. 
ברגע שידעתי את הסיסמה הייתי יכול, לו רציתי, למצוא הזדמנות ולהיכנס למערכת בשמו, למשל כאשר הוא הולך לדבר עם המנהל שלו או ניגש לשרותים.

אני והיועץ הנוסף לא מהווים בעיה כי Penetration Test הוא ניסיון לחדור למערכת בתשלום ובידיעה של מנהלים בארגון על מנת להפיק דוח של נקודות תורפה והמלצות לתיקונן.
באותה מידה זה היה יכול להיות מישהו אחר שהכוונות שלו טובות פחות.

אחת ההמלצות שלנו הייתה כפיית סיסמאות חזקות יותר במערכת. לא עוד "111111" או "222222", אלא דפוס מורכב יותר של אותיות, מספרים ואולי גם סימנים מיוחדים.

פוסט זה נכתב בעקבות קריאת כתבה של רפאל קהאן ב"כלכליסט" המספר על מחקר של שרות ה-Cyber הבריטי. כותרת הכתבה: הגיע הזמן להחליף סיסמה: גם "ליברפול" ו"רדיוהאד" זה לא מקורי

במחקר נותחו מספר רב של סיסמאות מתוך מאגרים של סיסמאות שנפרצו בשנים האחרונות ומצוינים דפוסי סיסמאות קלים לפריצה. 
בפוסט זה אשלב כמה מהממצאים עם תובנות שלי והמלצות שלי.


הדפוס הכי קל לניחוש

הסיסמה הנפוצה ביותר במאגרים מזכירה קצת את מה שראיתי באותה עבודה לפני יותר מ-15 שנים. 
הסיסמה הנפוצה ביותר במאגר לא הייתה "111111", שאני ראיתי, אלא "123456". נמצאה שכיחות גבוהה גם לסיסמאות אחרות קלות לניחוש בסגנון דומה, למשל: "123456789". 


ההמלצה שלי

סיסמאות כאלה הן נחות לזכירה אבל קלות לניחוש. 
הימנעו מסיסמאות המורכבות מספרות בלבד בדפוס פשוט וקל לניחוש.

שמות משמעותיים

במחקר המצוטט ב"כלכליסט" נמצא כי במקרים רבים משתמשים בוחרים כסיסמה שם של קבוצת ספורט אהודה, להקה אהובה או סרט שהתרשמו ממנו במיוחד. 
עברייני רשת יכולים בקלות להגיע לסיסמה כזו. כל מה שהם צריכים זה להיכנס לדף ה-Facebook של אותו אדם. הם יראו שם סמל של הקבוצה האהודה או סרטון מוזיקלי של הלהקה האהובה ולא מעט פוסטים שמחים כשהקבוצה מנצחת או הלהקה מופיעה. 
מכאן ועד לניחוש מושכל של הסיסמה הדרך קצרה. 

הכתבה לא עוסקת בשמות משמעותיים אחרים כסיסמה אבל כשאתם בוחרים כסיסמה את השם שלכם, השם של בת זוגכם האהובה, הבן או הבת הצעירים או חיית המחמד, הדרך לזיהוי הסיסמה דומה למה שתואר לעיל. 

שימו לב שאין בעיה לבחור שם שמשמעותי לכם ומי שנכנס לדף שלכם ברשתות החברתיות לא ימצא עליו דבר.
למשל: שמה של האקסית המיתולוגית לפני 30 או 40 שנה, שמאז לא הייתם איתה בקשר, שמו של דב הפנדה שפגשתם בגן חיות לפני 25 שנים או פילוסוף לא כל כך ידוע שהוזכר בקורס מבוא לפילוסופיה והרשים אותכם בצעירותכם אבל מאז התבגרתם ולא הזכרתם את שמו או את תפיסת העולם שלו.

ההמלצה שלי

הימנעו מבחירת שמות משמעותיים לכם, שאחרים יודעים שהם משמעותיים לכם ו/או עולים בתדירות גבוהה ברשתות החברתיות שלכם או באלבומי התמונות שלכם. 
כשאתם בוחרים שם משמעותי שאינו מופיע שם הוסיפו לו גם כמה ספרות.

OTP

OTP הן ראשי תיבות של: One Time Password. אתם נכנסים לאתר נותנים פרטים מזהים ונשלחת אליכם סיסמה חד פעמית, התקפה לזמן קצר.
לרוב נשלחת הסיסמה באמצעות הודעת SMS. אפשר גם באמצעות הודעת דוא"ל. 

היתרונות הן שמדובר בסיסמה שאינה משמעותית למקבל הסיסמה ולכן קשה לנחש אותה ומשך הזמן הקצר בו היא תקפה.

החיסרון הוא שמישהו שיודע את הפרטים המזהים שלכם ומשום מה נפל לידיו הטלפון הסלולרי שלכם יוכל לבצע פעולות במקומכם וללא ידיעתכם.

ההמלצה שלי    

אין ספק שהיתרונות של OTP עולים על חסרונותיו. השתמשו ב-OLTP כשזה ניתן. העדיפו אותו על פני סיסמאות רגילות.  

הצורך בססמאות למספר גדול של אתרים ויישומים 

בתקופה עמוסת אתרי אינטרנט ואפליקציות צריכים נספר רב של סיסמאות.
מי יכול זכור כל כך הרבה סיסמאות? מי יכול להחליף כל כך הרבה סיסמאות תקופתית?
מי יכול לרשום על דף את כל האתרים והסיסמאות ולמחוק ולשנות בכל פעם שמשנים סיסמה? ואם יגנבו לכם את הדף עם הסיסמאות? 

אחד הפיתרונות של חלק מהאנשים הוא להשתמש באותה סיסמה ברוב המקומות או בכל המקומות, אם זה ניתן. 
אני לא היחיד שיודע את מה שכתבתי כאן. גם אלה שפורצים לאתרים וגונבים סיסמאות ביחד עם פרטים מזהים יודעים את זה

כשהם פורצים לאתר כמו Facebook או Linkrdin הם מנסים את הסיסמה והפרטים המזהים גם באתרים אחרים כמו אתרים של כרטיסי אשראי, בנקים ואתר Paypal. 

ב-Facebook הם אולי יכולים להעלות בשמכם תמונות פורנוגרפיות (כמו שקרה לגברת אחת שאני מכיר בשנות ה-70 של חייה). בבנק או באמצעות הפרטים של כרטיס האשראי הם יכולים לגנוב מכם סכומי כסף נכבדים.

ההמלצה שלי   

אם אתם יכולים לנהל סיסמה נפרדת לכל אתר או אפליקציה זהו פיתרון טוב. 

אם אינכם יכולים, לפחות תפרידו בין סיסמאות לאתרים רגישים (בנקים, כרטיסי אשראי וכיו"ב) לבין אתרים פחות רגישים ותקבעו סיסמאות שונות. 

הסיכוי שיגנבו את הססמאות שלכם באתרים הפחות רגישים הוא גדול יותר. הפרדה כזו עשויה להקטין את הנזקים העלולים להיגרם לכם.

הערת שוליים  

לא מיציתי בפוסט זה את כל האפשרויות. בין השאר לא הזכרתי זיהוי ביומטרי במקום ססמאות ושימוש בתוכנה לניהול ססמאות.



אין תגובות:

הוסף רשומת תגובה

בחירה בין אפשרויות: בחירה אינטואיטיבית או בחירה רציונלית?

  פוסט זה כמו רבים מקודמיו מתייחס לספרו של דניאל כהנמן " לחשוב מהר לחשוב לאט ".  בשונה ממרבית הפוסטים הקודמים על תכנים שקראתי בספ...