האם הסיסמאות שלכם בטוחות?

הראש שלכם עמוס ביותר מידי ססמאות כמו שלי? אתם רק חוששים מהיום בו מישהו יגלה את הססמה שלכם לכל האתרים? ...

7:00
  /  
29.12.2011
  
מאת: אורי שמאי

האם הסיסמאות שלכם בטוחות?

סיסמה היא אות מוסכם המשמש כאמצעי זיהוי לשם בקרת גישה למשאב. משאב יכול להיות אתר או מידע כלשהו. הסיסמה עשויה להיות מילה, ביטוי קצר (לעתים אף חסר משמעות), רצף ספרות או תווים כלשהם ועוד. הסיסמה נבחרת באופן שקל לזכרה ונשמרת בסוד מאלו שאינם מורשים לגשת למשאב. המעוניין לגשת למשאב נבדק בתחילה האם הסיסמה ידועה לו אם לאו והגישה מאושרת או נדחית בהתאמה. עקב סודיות הסיסמה, עצם ידיעתה אמורה לשמש כאימות לזהותו של המשתמש בה".
נלקח מתוך ויקיפדיה עבור הערך סיסמה.

אמצעי הזיהוי באמצעות סיסמא הפך להיות בעית אבטחה בפני עצמה וזאת במקום להוות פתרון. הזיהוי באתרים רבים ובמשאבים רבים נעשה היום באמצעות סיסמא ושם משתמש / מייל בלבד. מה שנראה בעבר כפתרון אבטחתי טוב נראה כיום כאחד האיומים הגדולים על הפרטיות ועל המידע. כאשר אמצעי הזיהוי נשען רק על סיסמא (something you know) וללא אמצעי פיזי כלשהו כמו כרטיס מגנטי/טוקן (something you have) ואו ללא אמצעי ביומטרי אישי כמו טביעת אצבע לדוגמא או זיהוי קולי (something you are), הוא הופך להיות בעיה.

הצורך בניהול הסיסמאות ובהחלפתן על פי מדיניות האתר/המשאב גורם לכך שמשתמש אנושי פשוט לא יכול לזכור את כל הסיסמאות הרבות ובודאי לא בקצב הנדרש. הפתרונות שמהמשתמש מוצא הם פתרונות בעייתים מאוד, לדוגמא רשימה ובה כל הסיסמאות שנמצאת במחשב (או מתחת למקלדת …) חזרה על סיסמאות קבועות ושימוש בדפוסי סיסמא קלים לפיצוח.

בבדיקת "הערכת סיכונים" שבצעתי בחברה גדולה, מצאתי חור אבטחה באתר האינטרנט של החברה אשר חשף את כל משתמשי האתר והסיסמאות שנקבעו לאותו אתר (שם המשתמש היה כתובת המייל).

אחד מתוך שלושה משתמשים מסר את הסיסמא כפי שהיא גם לתיבת המייל שלו! הגדילו לעשות משתמשים מסויימים שבתוך תיבת המייל שלהם, פתחו תיקייה בשם …"סיסמאות" ובה כל הסיסמאות שלהם לכל האתרים כולל אתר הבנק וכרטיסי האשראי.

בבדיקה נוספת שנערכה על ידי הקמת  Hotspot (נקודה חינמית לגלישה אלחוטית) בשם "free2all" הראתה כי משתמשים רבים נכנסו לאינטרנט באמצעות נקודת גישה זו וגלשו לאתרים שבהם הם הזדהו ללא כל יכולת לדעת שהם אינם מזדהים לאתר האמיתי אלא לאתר מזוייף מאחר והרשת הזו היתה מלכודת באמצעות DNS spoofing (שינוי כתובת אתר אינטרנט ברשומות של הרשת מקומית), אמצעי זיהוי אלו, שמות וסיסמאות היו חשופים לחלוטין למקים נקודת הגישה.

בעיה נוספת היא חוסר המודעות לשינוי סיסמאות ברירת מחדל להתקנים/שרותים ברשת. משתמשים רבים ישאירו את ההתקנים אצלם (כגון ראוטר) עם סיסמת ברירת המחדל המגיעה מהיצרן וכך גם את סיסמת ממשק הניהול לתכנים המפורסמים באמצעות שרתי upnp ו web אצלם ברשת. אתרים רבים מפרסמים רשימות של סיסמאות בררות מחדל.

רבים מהמשתמשים עדיין קובעים סיסמאות קלות לניחוש (במידה והאתר לא כופה מדיניות סיסמא מורכבת+נעילת החשבון לאחר הקשת סיסמא שגויה מספר פעמים). שימו לב לנתון הבא, 123456היתה עדיין אחת הסימסאות הנפוצות ב 2011!

ביולי 2010 נגנבו עשרות אלפי סיסמאות על ידי האקרים טורקיים. ביטול הענין במשפט כגון "מדובר על סיסמאות לאתרים זניחים כמו משלוחי פיצה וכו', אינו רציני לאור העובדה שמשתמשים רבים נוהגים להשתמש באותה סיסמא למשאבים רבים.

"בפורום ההאקרים הטורקי שבו נמצאו בסוף השבוע סיסמאות וכתובות מייל של 32 אלף ישראלים, נמצא קובץ נוסף עם 70 אלף סיסמאות שנגנבו מאתרים שונים – ביניהם אתר פיצה האט". מקור: ynet

עד להטמעתם הפשוטה של אמצעי זיהוי אחרים לכל אזרח באמצעות זיהוי ביומטרי/ שבב/כרטיס יעודי, נצטרך אנו כמשתמשים לבצע מספר פעולות להגן על הסיסמאות שלנו.

לקבוע שלוש רמות של סיסמאות:

רמה 1
משאבים שהינם בעלי ערך מועט יחסית (פורומים, רשימות תפוצה וכו').

רמה 2
אתרים בעלי ערך בינוני (חברת הסלולרי, אתרי מבצעים).

רמה 3
עבור משאבים קריטיים ואו בעלי סיכון כלכלי פוטנציאלי או אתר השומר מידע כזה שהדלפתו תגרום לנזק ממשי (אתרי תשלום Paypal וכו', בנקים, כרטיסי אשראי).

  • נחליף סיסמאות אלו בתדירות שהינה פועל יוצא של רמתן (סיסמאות מרמה 3 יוחלפו בתדירות גבוהה יותר מסיסמאות ברמה 1).
  • הסיסמאות האלו חייבות להיות מורכבות (לא נשתמש במילים מתוך מילון/מידע אישי שלרוב הינו נגיש). נוכל לחולל סיסמאות רנדומליות ומורכבות באמצעות תכונה יעודית כגון keeppass ולבדוק את חוזקן באמצעות תוכנות ואתרי Password Checkers.
  • נשמור את הסיסמאות  בצורה מוצפנת ובאמצעות תוכנות יעודיות לכך (כגון LastPass או כל תוכנה אחרת לסלולרי לדוגמא).
  • נחליף תמיד את סיסמת ברירת המחדל לכל התקן/מכשיר/תוכנה/שירות שהתקנו.
  • נשים לב תמיד למנגנון שחזור הסיסמא באתר, שלעיתים מאפשר ניצול על ידי האקרים. האקר אשר הצליח להכנס אל תיבת המייל שלנו, יכול להשתמש במנגנון שחזור סיסמא באתרים ולקבל את הסיסמא החדשה ישירות אל תיבת המייל שאליה כבר יש לו גישה. ישנם אתרים המאפשרים שחזור סיסמא על ידי שאלה אישית, לדוגמא "שם הכלב", " שם בית הספר היסודי" וכו '. מידע זה לרוב נגיש באמצעות רשתות חברתיות כגון פייסבוק ולחלוטין אסור להשתמש במידע זה כמידע לשחזור סיסמא. בדיוק כך לדוגמא נפרצה תיבת המייל של שרה פייגלין.
  • נדאג לעולם לא להקיש את הסיסמאות מרמה 2 ו 3 ברשתות שאינן מוכרות (אינטרנט בבתי קפה/מלון וכו').
  • נודא ככל יכולתנו שהאתר/המייל הוא אמיתי ולא מזוייף.
  • לא נשמור את כל הסיסמאות "בסל" אחד ובודאי לא בצורה שאינה מוצפנת (לדוגמא בתוך תקייה במחשב/במייל).
  • נזהר שבעתיים בגלישה בנקודות אלחוטיות לא מוכרות, אין לדעת אם זו הונאה,ה אם מצוטטים לקו התקשורת ואו האם מותקן התקן פיזי המקליט את הקשות המקשים ואיתן את הסיסמאות (בתמונה רואים התקן קטן המחובר בין המקלדת ובין המחשב)

נסיונות לגנוב סיסמאות מתרחשות ומצליחות כל הזמן וכל יום באמצעות שיטות רבות, החל בשיטה הפרמיטיבית שהיא ניחוש הסיסמא באמצעות כלים אוטמטיים יעודיים לכך, האזנה לתקשורת שאינה מאובטחת (כגון אינטרנט אלחוטי פתוח בבתי קפה, בתי מלון וכו'), פישינג באמצעות מיילים/אתרים מזוייפים הגורמים למשתמש להקיש את הסיסמא שלו באתרים אלו ובכך לגנוב את הסיסמא ועוד.

גניבת סיסמא עלולה לגרום ל- "גניבת זהות", "הפסדים כלכליים" ו או "פגיעה בשם הטוב/מוניטין".

בבואנו להגן על המידע וכאמור סיסמאות היום הם עדיין ההגנה הנפוצה ביותר,  אנו מנסים למנוע שלושה תרחישים בעייתיים:

1) זמינות הנתונים – האקר יכול לשנות סיסמא למשאב ובכך למנוע זמינות הנתונים.
2) אמינות – האקר יכול לשנות את הנתונים לאחר שחדר אל המשאב.
3) סודיות – האקר יכול לגלות פרטים ונתונים אשר עלולים לפגוע בנו כלכלית/מוניטין.

ציטוט: "מחקרים שנעשו לאחרונה על ידי חברת RSA וגורמים נוספים, מעידים כי שיטות האימות המבוססות על סיסמה הגיעו לקיצן. גופים רבים ביניהם מיקרוסופט, הגיעו למסקנה כי סכמות סיסמה מספקות הגנה חלשה ביותר ולעתים אף בלתי מספקת. כיום רבים סבורים כי המעבר לאימות חזק בלתי נמנע וכי השימוש בסיסמאות ילך ויפחת עם הזמן, כאשר במקומן יבואו שיטות חדשות, חכמות יותר".
נלקח מתוך ויקיפדיה עבור הערך סיסמה.

ברור לחלוטין כי בעתיד הקרוב ימצא וחייב להמצא פתרון אחר לזיהוי, עד אז ננסה לשמור על כללים אלו.

 

לדיון בנושא: האם הסיסמאות שלכם בטוחות?


7:00
  /  
29.12.2011
  
מאת: אורי שמאי

1