מדוע הגבלות סיסמאות באתר אינן שומרות עליך

De ce restricțiile privind parola site-ului web nu vă mențin în siguranță
⏱️ 1 min read

אם עשיתם חשבון או שניים בשנים האחרונות, בוודאי שמתם לב שרבים מהאתרים הללו נוזפים בך על השימוש בסיסמה “לא מאובטחת” בתנאים מסוימים. לפעמים אתה אפילו לא צריך ללחוץ על כפתור “הרשמה” לפני שאתה נתקל בהודעה קטנה ליד שדה הסיסמה האומרת שאתה משתמש בסיסמה חלשה.

בעוד שאתרים מסוימים עשויים למנוע ממך להירשם עם מה שהם מחשיבים כסיסמה חלשה, אחרים פשוט מזהירים אותך ומאפשרים לך בכל מקרה לעשות מה שאתה רוצה מעצמך. בסך הכל, לאתרים הללו (בעיקר) יש דבר אחד במשותף: הקריטריונים שלהם ל”סיסמאות מאובטחות” לא ישמרו עליך.

יער אילנות (הארבורט...
יער אילנות (הארבורטום הלאומי)

יצירת הרגלים רעים

אחד הדברים הראשונים שתבחין ברוב האתרים הוא שלכולם נראה שיש קריטריונים דומים למה שייחשב כסיסמה “חזקה”. ברוב האתרים, הקריטריונים הם כדלקמן:

  • מינימום 6 או 8 תווים
  • מינימום מספר אחד ואות אחת
  • לפעמים לפחות אות גדולה אחת.

במקרה זה, סיסמה כמו “Ironclad1″ היא מצוינת ועונה על הדרישות של האתר המסוים הזה. מכיוון שלרוב האתרים יש רק את הדרישות הללו, אנשים יכולים להתרגל לעובדה ש”Ironclad1”, “Sallyepstein4”, “Michael1985” וכו’. הן סיסמאות טובות. כל מי שקרא את שלושת העמודים הראשונים של ספר אבטחת סייבר יודע שזה לא מאובטח להפליא, אבל זה נקבע בשתיקה כנורמה על ידי מיליוני אתרים באינטרנט שבהם האבטחה היא מחשבה שלאחר מכן ששווה חמש שורות קוד.

האקר יכול פשוט להשתמש במתקפת מילון כדי לפצח את הסיסמה שלך וזהו.

שירותי אינטרנט מסוימים (כמו גוגל) דורשים גם סמל (כמו “!” או “$”) כדי לשמש ליצירת סיסמה. זה רק הופך דברים כמו “$allyepstein4” לסיסמאות חוקיות, והתקפות מילונים הלכו והשתכללו עם השנים.

מהו הרגל סיסמא טוב?

נעילת סיסמת אתר

יש הרבה ויכוחים לגבי מהי סיסמה טובה, אבל במקום להתחכם ולהסביר את כל הניואנסים, בואו נסתכל על כמה מהדברים שכולם מסכימים עליהם בדרך כלל. סיסמה טובה

  • כולל מגוון רחב של וריאציות אלפאנומריות כגון אותיות רישיות, מספרים ואותיות קטנות
  • יש לו סמלים במקומות בלתי צפויים (“@shley” פחות מאובטח מ-“@$_hley” מכיוון שיש קו תחתון באמצע המילה, כאשר התקפת מילון תחפש בדרך כלל “@” במקום “a” ו-“$” מחליף את “S”)
  • מכיל רווחים (כמו “I @te a S4nDw1ch”)
  • מגיע לגבול העליון של מגבלות תווים סבירות (“I l0v3 LuC#Y“זה פחות בטוח מ”Th1S p4ssword sH_oulD b3 h @ rd a cr @ ck“)
  • מכיל איות לא שגרתי של מילים (למשל “schuld” במקום “should”, “beffe” במקום “carne”, “inszteda” במקום “במקום”, “mektekezier” במקום “maketecheasier” וכו’)

כמובן, אחת הסיסמאות הטובות ביותר שיכולות להיות לך אינה קלה במיוחד לזכור (לדוגמה: “ifjecBucE083 $ && 8c ociefjC * # & $ 6c iof0e0 ($ * #“). שים לב כיצד הדוגמה המסופקת היא רק ז’רגון שלם תוך שימוש בכל הכללים שלמעלה כולל הכנסת רווחים. זה מאוד לא שגרתי אפילו עבור התקפות המילונים המתוחכמות ביותר. כל עוד מסד הנתונים המאחסן את ה-hash של הסיסמה שלך מאובטח ומפתחות ההצפנה מנוהלים בצורה נכונה, זה יהפוך את החשבון שלך פחות שימושי עבור האקר לפיצוח.

כמובן, לא כל השרתים מאובטחים ושירות שבו אתה משתמש עלול להיפרץ על ידי חשיפת הסיסמה שלך. זה בגלל חשוב שתהיה סיסמה שונה לכל שירות.

אבל אתה לא באמת יכול לשנן 15 סיסמאות, שלא לדבר על זו שסיפקתי כדוגמה ל”אחת הסיסמאות הטובות ביותר שיכולות להיות לך”. כדי לנטרל זאת, אתה יכול להשתמש בשירות כניסה יחידה מאובטח במיוחד (המכונה “ניהול זהויות”) שעוקב אחר הסיסמאות שלך כך שלא תצטרך לשנן אותן. למרות שהם קיימים כבר כמה שנים, הקונספט הוא עדיין טריטוריה לא ידועה (לפחות לדעתי המקצועית), אז לכו בזהירות. ערכו מחקר משלכם וחפשו בגוגל את שם השירות ואחריו המילה “פריצה” כדי לגלות אם הוא כבר נפרץ.

כיצד ניתן לפתור את הבעיה

סיסמה-chainlock של site

הבעיה שאנו מנסים לפתור כאן היא לגרום למספר הגדול של אנשים שיוצרים חשבונות באינטרנט להבין מהן השיטות המומלצות ליצירת סיסמאות. נשמע כמו משימה מונומנטלית, לא?

למעשה, זה קל כמו לספק מידע איפשהו. גוגל עושה עבודה טובה עם זה הנחיותאבל זה לא הולך רחוק מספיק.

למרות השבחים, אני חושב שעדיף לכלול קישור להנחיות אלו ליד שדה הסיסמה, כדי להקל על המשתמש לגשת אליה בשלב רישום החשבון. אם מישהו מתעלם מזה, זו זכותו, אבל אף אחד בשלב זה לא יכול היה לומר שמעולם לא הייתה לו הזדמנות לקרוא חומר חינוכי בנושא.

החלק הקשה היחיד בעניין זה הוא לשכנע את מיליוני האתרים שיש להם מאגרי מידע על חשבונות להשתמש בנוהג זה. עם זאת, מכיוון שרוב האתרים הללו משתמשים בתוכנות גדולות (כמו וורדפרס או דרופל), סביר להניח שעדיף ליצור קשר עם מפתחי התוכנה כדי לספק דברים כאלה בעדכונים העתידיים שלהם. ברגע שאתרים יעדכנו את התוכנה שלהם, הם יקבלו אוטומטית את ההנחיות האלה בדפי ההרשמה שלהם!

מה עוד לדעתך נוכל לעשות כדי להפיץ סיסמאות טובות? בואו נדון בזה בתגובות!

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

You may also like...

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x