בחירת סיסמה חזקה שתוכל לזכור בצורה מהימנה יכולה להיות כאב. יש הרבה שדות ליצירת סיסמה שיש להם דרישות משלהם - חייב להיות שבע אותיות, חייב להכיל מספר וכן הלאה. ביצוע הוראות אלה אינו מבטיח סיסמה מאובטחת - בכלל לא. עם זאת, ישנם כמה כללים שיש לעקוב אחריהם, וטיפים כיצד לוודא שיש לך את הסיסמה הטובה ביותר האפשרית... תוך כדי יכולת לזכור אותה.
הכלל הראשון של בדיקת חוזקה של סיסמה הוא להיות זהיר ביותר בעת שימוש בכלים מקוונים לבדיקת הסיסמאות שלך. אתרים או תוכנות להורדה עלולות לקחת את הסיסמה שאתה מנסה לבדוק ולהוסיף אותה לרשימת מילים. רשימת מילים היא רשימה של סיסמאות מוכרות ונפוצות בדרך כלל. רשימות מילים יכולות לרוץ למיליוני ערכים ומשמשות האקרים לניחושים מושכלים בסיסמאות ולא בשיטה האיטית יותר של לנסות את כל השילובים האפשריים החל מ-"aaaaaa".
במילים אחרות, רשימת מילים שומרת סיסמאות כמו "Susie1202" ו-"Password12". האקרים יפעילו את רשימת הסיסמאות באתרים בתקווה להשיג התאמה. חשוב שתהיה סיסמה שאינה ברשימה כזו. רשימות המילים הללו יעילות באופן מפתיע, מכיוון שהרבה אנשים משתמשים בסיסמאות גנריות או נפוצות. למרבה המזל, אתה לא לבד - יש כמה כלים שיעזרו לך: בודקי אבטחת סיסמאות.
בודקים אלה מנוהלים בדרך כלל על ידי חברות אבטחת סייבר אמינות. עם זאת, היזהר תמיד בעת שימוש בכלי מסוג זה - תמיד יש סיכון מסוים. אתה לא צריך לסמוך סתם על כל אתר או תוכנית שמציעה למדוד את חוזק הסיסמאות שלך מבלי להיות בטוח לחלוטין שהן בטוחות - למעשה, אפילו חלקן חברות אבטחת סייבר שמציעות את הכלים הללו בעצמן ממליצות לא להשתמש בסיסמאות האמיתיות שלך, ורק לבדוק פוטנציאל, או סיסמאות דומות בכלים שלהן - במקרה ש.
אז איך אתה אמור לדעת כמה חזקה הסיסמה שלך מבלי להשתמש באתר או באפליקציה כדי לבדוק אותה?
התשובה פשוטה להפתיע: על ידי למידה נוספת על מה הופך סיסמה לבטוחה, ועיצוב אחת בהתאם.
סוגי התקפה
כאשר מנסים לעצב סיסמה בטוחה, זה עוזר להבין כיצד האקרים מנסים לתקוף. ישנם שני סוגים עיקריים של התקפה; כוח גס, ומילון.
התקפות כוח אכזריות מנסות את כל השילובים האפשריים של דמויות. בהינתן מספיק זמן שיטה זו תפצח בסופו של דבר כל סיסמה אפשרית. החיסרון העיקרי בסוג ההתקפה הזה הוא שזה לוקח זמן, וככל שיש לנסות יותר שילובים, זה לוקח יותר זמן. הזמן הדרוש יכול להיות אסטרונומי - גם אם תוכנית יכולה להריץ עשרות אלפי אפשרויות בדקה, ישנם מיליוני שילובים אפשריים, מה שהופך את ההתקפות הללו ללא יעילות. סביר מאוד שלא יפצחו סיסמאות ארוכות בשיטה זו, שכן הפעלת כל האפשרויות ובכך למצוא אותן עשויה להימשך עשרות שנים.
התקפות מילונים משתמשות ברשימות המילים הנ"ל כדי להעלות ניחושים מושכלים לגבי סיסמאות. טכניקה זו מפחיתה באופן דרמטי את מספר הניחושים שיש לבצע בהשוואה להתקפות כוח גסות, ומאיצה את התהליך בפער עצום. רשימות מילים מבוססות בדרך כלל על סיסמאות ידועות שדלפו. תוכנה המיועדת לבצע תקיפה מסוג זה יכולה לכלול גם חוקים של "שיבוש מילים" שיכולים לשנות את המילים כדי לנסות גם וריאציות נפוצות. לדוגמה, כלל של שיבוש מילים עשוי לנסות להחליף "o" ב-"0" או להוסיף "!" עד סוף מילה. כללים אלה מבוססים בדרך כלל על תחליפים או תוספות נפוצות שאנשים עושים - מיותר לציין שזה לא מאוד בטוח. החיסרון העיקרי של סוג זה של התקפה הוא שהתוקף צריך שהסיסמה תהיה כבר ברשימת המילים שלו, וההתקפה טובה רק כמו רשימת המילים.
כיצד ליצור סיסמה חזקה
ישנם שלושה גורמים חשובים בחוזק הסיסמה: אורך, ייחודיות ומורכבות.
טיפ: נא לא להשתמש באף אחת מהסיסמאות או חלקים מהסיסמאות המוזכרות במאמר זה מכיוון שהן אינן מאובטחות.
איך האורך משפיע על חוזק הסיסמה הוא די פשוט להבנה. ככל שיש לסיסמה יותר תווים, כך צריך לנסות יותר שילובים של אותיות לפני שהאקר צפוי סטטיסטית לנחש נכון. לדוגמה, יש הרבה יותר מילים בנות שש אותיות מאשר מילים בנות ארבע אותיות. למעשה, עבור כל תו שנוסף מספר השילובים האפשריים הכולל גדל באופן אקספוננציאלי.
אורך הוא ההגנה הטובה ביותר מפני התקפות של כוח גס, אבל לזכור, נניח, סיסמה של 64 תווים היא לא בדיוק קלה. זה גם לא הכרחי. המצב האידיאלי הוא ליצור סיסמה כל כך ארוכה עד שפשוט בלתי אפשרי לבזבז את הזמן והאנרגיה כדי אולי אי פעם לפצח אותה. האידיאל הוא 10 תווים או יותר - כמעט בכל המקרים, זה יספיק.
אנשים מסוימים עשויים להמציא תוכנית להשתמש בסיסמה ארוכה בטירוף, כל כך ארוכה עד שאי אפשר יהיה להפעיל אותה בכוח. למשל, שיר, מילות שיר או יצירותיו השלמות של שייקספיר. בהנחה שהאתר מאפשר זאת, זה יעבוד, אבל בשלב מסוים, האקר עשוי להוסיף את הדוגמאות הידועות הללו לרשימת המילים שלהם "למקרה" ואז הרעיון יתפרק. זה המקום שבו הייחודיות באה לידי ביטוי.
ייחוד קשה לשפוט. מבין יותר משבעה מיליארד אנשים על פני כדור הארץ, יכול להיות קשה להמציא משהו ייחודי לחלוטין, אבל עדיין שווה לנסות. כמה מהסיסמאות הנפוצות ביותר, שעדיין נמצאות בשימוש גם עכשיו הן: "admin", "סיסמה", "123qwe" ו-"qwerty". אלו הן סיסמאות איומות, לא רק בגלל שהן קצרות, אלא בגלל שהן ידועות, אז הן יופיעו בכל רשימת מילים, כנראה כאחד מהניחושים הראשונים. יש אנשים שמנסים להפוך את הסיסמאות הללו למעט יותר מסובכות באמצעות "סיסמה 1!" אבל זה צפוי מדי ונמצא גם ברוב רשימות המילים.
כדי לנצח מתקפה מבוססת רשימת מילים, עליך לעצב סיסמה שלא תדע או תחשוב עליה. המקרה הטוב ביותר הוא להשתמש במבחר אקראי לחלוטין של דמויות, אך סביר להניח שקשה מדי לזכור זאת.
"UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO" תהיה סיסמה מאובטחת, אבל היא לא תהיה מעשית.
פתרון הגון הוא להשתמש במבחר מילים, זה לא אומר כלום ביחד. דוגמה אחת, פופולרית על ידי ה-webcomic XKCD, הוא "CorrectHorseBatteryStaple". הרעיון הזה די חזק, מעודד גם אורך וגם אקראיות, והתוצאה צריכה להיות קלה יותר לזכור מאשר מחרוזת אקראית של תווים וסמלים. אתה יכול לבחור כל מילה שאתה אוהב - חיות שאתה אוהב, פרחים, שם של שחקן אהוב, אפילו, כל עוד זה כמה דברים שאתה יכול לזכור. אפילו חמישה דברים שיש לך על השולחן שלך עכשיו יעבדו!
לגבי מורכבות: זה חובה - זה בהחלט אחד ההיבטים החשובים ביותר ביצירת סיסמה. שינוי אותיות למספרים והוספת סמלים יכולים להגביר את מורכבות הסיסמאות שלך. מחרוזת בת עשרה תווים של אותיות, מספרים וסמלים אקראיים היא סיסמה טובה יותר, ופחות סביר שתהיה מנחש, מאשר האות "א" מאה פעמים ברציפות, אשר, בתורה, עדיין סיסמה טובה יותר מאשר "סיסמה 12!".
מורכבות היא דרך טובה להפוך סיסמאות לקשות יותר לניחוש, אך היא גם מקשה עליהן לזכור אותן. הכל על מציאת איזון בריא. באופן כללי, הוספת כמות קטנה של מורכבות על ידי הכללת מספר וסמל איפשהו, מספיקה שיפור כדי באמת להשפיע על חוזק הסיסמה שלך. זה לא באמת הכרחי לשנות כמה שיותר תווים למספרים או סמלים - זה רק מקשה על הזיכרון.
מסקנות
לסיכום שלוש הדרישות, כמה כללים טובים שכדאי לזכור עבור סיסמאות הם:
- סיסמאות צריכות לכלול 10 תווים כאורך מינימלי סביר, אבל יותר עדיף.
- סיסמאות לא צריכות להיות שילובים פשוטים או נפוצים של מילים; הם צריכים להיות ייחודיים.
- סיסמאות צריכות להכיל מגוון סוגי תווים כולל מספרים וסמלים
טיפ: אם אתה סקרן ורוצה הדגמה ויזואלית חיה לגבי האופן שבו אורך ומורכבות משפיעים על חוזק הסיסמאות הכולל, שימוש בבוחן חוזק סיסמאות מקוון אינו רעיון נורא. הדוגמאות הבאות הן אתרים מהימנים. היזהר תמיד מהיכן אתה מזין את הסיסמאות והמידע שלך - ייתכן שאתרים מסוימים מנסים לגנוב את הסיסמאות שלך. האתרים שלהלן ידועים כאמינים:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php