סיסמאות הן החוליה החלשה

חברת Fazio היא חברה שמתכננת, מייצרת ומתחזקת מקררים תעשייתיים – מהסוג שאתם רואים בסופר מרקט. הפריצה לשרתי Fazio לא הייתה מקרית - אחת מהלקוחות של Fazio הייתה הרשת הקמעונאית Target. הפריצה ל Fazio הייתה הצעד הראשון למה שידוע היום בתור שוד כרטיסי האשראי הגדול בהיסטוריה, שלפי חלק מההערכות פגע באחד מתוך שלושה אמריקאים.

מייסד מיקרוסופט, ביל גייטס, אמר בעבר ש"סיסמאות הן החוליה החלשה" – אבל רבים מאתנו לא עושים מאמץ מספק כדי לחזק את הסיסמאות שלנו. כאשר שרתי חברת אדובי נפרצו בשנה שעברה, רשימת הסיסמאות הנפוצות הוכיחה בכמה ברצינות אנשים מתייחסים לסיסמאות שלהם – למשל, התגלה שמאות אלפי אנשים עדיין משתמשים במילה "password" בתור הסיסמה שלהם, וכמה מיליונים משתמשים ב "123456".

בנוסף, הרבה מאוד חברות לא נוקטות באמצעים מספקים על מנת להזהיר את המשתמשים שלהן מפני סיסמאות חלשות ולא נוקטות באמצעים מתאימים כדי למנוע מהם שימוש בסיסמאות חלשות. כאשר חברה כזאת נפרצת והסיסמאות של הלקוחות שלה מופצות ברשת, קו הגנה של "הלקוחות שלנו טיפשים" לא הולך להישמע טוב בבית המשפט, או בעיתונות.

האמת היא שהאקרים יכולים לפרוץ כל סיסמה, לא משנה עד כמה היא מורכבת. עם הכלים הנכונים, זמן והרבה סבלנות ניתן לפרוץ גם את הסיסמה המורכבת ביותר בעולם. אבל אם הסיסמה שלכם היא "password" או "123456" – החשבון שלכם יהיה הראשון להיפרץ.

אילו טעויות החברה שלכם עלולה לעשות עם סיסמאות?

 

לא לאכוף מדיניות סיסמאות – אכפו מדיניות סיסמאות שמחייבת החלפת סיסמאות תקופתית, אך לא כזו שתאפשר רק הוספה של ספרה או סימן בסופה, אלא כזו שמחייבת החלפת הסיסמה כולה.

סומכים על העובדים שידעו ליצור סיסמה חזקה – אל תניחו שהעובדים בחברה יודעים (או רוצים) ליצור סיסמה חזקה ומורכבת. הדריכו אותם והשתמשו בכלים למדידת חוזק סיסמאות (כמו זה שניתן למצוא בקישור הבא).

משתמשים בשם המשתמש כחלק מהסיסמה – קחו בחשבון שאם החברה שלכם תותקף על ידי האקרים במטרה להשיג סיסמאות, אחד הדברים הראשונים שהם יבדקו הוא האם ישנה התאמה בין שם המשתמש של העובד לבין הסיסמה שלו. אז אל תאפשרו שימוש חוזר בשם המשתמש בסיסמה – אפילו אם הסיסמה מורכבת.

משנים רק את חלק מהסיסמאות – אם מתבצעת פריצה כלשהי למחשבים או שרתים בחברה שלכם, עליכם לשנות את כל הסיסמאות. ייתכן שההאקרים הצליחו לשים את ידיהם על סיסמאות מוצפנות וייקח להם זמן לפרוץ אותן. אם תחליפו את הסיסמאות תוכלו להשאיר את ההאקרים בחוץ, גם אם הם יצליחו.

סיסמאות – מה הלאה?

 

בין כל חילוקי הדעות והרעיונות המגוונים בין מומחי אבטחת המידע בעולם, נראה שיש הסכמה אחת גורפת – סיסמאות הוא מנגנון מיושן שצריך לפנות את מקומו למנגנון זיהוי מתקדם יותר. עם הסכמה שכזו לא פלא שמדי פעם צצים כל מיני רעיונות מקוריים, ולפעמים גם ביזאריים, לתחליפים אפשריים לסיסמאות. הנה כמה מהם:

"גלולת-סיסמה" – הרעיון ההזוי הזה מגיע דווקא מחברה מכובדת כמו מוטורולה שהציעה להחליף סיסמאות בגלולה. כן, גלולה כמו שאנחנו בולעים כשיש לנו כאב ראש. לפי התוכנית, הגלולה תשלח אות זיהוי שיופעל עם פירוק הגלולה בקיבה שלנו, האות ייקלט במחשב שיפענח את הקוד. במוטורולה מקווים שהפטנט שלהם יהפוך אתכם ל"סיסמה מהלכת", וכך במקום להקליד סיסמאות כל שתצטרכו יהיה להיות בקרבת המחשב או הטלפון שלכם כדי לשחרר את נעילת המכשיר.

כובע לסריקת גלי מוח – החלפת מפתח המכונית במעין כובע אלקטרוני עלול להישמע מוזר, אבל על פי חוקרים באוניברסיטת טוטורי ביפן המכשיר הזה יוכל לתת לכם אבטחה שכמעט בלתי אפשרי לעקוף או לפרוץ. לדבריהם, מדידת גלי המוח של הנהג באופן רציף תספק זיהוי שכמעט בלתי אפשרי לזייף. אם ייקלטו בהתקן גלי מוח שונים, המכונית תושבת.

קורא טביעות האצבע חכם – מאז המצאת קורא טביעות האצבע, אנשים מצאו דרכים לעקוף אותו. אבל סורק חדש של חברת ביוקריפטולוג'י מסתכל לא רק על טביעת האצבע, אלא גם על הדם שמתחת לעור – מה שמנוע מפושעים להשתמש בטביעות אצבע מזויפות. מנכ"ל ביוקריפטולוג'י מסביר שהסורק שלהם מודד גם דברים כמו טמפרטורה, לחות ופרמטרים נוספים כדי לאשר את זהות המשתמש ולא מסתמך אל טביעת האצבע בלבד.

סורק הלשון – "טביעת לשון" לא הולכת להחליף את טביעת האצבע, אבל ייתכן שבעתיד הלא רחוק גוגל תבקש מאיתנו "להוציא לשון" למצלמה כשנתבקש לתת את "סיסמת הפנים" שלנו. אחת הבעיות עם מנגנוני זיהוי פנים היא שניתן לפעמים לשטות בהן באמצעות צילומים. לכן בימים אלה עומלת גוגל על מנגנון זיהוי חדש שמזהה אתכם על פי הבעות פנים הייחודיות שלכם – כך שאולי בקרוב תתבקשו להזעיף פנים או להוציא לשון למצלמת הרשת שלכם במקום להקליד סיסמה.

אודות ESET

חברתESET היא חלוצת האנטי וירוס וחברת האבטחה ה- 5 בגודלה בעולם, המגנה בזמן אמת על יותר מ- 100 מיליון משתמשים מפני נוזקות, גניבת זהויות ופישינג, התקפות אינטרנט מקוונות והאקרים. מוצריה מתאפיינים בטכנולוגית זיהוי פורצת דרך, בצריכת משאבים מזערית ובחווית-משתמש מעולה.

בישראל מיוצגת ESET על ידי חברת קומסקיור, המפעילה בארץ מרכז שירות המציע תמיכה טכנית בעברית לכל הלקוחות. כיום ESET היא מוצר האנטי וירוס הביתי הנמכר בישראל, ובין לקוחותינו בשוק העסקי ניתן למצוא חברות טכנולוגיה ואינטרנט, מכללות ואוניברסיטאות, גופים ביטחוניים, מוסדות עירוניים וממשלתיים.