תמיד ממליצים לנו בשירותים השונים להחליף סיסמה לעתים קרובות, בחשבונות מסויימים כגון בנקים זו אפילו חובה לביצוע כל מספר חודשים. אבל וועדת הסחר הפדרלית בארה"ב הצהירה שהדבר לא בהכרח מבטיח את ביטחון החשבון שלנו ואף מזיק לו. כיצד?
מזה שנים רבות חלק מהטיפים הנפוצים ביותר באבטחת מחשבים היו לבחור סיסמאות מורכבות עם אותיות גדולות וקטנות, מספרים ואפילו תווים "מיוחדים", לא להשתמש באותה סיסמה לחשבונות שונים, לא להשתמש בסיסמאות ברורות כמו תאריך הלידה שלכם, לא לרשום את הסיסמה על דף ולהצמיד אותו למסך המחשב ועוד טיפים בסגנון. אך ועדת הסחר הפדרלית בארה"ב, כפי שדיווח ב-Ars Technica, יוצאת כעת בהצהרה כנגד כלל הברזל המפורסם מכל – ההצעה (ולעיתים אף הדרישה) לשנות את הסיסמה לחלוטין כל פרק זמן מסויים.
במהלך אירוע PasswordCon 2016 שנערך בשבוע שעבר, לורי קרנור, ראש מערך הטכנולוגיה של וועדת הסחר הפדרלית (FTC), אמרה כי שינוי סיסמאות לרוב מוביל לסיסמאות חלשות יותר מכיוון שהמשתמשים עושים בסיסמה שינויים מינוריים וצפויים, שהאקרים יכולים לזהות בקלות בעזרת אלגוריתמים אוטומטיים. כתוצאה מדבריה, ה-FTC ישנה נהלים פנימיים בכל הנוגע לשינוי תכוף של סיסמאות.
בשנת 2010 חוקרים מאוניברסיטת צפון קרוליינה בחנו 10,000 חשבונות של האוניברסיטה שפג תוקפם על מנת להתחקות אחר ההיסטוריה של הסיסמאות בחשבון. בעלי החשבון נדרשו לשנות סיסמה מדי שלושה חודשים. ברוב המקרים, המשתמשים ביצעו רק שינויים מינימליים לסיסמאות שלהם, באמצעות דפוסים ניתנים לזיהוי.
לדוגמה, נמצא משתמש שכל השינוי שערך בסיסמה הוא הפיכת אות אחת בסיסמה לגדולה, ובכל פעם שהתבקש לשנות סיסמה עשה זאת לאות אחרת. דפוס נוסף שזוהה היה שינוי של ספרה אחת בסדר עולה בעת שינוי הסיסמה: password1, password2, password3 וכך הלאה. החוקרים פיתחו אלגוריתמים שיכולים בקלות לפצח חשבונות על פי דפוסי הזיהוי שנתגלו.
"העצה לשינוי סיסמאות לעיתים קרובות עדיין רלוונטית", אומר גיל נוילנדר מנכ"ל ESET ישראל. "אך צריך להתקיים תנאי הכרחי שמחייב את הסיסמה להיות מורכבת כביטוי ארוך עם תווים, אותיות ומספרים, ולא רק בהחלפתה של ספרה או אות מהסיסמה האחרונה. זה ידוע שאנשים רבים בוחרים במסלול קל לשנות לסיסמה שקל לזכות אותה, אבל הם עלולים להיפגע מכך בסופו של דבר. אין להתעצל – יש לבחור תמיד סיסמה חזקה. יש כיום גם פתרונות טובים לניהול סיסמאות, כך שלא צריך לזכור אותן או לשמור אותן באופן שנגיש לאחרים".
אך לנו ב-HWzone יש טיפ עבורכם שישפר את אבטחת הסיסמה אפילו יותר: אל תשתמשו בסיסמאות "מוזרות" שיהיה לכם קשה לזכור (או להשתמש במערכת חיצונית שתזכור אותה, ואז הוספתם עוד חוליה אפשרית לפריצה בשרשרת), אלא דווקא בסיסמה ארוכה במיוחד – המכילה 4 (או יותר) מילים אקראיות – שבנוסף גם יהיה לכם קל יותר לזכור.
בפועל, למערכת אוטומטית המנסה לפרוץ את הסיסמה – סיסמה כזו תהיה קשה יותר לפריצה. הסיבה היא יחסית פשוטה – עם כל הכבוד לאותיות גדולות/קטנות, מספרים ותווים מיוחדים, לסיסמה ארוכה באופן מיוחד קיימות פשוט הרבה יותר אפשרויות, אפילו אם משתמשים באותיות קטנות בלבד. מה גם שהפורץ המיועד במילא לא יודע שהוא אמור לחפש רק אותיות קטנות, ולכן אופציות החיפוש שלו מרקיעות שחקים אפילו יותר. הסבר מעמיק יותר ניתן לקרוא כאן.
זה נכון שבאתרים מסויימים אין ברירה אלא להשתמש בשיטה המפורסמת של "אותיות בגדלים שונים, מספרים ותווים", ולא נותר לנו אלא להצטער על כך ולקוות שהם יפסיקו עם ההרגל המגונה הזה ויעברו לעידוד ולימוד הגולשים לבחור בסיסמאות שבאמת יהיה למכונה אוטומטית קשה יותר לפענח.
יחד עם זאת, ברוב המקרים סיסמאות כלל אינן נפרצות, אלא "נמסרות" לפורץ על ידי בעל הסיסמה בעצמו – באמצעות אתרי פישינג (אתרים מזוייפים המתחזים לאתר לגיטימי וגורמים לכם להכניס את הסיסמה בתיבת הכניסה המזוייפת) ובשיטות נוספות. לכן, ההמלצה העיקרית שלנו עבורכם, מלבד כמובן לפקוח עיניים, היא קודם כל לא להשתמש באותה סיסמה, טובה ככל שתהיה, במספר אתרים. הרי אם יפרץ לכם חשבון הפייסבוק, לא תרצו שלפורץ תהיה גישה ישירה גם לחשבון הגוגל שלכם, מה שכנראה ימנע מכם גם לקבל בחזרה את הגישה לחשבון הפייסבוק.. נכון?
לאחר מכן, שינוי תקופתי של סיסמאות, זו אופציה שיכולה להיות בהחלט חיובית. כל עוד דואגים כמובן שהסיסמה החדשה תהיה שונה מהקודמת באופן משמעותי, ושהיא תהיה חזקה בפני עצמה – כאשר את ההסבר על מה המשמעות של סיסמה חזקה סיפרנו לכם כאן למעלה.