מדוע הסיסמה היחידה שמאובטחת באמת היא זאת שאתם אפילו לא יודעים שאתם יודעים
הריסטו בוג'ינוב רוצה שתשכחו את הסיסמה שלכם. ליתר דיוק, הוא רוצה שלא באמת תדעו אותה מלכתחילה. בוג'ינוב, מדען מחשבים בסטנפורד ועמיתיו פיתחו תוכנת מחשב שיכולה להשתיל מילות סיסמה בתת-המודע של אדם – וגם להשיב אותן באופן תת-מודע. השיטה תוכל לגרום לכך, למשל, שלא יהיה מצב שבו סוכן ממשלתי בעל סיווג בטחוני גבוה יחשוף את הסיסמה שלו; הסוכן לא באמת ידע את הקוד הסודי. בסופו של דבר, השימוש במילות סיסמה בתת-מודע עשוי לחלחל אל שאר האוכלוסייה. ובהתחשב במצב המסוכן של אבטחת מילות סיסמה, כמה שזה יקרה יותר מוקדם – זה יותר טוב.
"הבעיה עם מילות סיסמה היא שקל לפרוץ אותן", אומר רם פמראג'ו, מנהל טכנולוגי ראשי בחברת האבטחה StrikeForce Technologies. הכלים לפיצוחן, כמו תוכנות נוזקה, קלים להשגה. מעבדים חדשים ותוכנות קוד פתוח יכולות לפרוץ סיסמה מוצפנת בתוך ימים, אם לא שעות או דקות. קחו סיסמה בת שבעה תווים עם אותיות, מספרים וסימבולים. לפני חמש עד עשר שנים, המחשב הממוצע היה צריך יותר מ-1,000 שנים כדי לנחש אותה. המחשבים הביתיים של היום יכולים לעשות את זה בכחודש.
בגלל כח המיחשוב הגובר הזה, יש מומחים הממליצים על מילות סיסמה בנות 20 עד 30 תווים. אבל העצלות האנושית גם היא בעיה גדולה. מי רוצה לזכור סיסמה בת 30 תווים? מחקר עכשווי אחד מצא שחמישה אחוזים ממילות הסיסמה הן וריאציה כלשהי של המילה "password".
אילוסטרציה: ג'סי לנץ |
אבל אם אדם היה יכול ללמוד באופן תת-מודע מילת סיסמה, הוא לא היה צריך לעולם לטרוח לזכור אותה. הוא לא היה שוכח אותה בטעות. והוא לעולם לא היה רושם אותה על פתק שאחרים עלולים למצוא. אלה הם היתרונות שבוג'ינוב חשב עליהם בקיץ האחרון בסימפוזיון האבטחה USENIX היוקרתי, שם הוא הציג את המחקר שלו – הראשון שמראה שאנשים יכולים לזכור באופן תת-מודע מילות סיסמה ולשחזר אותן ממחשבותיהם. בניסוי, למדו משתתפים מילת סיסמה על ידי משחק במשחק מחשב. על המסך, עיגולים שחורים נפלו אחד אחרי השני מראש המסך לתחתיתן של שש עמודות שסומנו ב-S, D, F, J, K ו-L. כשעיגול הגיע לתחתית, השחקן הקליד את האות של העמודה.
לקח כ-30 עד 45 דקות לסיים את המשחק, שהוא כמעט בן 4,000 לחיצות מקש. השחקנים לא ידעו את זה, אבל המשחק הכיל מילת סיסמה – רצף של 30 אותיות שהם הקלידו 105 פעמים. עד שהשחקנים סיימו את המשחק, הם ידעו את הסיסמה טוב מספיק כדי שהיא תראה מוכרת במקצת, אבל הם עדיין לא יכלו לזהות אותה, ובטח שלא לחזור עליה בעל פה. (בממוצע, הם דירגו את מידת יכולת הזיהוי שלהם את הסיסמה כ-6 מתוך 10, ומילת סיסמה רנדומלית כ-5 מתוך 10).
כדי להשתמש בסיסמה, המשתתפים שיחקו בגרסה בת חמש עד עשר דקות של המשחק. הפעם, התוכנה השוותה כמה במדויק הם הקלידו את מילת הסיסמה עצמה לעומת רצפים בני 30 תווים שנוצרו רנדומלית. 71 אחוז מהמשתתפים קיבלו ניקוד גבוה יותר עם מילות הסיסמה האמיתיות מאשר עם המזוייפות. כשהם שיחקו את המשחק שבועיים לאחר מכן, 61 אחוז הצליחו יותר עם הסיסמאות האמיתיות.
אימון מוח: חוקרים משתמשים במשחק מחשב כדי ללמד את התת-מודע מילות סיסמה. המשחק מתאים את מהירותו כדי להיות בקצב של ביצועי השחקן |
בעתיד, יוכלו אנשים להשתמש במשחק דומה כדי להתחבר למערכת המחשב שלהם בבוקר. אבל בוג'ינוב מזהיר שהעבודה היא עדיין מקדמית. תהליך הלמידה לוקח לרוב האנשים יותר מדיי זמן, הוא אומר, לכן הוא מרוכז כעת בשיפור השיטה למצבי אבטחה-גבוהה – סוג היישומים בהם פולחן של 45 דקות לסיסמה יהיה שווה את ההשקעה. הוא מציע שהמערכת תוכל לשמש כתצורה של אימות משני, תחליף לשאלות האבטחה שכיום דרושות כדי לשנות סיסמה בחשבון אי-מייל. לא משנה מה היישום, בוג'ינוב אומר שחוקרים עדיין צריכים לענות על שאלות בקרתיות אודות השיטה. כיצד הם יכולים להתאים ליותר אנשים? מה הדרך הטובה ביותר להאיץ את התהליך? וכמה זמן מחזיקות מעמד מילות הסיסמה של התת-מודע?
התשובות לשאלות האלה יוכלו להוביל לתפנית מעניינת באבטחת סיסמה. ראסל דייטז, מנהל טכנולוגי ראשי של חברת אבטחת המידע SafeNet, אומר שהשיטה הנוכחית היא לאבטח מערכת נגד תיחכום אנושי כמו גם כשלים אנושיים. "אתה רוצה להוכיח שמישהו הוא מי שהוא בו בזמן שאתה מבטל את החוליה החלשה – המשתמשים האנושיים עצמם", הוא אומר. אבל כפי שהמחקר של בוג'ינוב מציג, החווייה האנושית עשוייה להיות מה שאף אדם או מחשב אחר יכול לזייף.
עוד על חידושים בגליון פברואר של popular science ישראל – למבצע היכרות מיוחד לגולשי HWzone.co.il