בית  >  כתבות  > אבטחת מידע: מה באמת עובד?

אבטחת מידע: מה באמת עובד?

ברק דנין, 18/4/2010. 20 תגובות.

יש הרבה מערכות ואתרים שבהם אבטחת המידע היא אספקט מרכזי של המערכת: בנקים, חברות אשראי, קופות חולים, חברות ביטוח ועוד. גם במקומות אחרים, כמו דואר אלקטרוני, יש סיסמה פשוטה שעוזרת לנו לשמור על הפרטיות שלנו.

מה הגבול למכשולים שאבטחת המידע מציבה בפני המשתמש? כמה רחוק כדאי ללכת עם אבטחת המידע? בדקתי בכמה אתרים ישראליים, וגיליתי גישות שונות, חלקן מסוכנות, בעיקר לארגון שהגדיר אותן.


צילום: ברק דנין

סיסמאות: האם הן באמת מגינות על המידע?

סיסמאות נועדו, לכאורה, כדי לשמור על המערכת מפני פולשים זרים. אם אתה יודע את הסיסמה – תוכל להכנס ולראות את המידע האישי שלך; אם לא – תשאר בחוץ או תשחזר את הסיסמה. כדי שהמשתמשים לא יבחרו סיסמאות קלות לניחוש, המערכות מאלצות אותם להכניס גם מספרים, אותיות גדולות באנגלית, תווים מיוחדים, ליצור סיסמאות ארוכות ועוד ועוד.

הנה למשל הטקסט של ויזה-כ.א.ל, שמסביר כיצד לבחור סיסמה:

והנה זה של בנק לאומי:
leumi1  אבטחת מידע: מה באמת עובד?

במבט ראשון, זה נראה מנגנון מצויין. העניין הוא שמנגנון הסיסמאות רחוק מלהיות טוב, וכולנו אשמים בזה. לא בגלל שאנחנו לא יודעים להשתמש בו, אלא פשוט בגלל שלרובנו אין זיכרון מוצלח במיוחד. רובנו שוכחים את הסיסמאות בקלות. ככל שהדרישות מהסיסמה מורכבות יותר, יותר קשה לנו לזכור אותה. לכן כולנו מתנהגים באחת משלוש דרכים טיפוסיות:

  1. הטירונים/העצלנים/האופטימיים לא עושים כלום, ובדרך-כלל שוכחים את הסיסמה. הם משחזרים אותה בפעם הבאה שהם צריכים אותה. כאן סיכון האבטחה הוא המזערי ביותר.
  2. המנוסים/הקפדנים/הפסימיים רושמים את הסיסמה, על דף (שמונח לרוב ליד המחשב), במחשב, בסלולר או במקום אחר. מי שיגיע למקום המסתור של הסיסמאות, בין אם בדרך פיזית (פורץ) או בדרך דיגיטלית (האקר), יקבל גישה לכל המידע האישי שלנו.
  3. אחרים בוחרים את אותה הסיסמה למערכות שונות, כדי שיצטרכו לזכור פחות. מי שישיג את הסיסמה באחד המקומות יקבל גישה מיידית לכל שאר המקומות.

ברור מהרשימה הזו שכללים מורכבים לסיסמה רק מגבירים את הסכנה למערכת, ועשויים להגדיל את הסיכוי שיפרצו אליה. איכשהו במאבק בין חוויית המשתמש לאבטחה אנשי האבטחה נראים מפחידים יותר, כנראה, והתוצאה היא, באופן אירוני, חורים במערכת האבטחה.

שם משתמש אמיתי או מזהה אקראי?

יש לא מעט ארגונים, ובמיוחד בנקים, שמייצרים עבור המשתמשים שם משתמש אקראי, לכאורה כדי לשפר את האבטחה. הבעיה עם שמות משתמש כאלה זהה לזו של הסיסמאות המורכבות: הסיכוי שנזכור את שמות המשתמש האקראיים הללו הוא אפסי, אין לנו את היכולת ולרוב גם לא את הרצון. לכן ברוב המקרים, במקרה הטוב, נרשום אותם איפשהו, או במקרה הגרוע, נתקשר לשירות הלקוחות כשנצטרך אותם. בבנקים מסויימים צריך לגשת לסניף או לחכות למעטפה בדואר כששוכחים את שם המשתמש.

שמות המשתמש היחידים שקהל רחב מצליח לזכור אותם לאורך זמן הם כאלה שמשתמשים במידע אישי, כמו שם, מספר תעודת זהות, או דוא"ל. במקרים כאלה רצוי להשתמש בשם השדה הנכון ולא בכותרת הכללית "שם משתמש" במסך הכניסה, גם אם איש אבטחת המידע עומד על הרגליים האחוריות.

הנה למשל מסך הכניסה של סוכנות הביטוח "תמורה" שבו התכוונו להגיד "מספר תעודת זהות" אבל במקום זה אמרו "שם משתמש". כמה משתמשים זוכרים ששם המשתמש שלהם הוא מספר תעודת הזהות שלהם?

תוספות לשם המשתמש

יש לא מעט מקומות שמנסים להגביר את האבטחה על המערכת באמצעות צירוף של כמה שדות מזהים נוספים לשם המשתמש כשנכנסים למערכת. בקופת חולים כללית, למשל, נדרשים להזין קוד משתמש שנבחר עבור המשתמש על-ידי הקוּפָּה, וגם את מס' תעודת הזהות:

clalit login1  אבטחת מידע: מה באמת עובד?

במאוחדת צריך להזין את מספר כרטיס החבר, בנוסף לשם המשתמש שניתן על-ידי הקוּפָּה:

בבנק לאומי נדרשים להזין גם שם משתמש אקראי וגם "שדה מזהה", שהוא לפעמים מספר החשבון ולפעמים משהו אחר (כשיש יותר מחשבון אחד), ובכל מקרה בטופס הכניסה רשום "שדה מזהה" ולא מספר חשבון:

תוספות מהסוג הזה אולי נותנות הרגשה נוחה לאנשי האבטחה, אבל ללקוחות שרוצים וזכאים להכנס לחשבון שלהם, זהו מכשול. כפי שכבר הסברתי למעלה, זה בדרך-כלל לא ממש משפר את האבטחה.

אז מה עושים עם המשתמש והסיסמה?

לעניות דעתי, כדי למנוע פריצה בצורה יעילה מספיק לעשות שני דברים:

  1. לחסום שימוש בסיסמאות נפוצות, כמו רצף מספרים 12345 או 11111, רצף מקשים במקלדת כמו qwerty או 1qazse4, או פרטים אישיים של המשתמש, כמו השם שלו, מספר תעודת זהות, טלפון, תאריך יום הולדת וכו'. זו הנטייה הראשונה של רוב המשתמשים, ואלה גם הסיסמאות הראשונות שפורצים פוטנציאליים ינסו.
  2. לחסום כניסה למערכת, באופן זמני או קבוע, אחרי מספר נסיונות כניסה כושלים, ולהציע למשתמש שחזור או איפוס סיסמה. כך יחָסמו נסיונות של מערכות פריצה אוטומאטיות, בלי לפגוע בחוויית המשתמש בצורה קשה.

המהדרין יכולים להוסיף שיחת טלפון ללקוח, על-ידי נציג או באמצעות מערכת טלפונית אוטומאטית, שתיידע אותו לגבי נסיון הפריצה לכאורה, ותשאל אותו האם הוא רוצה לבצע פעולה כלשהי בעקבות האירוע. למשל, אם זה הוא שניסה להכנס, הוא בוודאי ירצה לאפס את הסיסמה. אם זה היה מישהו אחר, הוא עשוי לרצות לשנות את שם המשתמש.

הנה דוגמא מארה"ב לדבר נוסף שאפשר לעשות כדי לשפר את האבטחה – אך בעלות נוספת לעסק וללקוח. ב-CitiBank הכניסה הרגילה לחשבון מורכבת משם משתמש וסיסמה בלבד:

ללקוחות שמעוניינים בכך, יש אפשרות לקבל אבטחה מוגברת בדמות "מחולל סיסמאות" שמייצר סיסמה חדשה כל 60 שניות – מפתח דיגיטלי. שרתי האבטחה של הבנק מסונכרנים עם המפתח הדיגיטלי, כך שאלא אם מישהו השיג את המשתמש, הסיסמה וקיבל גישה פיזית למפתח, אין לו סיכוי להיכנס לחשבון. ככה הוא נראה:

שחזור סיסמה

כדי ששחזור הסיסמה יהיה יעיל ומוצלח, נדרשים שני מרכיבים:

  1. דרך לזהות את המשתמש בצורה חלקית, ללא סיסמה.
  2. מקום שאליו אפשר לשלוח את הסיסמה החדשה (זמנית בדרך-כלל).

כששם המשתמש הוא אימייל, מספר תעודת זהות או מזהה אחר שהמשתמש זוכר בקלות (כזה שהוא בחר בעצמו, למשל), שלב 1 עובר בקלות. במקומות שבהם מקפידים על האבטחה נוהגים לשאול לאחר הקלדת שם המשתמש שאלות נוספות, שבסבירות גבוהה אדם זר לא ידע את התשובה אליהן.

הנה למשל בכ.א.ל, מבקשים בשלב ראשון פרטים על כרטיס האשראי ומציגים captcha. למי שמחזיק בכרטיס הפיזי קל לענות על השאלות:

בשלב השני מבקשים תשובות לשאלות שבסבירות גבוהה רק בעל הכרטיס ידע לענות עליהן (טשטשתי אותן כאן מסיבות מובנות…)

את התשובות לשאלות האלה המערכת מבקשת בדרך-כלל בזמן ההרשמה, באתר האינטרנט או באמצעות פקיד בטלפון או בסניף, ודואגים לזיהוי וודאי של המשתמש בשלב הזה. כשהמשתמש רוצה לשחזר סיסמה הוא מתבקש לתת את התשובות האלה שוב:

יש מקומות שלוקחים את העניין הזה רחוק מדי, עד כדי כך שהוא הופך את מנגנון שחזור הסיסמה ללא רלוונטי. בסוכנות הביטוח "תמורה", למשל, מבקשים מהמשתמש לזכור גם את השאלה וגם את התשובה, ובכך מפספסים את כל הרעיון בשאלות אבטחה מהסוג הזה.

המטרה היא לא לבדוק את הזכרון של המשתמש, ולראות אם הוא זוכר מה שאלת האבטחה שהגדיר, אלא לוודא שהוא מי שהוא אומר שהוא, על-ידי שאלה שהמשתמש המורשה ידע את התשובה אליה בקלות, אבל כל אחד אחר לא ידע.

כך זה ב"תמורה":

אגב, כדי לעשות את זה עוד יותר קשה, ב"תמורה" גם משנים את הסיסמה באופן אוטומאטי עבור המשתמש פעם ב-6 חודשים. מאחר והשימוש במערכת כזו, שעוקבת אחרי תיק ביטוח פנסיוני, קרן השתלמות וכו', הוא לא ממש תדיר, המשמעות היא קשה: גם עבור הלקוח וגם עבור שירות הלקוחות. הלקוח מטורטר לשירות הטלפוני על כל פניה, והשירות מצידו נאלץ לענות להרבה פניות שהיו יכולות לקבל מענה על-ידי האתר. אני משוכנע שזה עולה ל"תמורה" הרבה כסף.

ב-Skype יש שם משתמש, אבל בשביל לשחזר סיסמה הם לא דורשים לזכור גם את שם המשתמש. מספיק לזכור את האימייל שנרשמתם איתו. כמה נוח! לעומת סקייפ, יש כמה מערכות, למשל הפורומים של "זמן דיגיטלי" שבהן בלי שם המשתמש אי אפשר לשחזר סיסמה. נחשו מה קורה במערכות האלה? נכון מאוד, אנשים יוצרים לעצמם שם משתמש חדש בכל פעם שהם שוכחים את הסיסמה.

לסיכום

סיסמאות מורכבות בדרך-כלל גורמות לפרצות באבטחה, במקום לשיפור שלה. עדיף שהמערכת תתמודד עם נסיונות פריצה בצורה נבונה, מאשר לדרוש מהמשתמשים לבחור סיסמאות שקשה לזכור. קל לנו יותר לזכור שמות משתמש וסיסמאות שאנחנו הגדרנו. אם רוצים להגביר את האבטחה, עדיף לא לתת למשתמש עוד שדות לזכור בעל-פה בנוסף לשם המשתמש שלו. כשמתכננים ממשק לשחזור סיסמה, חשוב להקפיד לשאול את המשתמש רק שאלות שהוא ידע עליהן את התשובה בקלות, ושאחרים לא ידעו לענות עליהן בכלל (בסבירות גבוהה).

אשמח מאוד לשמוע את דעתכם ומנסיונכם בתחום.

איכשהו במאבק בין חוויית המשתמש לאבטחה אנשי האבטחה נראים מפחידים יותר, כנראה, והתוצאה היא – חורים במערכת האבטחה.

כתבות בנושאים דומים



תגובות

20 תגובות לכתבה

כתיבת תגובה

לא יוצג בשום מקום

לא חובה

רוצים שהתמונה שלכם תופיע עם התגובה? העלו אותה ל-Gravatar.

שלח