בית  >  כתבות  > עצור סיסמה!

עצור סיסמה!

יניב שריג, 2/4/2012. 13 תגובות.

בפעם השלישית החודש שנאלצתי לשחזר את סיסמת הסקייפ שלי התחלתי לחשוב שאולי משהו כאן לא בסדר. פעם זה היה קל. היתה לי רק סיסמה אחת לזכור. זאת של ההוטמייל. אחר כך הצטרפו אליה הסיסמה של אינטרנט זהב והפורומים של תפוז. זה כבר היה קצת יותר מידי אז כתבתי את כולם במחברת. אחר כך הצטרפו הג'ימייל, הבנק, פייסבוק, טוויטר, וורדפרס, לינקדאין, יוטיוב, דרופבוקס. אני רק מתחמם. בעבודה הייתי צריך סיסמת כניסה למחשב, לשרת, למערכת סאפ, למערכת ניהול נסיעות. המחברת כבר לא הספיקה יותר.

אוקי, אמרתי לעצמי, מעכשיו אני עושה סיסמה אחת לכל השירותים שאני משתמש בהם. תאמינו לי שהייתי עושה את זה אם זה היה אפשרי, אבל הבנק רוצה שמונה סימנים עם אות אחת גדולה לפחות, ספק האינטרנט רוצה 6 סימנים עם ספרה אחת ואוניברסיטת תל אביב רוצה שאענה על שאלות אבטחה מוזרות במיוחד.

 tau  עצור סיסמה!

מקור: אתר אוניברסיטת תל אביב

לאדם הממוצע יש בין 7 ל-25 חשבונות להם הוא נדרש להיכנס כל יום. לאור העובדה הפשוטה הזאת לא נותר לי אלא להודות שמי שמנהל את העולם הם מומחי אבטחה שקבעו שאנחנו צריכים לבחור סיסמאות מורכבות ברמה כזאת שבלתי אפשרי לזכור אותן. הם גם אלה שקבעו שנצטרך להחליף את הסיסמה הבלתי זכירה הזאת לפחות אחת לחודש.

כך לפחות חשבתי בעודי מנסה למצוא כל מיני קומבינציות מקלדת בלתי אפשריות לפיצוח שרק אני אזכור. עד שגיליתי שסיסמאות לא שמישות הן סיסמאות לא בטוחות. כן, אנשי אבטחת מידע אינם אמורים להיות האויבים שלנו. סיסמה כמו "this is fun"  הרבה יותר בטוחה בפני נסיונות פריצה מסיסמה בלתי זכירה ולפיכך בלתי שמישה כמו "J4fS!2".

גם עכשיו, שגיליתי לכם את הסוד הזה, עדיין זכירה של 25 סיסמאות שונות היא לא עניין של מה בכך. הצורך לזכור סיסמאות הוא מטרד עבור כל המשתמשים באשר הם. איך אני יודע? איך עוד תסבירו את העובדה ש 9.8% מהאנשים בוחרים באחת משלוש הסיסמאות האלה: 123456, 12345678 או password.

מטומטמים, אתם בוודאי אומרים לעצמכם (אם אתם לא מאותם אנשים בעצמכם), אלה הסיסמאות הראשונות שכל האקר מתחיל עובר עליהן כשהוא מנסה לפרוץ לחשבון כלשהו. הסיסמאות האלו כל כך נפוצות שמיקרוסופט החליטה שכל משתמשי הוטמייל שיש להם סיסמה מטופשת כזאת, יחויבו לשנות אותה.

אבל מה לגבי השאר? המצב לא מעודד כל כך: 1000 הסיסמאות הנפוצות ביותר מכסות 91% מהאוכלוסייה. תגדילו ל 10,000 סיסמאות? אתם מכסים 98.8% מהאנשים. ולטיפוסים הגרפיים שבינינו, ככה זה נראה.

 password  עצור סיסמה!

מקור: http://xato.net/passwords/more-top-worst-passwords

אז אם הסיסמה שלכם מופיעה כאן, כדאי אולי שתחליפו אותה. ואם אתם שייכים ל 1.2% מהאנשים שאין להם אחת מהסיסמאות האלו, אז בוודאי נתקלתם במצב בו שכחתם את הסיסמה. תרגישו טוב עם עצמכם! אתם לא לבד. שחזור סיסמה היא הבקשה מספר אחת לתמיכה טכנית ברשתות פנים ארגוניות.

אבל גם אם לא אכפת לכם כל כך מהעומס על מרכזי התמיכה הטכנית בארגונים, בוודאי תבינו את ההשלכות של נסיונות שיחזור סיסמה על אתרי מסחר אלקטרוני. ניתוח בסיס נתונים של אתר מסחר אלקטרוני גדול מצא של- 45% מכלל המשתמשים יש יותר מרישום אחד במערכת, 160,000 איש מבקשים שחזור סיסמה כל יום והפרט המעניין ביותר הוא ש 75% מהאנשים המבקשים שחזור סיסמה מעולם לא משלימים את תהליך הקניה שהחלו בו.

אז מה (לא) לעשות, דוקטור?

מסיבות שטרם הצלחתי להבין, הנטיה הנפוצה של אתרים להתמודד עם היכולת המוגבלת של משתמשים לזכור סיסמאות היא לסבך אותן עוד יותר. כללים דרקוניים לבניית סיסמה נפוצים גם בשירותים שרמת האבטחה הנדרשת בהן אינה גבוהה במיוחד. ואם זה לא מספיק אז שלוש טעויות בהקלדת הסיסמה עולות למשתמש בחסימה מהשירות והתייצבות עם תעודת לידה בפני פקיד סיסמאות ראשי. אתם מזהים את הדפוס הזה? זהו דפוס בנקאי ידוע ששורשיו טמונים בנוהג הארור לבלוע את כרטיס האשראי דווקא ביום בו הבנק סגור.

 security questions  עצור סיסמה!

מקור: http://usablyauthentical.blogspot.com/2012/01/your-password-will-expire-in-10-days.html

אז לכל אותם אנשי אבטחה אני רוצה לצטט מהבלוג של Dana Chisnell: "ככל שהדרישות לבניית סיסמה יותר קשות, הסיכוי שהמשתמש ירשום את הסיסמה על דף נייר גדל גם הוא. ואם הוא לא רשם, אז הסיכוי שהוא יאלץ לשחזר את הסיסמה גדל."

ומה בכל זאת אפשר לעשות?

  • פשוט להיפטר מהסיסמה. אתרי מסחר אלקטרוני שנפטרים מהצורך בסיסמה מעלים את אחוזי המכירות שלהם בצורה דרסטית.
  • אי אפשר להיפטר ממנה? לפחות אפשרו שמירה של הסיסמה בדפדפן, וכך, גם אם המשתמש בחר סיסמה מוזרה, או טוב מכך, אם בחרתם אחת כזאת בשבילו, לפחות הוא יצטרך להקליד אותה פעם אחת בלבד.
  • ומה אם אתם חייבים שהמשתמש יקליד את הסיסמה כל פעם מחדש? נסו להשאיר את שדה הסיסמה גלוי ולאפשר הסתרתו כאופציה בלבד. הסתרת שדה הסיסמה לא עוזרת לאבטחה ומקשה על המשתמש להבין האם טעה בהקלדת הסיסמה או שבאמת אינו זוכר אותה.
  • אפשרו כניסה עם כתובת אימייל. זה פריט ייחודי וכולם זוכרים אותו. המשתמש הקליד כתובת אימייל שלא נמצאת אצלכם בבסיס הנתונים? הציעו לו להירשם איתה.
  • אפשרו הרשמה וכניסה לשירות עם פייסבוק, טוויטר, גוגל. לרוב המשתמשים יש חשבון בלפחות אחד מהם ועל הדרך תרוויחו אולי עוד כמה פרטים על המשתמש.

 יש לכם עוד עצות? פגשתם בפתרון מעניין הקשור לסיסמאות? שתפו אותנו בתגובות.

 

מקורות:

http://uxdesign.smashingmagazine.com/2011/08/22/new-approaches-to-designing-login-forms/

http://www.smashingmagazine.com/2008/07/08/web-form-design-patterns-sign-up-forms-part-2/

http://xato.net/passwords/more-top-worst-passwords

http://usablyauthentical.blogspot.com/2011/09/random-factoids-ive-encountered-in.html

http://www.nngroup.com/reports/intranet/portals/

http://www.uie.com/articles/three_hund_million_button/

http://www.telegraph.co.uk/technology/microsoft/8640230/Hotmail-users-to-be-forced-to-change-123456-passwords.html

http://vivekgirotra.com/why-the-password-this-is-fun-is-10-times-more

http://usablyauthentical.blogspot.com/2011/09/random-factoids-ive-encountered-in.html

כתבות בנושאים דומים



תגובות

13 תגובות לכתבה

כתיבת תגובה

לא יוצג בשום מקום

לא חובה

רוצים שהתמונה שלכם תופיע עם התגובה? העלו אותה ל-Gravatar.

שלח