בפעם השלישית החודש שנאלצתי לשחזר את סיסמת הסקייפ שלי התחלתי לחשוב שאולי משהו כאן לא בסדר. פעם זה היה קל. היתה לי רק סיסמה אחת לזכור. זאת של ההוטמייל. אחר כך הצטרפו אליה הסיסמה של אינטרנט זהב והפורומים של תפוז. זה כבר היה קצת יותר מידי אז כתבתי את כולם במחברת. אחר כך הצטרפו הג'ימייל, הבנק, פייסבוק, טוויטר, וורדפרס, לינקדאין, יוטיוב, דרופבוקס. אני רק מתחמם. בעבודה הייתי צריך סיסמת כניסה למחשב, לשרת, למערכת סאפ, למערכת ניהול נסיעות. המחברת כבר לא הספיקה יותר.
אוקי, אמרתי לעצמי, מעכשיו אני עושה סיסמה אחת לכל השירותים שאני משתמש בהם. תאמינו לי שהייתי עושה את זה אם זה היה אפשרי, אבל הבנק רוצה שמונה סימנים עם אות אחת גדולה לפחות, ספק האינטרנט רוצה 6 סימנים עם ספרה אחת ואוניברסיטת תל אביב רוצה שאענה על שאלות אבטחה מוזרות במיוחד.
מקור: אתר אוניברסיטת תל אביב
לאדם הממוצע יש בין 7 ל-25 חשבונות להם הוא נדרש להיכנס כל יום. לאור העובדה הפשוטה הזאת לא נותר לי אלא להודות שמי שמנהל את העולם הם מומחי אבטחה שקבעו שאנחנו צריכים לבחור סיסמאות מורכבות ברמה כזאת שבלתי אפשרי לזכור אותן. הם גם אלה שקבעו שנצטרך להחליף את הסיסמה הבלתי זכירה הזאת לפחות אחת לחודש.
כך לפחות חשבתי בעודי מנסה למצוא כל מיני קומבינציות מקלדת בלתי אפשריות לפיצוח שרק אני אזכור. עד שגיליתי שסיסמאות לא שמישות הן סיסמאות לא בטוחות. כן, אנשי אבטחת מידע אינם אמורים להיות האויבים שלנו. סיסמה כמו "this is fun" הרבה יותר בטוחה בפני נסיונות פריצה מסיסמה בלתי זכירה ולפיכך בלתי שמישה כמו "J4fS!2".
גם עכשיו, שגיליתי לכם את הסוד הזה, עדיין זכירה של 25 סיסמאות שונות היא לא עניין של מה בכך. הצורך לזכור סיסמאות הוא מטרד עבור כל המשתמשים באשר הם. איך אני יודע? איך עוד תסבירו את העובדה ש 9.8% מהאנשים בוחרים באחת משלוש הסיסמאות האלה: 123456, 12345678 או password.
מטומטמים, אתם בוודאי אומרים לעצמכם (אם אתם לא מאותם אנשים בעצמכם), אלה הסיסמאות הראשונות שכל האקר מתחיל עובר עליהן כשהוא מנסה לפרוץ לחשבון כלשהו. הסיסמאות האלו כל כך נפוצות שמיקרוסופט החליטה שכל משתמשי הוטמייל שיש להם סיסמה מטופשת כזאת, יחויבו לשנות אותה.
אבל מה לגבי השאר? המצב לא מעודד כל כך: 1000 הסיסמאות הנפוצות ביותר מכסות 91% מהאוכלוסייה. תגדילו ל 10,000 סיסמאות? אתם מכסים 98.8% מהאנשים. ולטיפוסים הגרפיים שבינינו, ככה זה נראה.
מקור: http://xato.net/passwords/more-top-worst-passwords
אז אם הסיסמה שלכם מופיעה כאן, כדאי אולי שתחליפו אותה. ואם אתם שייכים ל 1.2% מהאנשים שאין להם אחת מהסיסמאות האלו, אז בוודאי נתקלתם במצב בו שכחתם את הסיסמה. תרגישו טוב עם עצמכם! אתם לא לבד. שחזור סיסמה היא הבקשה מספר אחת לתמיכה טכנית ברשתות פנים ארגוניות.
אבל גם אם לא אכפת לכם כל כך מהעומס על מרכזי התמיכה הטכנית בארגונים, בוודאי תבינו את ההשלכות של נסיונות שיחזור סיסמה על אתרי מסחר אלקטרוני. ניתוח בסיס נתונים של אתר מסחר אלקטרוני גדול מצא של- 45% מכלל המשתמשים יש יותר מרישום אחד במערכת, 160,000 איש מבקשים שחזור סיסמה כל יום והפרט המעניין ביותר הוא ש 75% מהאנשים המבקשים שחזור סיסמה מעולם לא משלימים את תהליך הקניה שהחלו בו.
אז מה (לא) לעשות, דוקטור?
מסיבות שטרם הצלחתי להבין, הנטיה הנפוצה של אתרים להתמודד עם היכולת המוגבלת של משתמשים לזכור סיסמאות היא לסבך אותן עוד יותר. כללים דרקוניים לבניית סיסמה נפוצים גם בשירותים שרמת האבטחה הנדרשת בהן אינה גבוהה במיוחד. ואם זה לא מספיק אז שלוש טעויות בהקלדת הסיסמה עולות למשתמש בחסימה מהשירות והתייצבות עם תעודת לידה בפני פקיד סיסמאות ראשי. אתם מזהים את הדפוס הזה? זהו דפוס בנקאי ידוע ששורשיו טמונים בנוהג הארור לבלוע את כרטיס האשראי דווקא ביום בו הבנק סגור.
מקור: http://usablyauthentical.blogspot.com/2012/01/your-password-will-expire-in-10-days.html
אז לכל אותם אנשי אבטחה אני רוצה לצטט מהבלוג של Dana Chisnell: "ככל שהדרישות לבניית סיסמה יותר קשות, הסיכוי שהמשתמש ירשום את הסיסמה על דף נייר גדל גם הוא. ואם הוא לא רשם, אז הסיכוי שהוא יאלץ לשחזר את הסיסמה גדל."
ומה בכל זאת אפשר לעשות?
- פשוט להיפטר מהסיסמה. אתרי מסחר אלקטרוני שנפטרים מהצורך בסיסמה מעלים את אחוזי המכירות שלהם בצורה דרסטית.
- אי אפשר להיפטר ממנה? לפחות אפשרו שמירה של הסיסמה בדפדפן, וכך, גם אם המשתמש בחר סיסמה מוזרה, או טוב מכך, אם בחרתם אחת כזאת בשבילו, לפחות הוא יצטרך להקליד אותה פעם אחת בלבד.
- ומה אם אתם חייבים שהמשתמש יקליד את הסיסמה כל פעם מחדש? נסו להשאיר את שדה הסיסמה גלוי ולאפשר הסתרתו כאופציה בלבד. הסתרת שדה הסיסמה לא עוזרת לאבטחה ומקשה על המשתמש להבין האם טעה בהקלדת הסיסמה או שבאמת אינו זוכר אותה.
- אפשרו כניסה עם כתובת אימייל. זה פריט ייחודי וכולם זוכרים אותו. המשתמש הקליד כתובת אימייל שלא נמצאת אצלכם בבסיס הנתונים? הציעו לו להירשם איתה.
- אפשרו הרשמה וכניסה לשירות עם פייסבוק, טוויטר, גוגל. לרוב המשתמשים יש חשבון בלפחות אחד מהם ועל הדרך תרוויחו אולי עוד כמה פרטים על המשתמש.
יש לכם עוד עצות? פגשתם בפתרון מעניין הקשור לסיסמאות? שתפו אותנו בתגובות.
מקורות:
http://uxdesign.smashingmagazine.com/2011/08/22/new-approaches-to-designing-login-forms/
http://www.smashingmagazine.com/2008/07/08/web-form-design-patterns-sign-up-forms-part-2/
http://xato.net/passwords/more-top-worst-passwords
http://usablyauthentical.blogspot.com/2011/09/random-factoids-ive-encountered-in.html
http://www.nngroup.com/reports/intranet/portals/
http://www.uie.com/articles/three_hund_million_button/
http://vivekgirotra.com/why-the-password-this-is-fun-is-10-times-more
http://usablyauthentical.blogspot.com/2011/09/random-factoids-ive-encountered-in.html
מעולה. בעיקר כי כל מה שחשבתי לכתוב בתגובה בסוף אמרת בעצמך.
הייתי מוסיף כם הפניה לרעיון הidentity 2.0 ביוטיוב. שזו גם מצגת.מעןלה אבל גם הרעיון שהוא מעלה שם על זה
ות ואבטחה רלוונטיים. וד"א-אצלי כפתור השכחתי סיסמא כבר שחוק
פוסט מעניין. כמה תובנות שלי מהעבר:
1 – הבעיה היא שהחוזק של האבטחה הוא החוזק של החוליה החדשה (כמו בכל דבר).
סיפור אמיתי: פעם בדואר וואלה היתה אפשרית לשאלה סודית פתוחה. המון המון משתמשים הגדירו שהשאלה היא "למה" והתשובה היא "ככה". אותם מפגרים נרשמו לפייסבוק עם כתובת הדואר שלהם בוואלה. זה אומר שאתה יכול להתחזות לחשבון הפייסבוק שלהם בקלות.
באותו הקשר – אותם האקרים טורקים שפרצו להזמנות של דומינוס פיצה לפני שנה וחצי – הצליחו לחדור לחשבונות פיסיבוק ומייל בגלל שהמשתמשים השתמשו באותה סיסמה.
2 – הצלצתי פעם על מבנה סיסמה שעשוי לעבוד טוב ברוב האתרים.
http://designer.co.il/39
3 – מחזק את הדברים שלך: "אבטחת יתר = סכנת אבטחה" http://designer.co.il/109
כמובן שאין סיכוי לזכור את מיליון הסיסמאות (לפעמים לשירותים שאפילו לא זכרתי שאני רשומה אליהם), כולל 3 כתובות דוא"ל המנוהלות במקביל במקומות שונים…
ממליצה למשתמשים (כן, אלה שאתם מדברים עליהם, והם גם אתם) להשתמש באפליקציה מקודדת לניהול סיסמאות ולא לרשום במחברת…
בארץ אחרת, הבנק נותן לך את כרטיס הכספומט/אשראי שלך, ואתה בוחר את הקוד. הרבה יותר זכיר.
ד"א – אני עזבתי את הישיר הראשון רק בגלל ענייני הסיסמא. היא הייתה מורכבת משלושה שדות שרק אחד מהם יכולתי לשנות. השמות היו' סיסמא, שדה מזהה, ו'קוד משתמש' כשאחד מהשמות האלו הוא בעצם 'מספר חשבון'.
כתבה מצויינת. לדאבוני אני נמנעת מלאפשר לדפדפן לזכור את הסיסמה עבורי מהחשש שיום אחד אשתמש בדפדפן אחר ואז אהיה בבעיה…נשמע מוזר אני יודעת
רציתי להתקין על המחשב אפליקציה לניהול סיסמאות שנראתה מועילה:
http://mypadlock.com/Screenshots.aspx
הבעיה היא שלא ניתן היה לאמת את החתימה הדיגיטלית שלה…
קצת בעיה לסמוך על אפליקציה כזו, לא?
אני משתמש כבר שנים ברובופורם לשמירת כל הסיסמאות ולסנכרון הסיסמאות בין מחשבים שונים וסמארטפונים.
מומלץ ביותר.
והנה פוסט נוסף שמציע מבט מקיף על הנושא מהצד היותר טכני שלו והצעה לכמה כלים לניהול סיסמאות:
http://www.troyhunt.com/2011/03/only-secure-password-is-one-you-cant.html
אני משתמש בפתרון קוד פתוח שנקרא keepass, יש גם גרסה לאנדרויד וללינוקס.
בשילוב עם dropbox" יש לך את כל מערך הססמאות מוגן תחת קובץ אחד, צריך רק לזכור את הססמא הראשית לתוכנה עצמה כמובן.
אגב, במסגרת התזה שלי עסקתי לא מעט בניגודים שבין שימושיות לאבטחה. אבטחה כשלעצמה היא דבר המנוגד לשימושיות: במקום להוריד עומס מהמשתמש ולהקל על שימוש במערכת אחראי האבטחה יידאג להעלות את העומס ולהקשות על השימוש במערכת.
זה אתגר מאוד רציני לשלב בין אבטחה לשימושיות.
אסף – עבודת התזה שלך נשמעת מעניינת. היא זמינה במקרה?
אני מאוד מאמין בלאפשר להזין ססמה באופן גלוי.
נתקלתי בעבר במימוש מעניין של זה באפליקציית פייסבוק לאיפון.
הקלדה ראשונית – כוכבית.
ניסיון כושל אחד – עדין כוכביות.
אחרי 2 כישלונות – ההקלדה הופכת גלויה.
הדרישה לססמאות ארוכות מאוד שמשלבות אותיות, סימנים ומספרים
נועד להקשות מצג אחד על ניחוש ססמאות נפוצות
ובמקביל לחסום מתקפות כח גס (Brute-force attack),
בהם מפצחים ססמאות באמצעות הפצצת המערכת בניחושי ססמה.
ניחוש ססמאות אפשר לחסום במגוון דרכים.
אחד הדרכים הנפוץ לאחרונה הוא תצוגת "חוזק ססמה"
המונעת מהמשתמש להזין ססמאות נפוצות.
לצורך זה נוצרו "כספות" לססמאות דוגמת השרות בבלקברי שיש להרבה ובטח גם ברוב המכשירים הנפוצים היום.
* פריצה לעולמכם הווירטואלי תגבה מכם מחיר יקר ולכן לא ממולץ לשמור סיסמאות על הדפדפן
* לאלו המעירים על כך שססמה פוגעת בחוויית המשתמש נזכיר שגם מסך התשלומים פוגע.. (ואף מצבן 🙂
הנה רעיון:
יצירת 'מפתח' פיזי בתכליתו וברגע שמחברים אותו למחשב (או מקשרים אותו אלחוטית) מזדהים בשם משתמש וסיסמה והוא מכיל ופותח את כל הססמאות בכל השרותים השמורים עליו.
תמלוגים יתקבלו בברכה.
שניאור
שינאור – קצת מאוחר לתמלוגים.
כך עובדים היום בחלק מהבנקים –
גישה למחשב אפשרית רק באמצעות סריקת תביעת אצבע +
כרטיס עובד שמחובר למקלדת.
אם קמים מהשולחן, אפילו לכמה דקות, לא משאירים את הכרטיס מחובר,
כך שבשבי לקבל גישה למחשב צריך לחבר את הכרטיס סוב –
ולהעביר סריקת תביעת אצבע.
ישנם בשוק גם לפטופים המאפשרים נעילה באמצעות טביעת אצבע
ומגוון אמצעי אבטחה מבוססי רכי חומרה ("דונגל")
אמממ… התגובה הקודמת שכתבתי מלאה בשגיאות כתיב. Sorry