22
ספט
07

חוזק/מורכבות סיסמא

כמה פעמים קורה לכם שאתם צריכים להזין סיסמא למערכת/אתר ואתם מנסים להיזכר מה הסיסמא של אותה מערכת? עובדים בארגון גדול צריכים לזכור סיסמאות למספר לא קטן של מערכות (לפעמים מעל 5). בנוסף, הם צריכים לזכור את הסיסמאות האישיות שלהם בבית. זה בהחלט יוצר בעיה ביכולת לזכור את כל הסיסמאות.

אני מקבל לא מעט פניות ממשתמשים בארגון מדוע צריך סיסמאות מורכבות. אני שומע מאותם עובדים, וגם קראתי לא מזמן באיזשהו מקום, שהחלת סיסמאות מורכבות מידי רק מחליש את אבטחת המידע. ניתנו כמה טיעונים כגון שסיסמאות נרשמות על פתק צהוב המודבק על המסך (או מוחבאות מתחת למקלדת), שמשתמשים בוחרים מילים מוכרות לסיסמא, ואפילו שהסיסמאות המורכבות אינן כה חזקות כיוון שאם מורידים מהחשבון סיסמאות קלות לניחוש (123456) שלא ניתן לבחור בהם יותר, כמות הצירופים האפשרית יורדת מה שמחליש את הסיסמא החזקה.

לדעתי, טענות אלה לא נכונות ואפילו לא רלוונטיות. טענתי נובעת מהסיבה שניהול אבטחת מידע נגזר מתורת ניהול הסיכונים. ראשית צריך להגדיר מהם האיומים מולם צריך להתמודד ואז לגזור את הפתרון.במקרה של הסיסמאות, אני מזהה כמה איומים עיקריים (אם כי לא שווים בעוצמתם):

  1. גניבת סיסמא (בין אם ע"י מציאת פתק עליו רשומות סיסמאות ובין אם ע"י ניחוש או אפילו צפייה במשתמש בעת הקלדת הסיסמא). האיום הזה תופס בעיקר למערכות בארגונים ופחות לאתרי אינטרנט.
  2. שימוש בתוכנית המנסה צירופים רבים של סיסמאות (התקפה הידועה כ – Brut Force).
  3. השגת קובץ הסיסמאות המוצפנות (בד"כ ע"י פונקצית Hash) והרצת מילון סיסמאות דרך פונקצית Hash זהה.

החלת מורכבות סיסמא גבוהה, תימנע את האיום הראשון (כאשר נדרשת גם מדיניות חברה לגבי אי רישום סיסמאות ומידע רגיש אחר בסביבת העבודה).  כאשר מוחל מנגנון נעילת משתמש לאחר 3 או 4 ניסיונות הזדהות כושלים, האיום הראשון הופך להיות משמעותי יותר מהשני. סיסמא חזקה תיתן מענה לשני האיומים הראשונים. לאיום השלישי הפתרון לא יושג ע"י מדיניות סיסמאות אלא באופן אחר שאינו נושא הדיון. בלינק הבא, שגם דן על נושא, תמצאו דיון על אופן בחירת/הגדרת סיסמאות. אני יכול להמליץ על האופן הבא:

  • 3 תווים ראשונים: אותיות ראשונות של צבע/אוכל/חיית מחמד…
  • 2 תווים: מספר סידורי רץ.
  • 3 תווים: אותיות ראשונות של שם המערכת/מוצר…

דוגמא

  •  3 תווים ראשונים: אותיות ראשונות של צבע/אוכל/חיית מחמד…
  • 2 תווים: מספר סידורי רץ.
  • 3 תווים: אותיות ראשונות של שם המערכת/מוצר…

התוצאה:  Las12Sap

(סיסמא למערכת רכב למשל התוצאה תהיה: Las12Car).

שימו לב שבחרתי אות ראשונה גדולה. כמובן שכל אחד יכול לבנות צירוף אחר באופן שיהיה לו קל לזכור את הסיסמאות השונות. 

CISO

מודעות פרסומת

1 Response to “חוזק/מורכבות סיסמא”


  1. 1 אנונימיות
    26/04/2013 ב- 14:10

    א)הקישור לinformationweek שבור
    ב)לגבי 3 – שמירה נכונה של הסיסמא (עם hash וsalt, ואני אוהב להוסיף לsalt גם את שם המשתמש) תפתור את הבעיה הזו


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


ספטמבר 2007
א ב ג ד ה ו ש
« אוג   אוק »
 1
2345678
9101112131415
16171819202122
23242526272829
30  

%d בלוגרים אהבו את זה: