רבות כבר דובר על החשיבות של הסיסמא במערכת ועל היותה היעד הראשון לתקיפה. רבים מסתכנים ומסתבכים בבחירת סיסמאות קלות לניחוש ופיצוח. נשאלתי בארגון לא מעט פעמים כיצד לבחור סיסמא טובה ונשאלתי גם מה הארגון עושה כדי להגן על המשתמשים.
ארבעת הפרמטרים הכי חשובים, לדעתי, בכל הקשור בסיסמאות הם:
- שמירה על הסיסמא במקום לא נגיש – הכי מומלץ לזכור אותה ולא לרשום אותה על נייר או בקובץ. זוהי המלצה נהלית ולא טכנית.
- בחירת סיסמא שאינה קלה לניחוש – סיסמא שתכיל ספרות ותווים גדולים וקטנים.
- אורך סיסמא – ככל שהסיסמא ארוכה יותר, יקח זמן רב יותר באופן משמעותי לנחש אותה.
- מניעת התקפות Brute Force.
כדי לבחור סיסמא שאינה קלה לניחוש אבל קל לזכור אותה, מומלץ לחבר שתי מילים קצרות (אפשר שני שמות) ולרפד את הסיסמא בתוכן קבוע. הריפוד (Padding) מאפשר להאריך את הסיסמא ולשנות אותה כך שתאפשר שינוי סיסמא כל פרק זמן הנדרש ממדיניות הסיסמאות.
למשל, לחבר שמות של ילדים/הורים/אחים: טלי, גיל (Tali, Gil) ולרפד בהתחלה עם ספרות:21. הסיסמא תהיה: 21TalGil. בהחלפת הסיסמא הבאה, הסיסמא תהיה: 22TaliGil ולאחר מכן 23TaliGil. כך, השגנו סיסמא מאוד חזקה – תשעה תווים – אך מאוד קשה לניחוש או פיצוח של כלי פריצה.
באתר הבא תמצאו פירוט מדוע אורך הסיסמא (מספר תווים) הינו הפרמטר הכי חשוב בחוזק הסיסמא. פחות חשוב לחייב סימנים מיוחדים בסיסמא (@!#$…). עפ"י המחשבון באתר, ייקח הרבה יותר זמן לפצח סיסמא בת תשעה תווים ללא סימנים מיוחדים, מאשר סיסמא בת שמונה תווים עם סימנים מיוחדים.
וכמובן, חשוב שהאתר או המערכת ימנעו את האפשרות לבצע התקפה שבה ניתן לנחש, ללא הגבלה, סיסמאות של משתמשים (התקפת Brute Force). ניתן להשיג זאת באחד האופנים הבאים: שימוש ב – CAPTCHA לאחר שני כשלונות בסיסמא, או חסימת חשבון המשתמש לאחר מספר כשלונות (למשל 5).
CISO בלוג אבטחת מידע 
תגובות אחרונות