אובססיבי לגבי אבטחה? ובכן, אל תסתכל על הסיסמאות האלה
תוכן עניינים:
כשאנחנו מדברים על אבטחת מחשבים, אנחנו תמיד מתייחסים לצורך לעדכן אותם עם הגרסאות העדכניות ביותר של מערכת ההפעלה. כיצד המחשבים העדכניים ביותר הם המאובטחים ביותר על ידי הכללת אפשרויות כגון Windows hello או Face ID המשפרות את הגישה אליהם. אבל מה קורה כאשר חור האבטחה נוצר על ידינו?
"זה מה שקורה עם סיסמאות האבטחה המשמשות לגישה למסופונים שלנו, בין אם בפורמט סלולרי או בפורמט PC, כמו גם למספר רב של שירותים אליהם אנו מחוברים.זה חסר תועלת לקבל את העדכונים העדכניים ביותר מבחינת אבטחה כדי לגשת למחשב אם אז נשתמש ב-1234 כסיסמה"
ולא, אל תחשבו שמדובר באירוע בודד. למרות מה שקראנו תמיד, למרות ההמלצות שהם ממליצים לנו, סיסמאות נגישות (יותר מדי) עדיין נמצאות בשימוש נרחב למרות שהשנה שבה אנחנו עומדים להסתיים מסתיימת לימד אותנו כיצד מסננים אלפי נתונים ברשת בהם מופיעים סיסמאות, קודי גישה ושמות, למרות העובדה שהאבטחה חשובה יותר ויותר, עדיין ישנם משתמשים שמשתמשים בסיסמאות שאנו יכולים לקרוא להן אבסורדיות.
אנחנו לא מדברים על כך שלסבא התורן כתוב את ה-PIN הנייד על _מקל_ בתיק. דיברנו על העובדה שיש מספר רב של משתמשים מכל הסוגים שמשתמשים בסיסמאות שכל כך קשה לפיצוח עם שילובי מספרים כמו "123456" או מילים כמו "סיסמה" או סיסמה"
משתמשים שעוברים משימוש בסיסמאות המשלבות מספרים, אותיות וסימנים הן לא צריכות להיות רק ארוכות (חלק מהמומחים ממליצים אינו חיוני), אך מעל הכל עליך לשאוף לשלב תווים "נדירים" תוך הימנעות משימוש בתאריכים או מילים המשויכות אלינו.
ואת הדוגמה שחלק גדול מהמשתמשים לא פועלים בצורה המתאימה ביותר מראה המחקר שביצעה חברת האבטחה SplashData ש-ליקטה שעשוי להיות 100 הסיסמאות הגרועות ביותר של 2017 למעשה, הם מצהירים שלפחות 10% מהמשתמשים השתמשו באחת מ-25 הסיסמאות הכי פחות מומלצות. אלו הן 25 הסיסמאות שהכי פחות מומלץ להשתמש בהן:
- 123456
- סיסמה
- 12345678
- QWERTY
- 12345
- 123456789
- הכנס אותי
- 1234567
- כדורגל
- אני אוהב אותך
- admin
- ברוך הבא
- קוֹף
- התחברות
- abc123
- מלחמת הכוכבים
- 123123
- דְרָקוֹן
- passw0rd
- לִשְׁלוֹט
- שלום
- חוֹפֶשׁ
- מה שתגיד
- qazwsx
- trustno1
רשימה שבה, יחד עם השימוש בקלאסיקה כמו 123456, אחרות מופיעות כ"סיסמה" או "12345678" תופסות את שלושת המיקומים הראשונים ביציע. עוד מהקלאסיקות שאנו רואים הן admin, login או abc123 או passw0rd, כאשר האות או מוחלפת ב-0.אלטרנטיבה שכפי שאומרים ב-SplashData לא מועילה אלו הן 100 הסיסמאות הגרועות של 2017"
צעדים ליצירת סיסמה מאובטחת
כדי ליצור סיסמה מאובטחת, נוכל לבצע סדרה של שלבים שגם יקלו עלינו לשמור אותה תמיד שים לב ובואו לא נשכח אותה.
-
"
- השלב הראשון הוא ששתי האותיות הראשונות של הסיסמה יהיו השתיים הראשונות של האתר שבו אנו נרשמים. אם אנחנו מתכוונים להירשם בספוטיפיי זה יהיה sp." "
- נעקוב אחר הסיסמה עם שתי האותיות האחרונות של שם המשתמש. אם נירשם בתור Pepito, כבר יהיה לנו spto." "
- להלן יהיו מספר האותיות של שם האתר. לספוטיפיי יש שבעה, אז אנחנו ממשיכים להוסיף: spto7." "
- אם המספר הקודם הוא אי זוגי, נוסיף סימן דולר. אם זה זוגי, אחד ב. מכיוון ש-7 זה אי-זוגי, נשארנו עם spto7$." "
- אנחנו לוקחים את האותיות האמצעיות של הסיסמה ו-אנחנו כותבים אותן שוב באמצעות האות הבאה באלפבית אתה תבין את זה עם דוגמה: כן יש לנו spto, אנחנו כותבים מחדש את השניים האמצעיים באמצעות האותיות הבאות באלפבית, ונשארנו עם מה. בדרך זו, הסיסמה שלנו היא spto7$qu." "
- נספור את מספר התנועות בסיסמה, נוסיף ארבעה, ואנחנו כותבים את זה אבל נלחץ על מקש Shift, כך אנחנו מקבלים סמל. במקרה זה, יש לנו 2 תנועות, אז הסמל יהיה &, שנמצא מעל מקש 6. כבר יש לנו את הסיסמה spto7$qu&." "
- ושלב אחרון יכול להיות להחליף חלק מהאותיות באותיות גדולות. אנו יכולים לקבוע שהשנייה והרביעית, למשל, יכולות להיות אותיות גדולות. התוצאה תהיה sPtO7$qu&."
אימות דו-גורמי
אפשרות נוספת תינתן על ידי השימוש ש-נוכל לעשות באימות דו-שלבי (ידוע גם בשם אימות דו-שלבי) . זוהי אפשרות שדרכה מתווספת שכבת אבטחה נוספת לחשבון שבו אנו הולכים להשתמש. בדרך זו אתה נכנס עם פיסת מידע שאתה יודע (הסיסמה שלך) ועם פיסת מידע שיש לך (קוד שאתה מקבל בטלפון)."
מערכת ש מבקשת להוסיף עוד אימות אחד שזה אתה ולא אדם שלישי שניגש לחשבון שלך. לשם כך, השירות בודק שבאמת יש לך משהו (נייד, אסימון) שרק לך צריך להיות. תהליך שבכל זאת יש לו נקודת תורפה הנובעת משימוש ב-SMS לשליחת המפתחות.
הבעיה היא ש-SMS פגיע, אז יש לגשת אחרת לאימות דו-שלבי וחברות כמו גוגל כבר פתרו את זה על ידי השקת Google Prompt, מערכת שמשמעותה שהאימות הזה לא נשלח באמצעות הודעות SMS, אלא מהשרתים של גוגל, דבר שהופך את זה למורכב יותר ליירט אותם. מידה דומה לזו שמציעים מחוללי האסימונים המשמשים בכמה בנקים.
מקור | לוח אם ב-Xataka | אימות דו-גורמי: מה זה, איך זה עובד ולמה כדאי להפעיל אותו
