 |  |
|
תפסיקו לדבר בסיסמאות
לשמור את המידע מאחורי מנעול - הסיסמאות כבר לא מספיקות | צלם: Flickr
למרות המלצות חוזרות ונשנות מסתבר כי סיסמה ארוכה ונטולת משמעות אינה ערובה לבטחון המידע שלך במחשב
25.08.08 | 17:32Internet | Security
מאת רנדל סטרוס
סיסמא מוצלחת למחשב היא סיסמא ארוכה, מחרוזת חסרת הגיון של אותיות, מספרים וסימני פיסוק, שילוב שמעולם לא השתמשו בו. יש אנשים יוצאי דופן שבאמת מסוגלים לזכור מחרוזת אקראית של תווים ולהחליף אותה מדי תקופה במחרוזת מורכבת אחרת. רובנו, עם זאת, משתמשים בסיסמאות קצרות, מוכרות וקלות לזכירה. לרוב אנו גם לא לא מחליפים אותן כל עוד מערכות המחשב מאפשרות לנו.
פעם התביישתי בכך שלא נמניתי על הקבוצה הראשונה, אבל לא עוד. מומחים לאבטחת מידע אומרים שבחירת סיסמא מורכבת לא מוסיפה הרבה לבטיחות: הסיסמאות לא בהכרח שומרות עלינו מגניבת זהות.
קביעה זו נכונה גם כאשר אנחנו מקשיבים היטב להוראות. מחקרים הראו שרוב האנשים ממשיכים להשתמש בסיסמאות נדושות כמו "password", "123456" ו-"LetMeIn". עם זאת, הבעיה היסודית אינה פשטותן, אלא הכניסה למערכת, המתרחשת באתר אינטרנט, שלא ברור מה טיבו, ואנו מקלידים מחרוזת של תווים כדי לאמת זהותנו. הפעולה הזו, שנראית כיום טבעית לחלוטין כי אנחנו עושים אותה כל כך הרבה פעמים, היא שורש הרע. זוהי פעולה ששום מומחה לאבטחת מידע יגן עליה.
כניסות מבוססות-סיסמא הן רגישות בכמה אופנים. חישבו על האיום שנוצר על ידי נוכלים שמפתים אותנו להיכנס לאתר שמחקה אתר לגיטימי אחר, כדי לחשוף את הסיסמא שלנו. מהרגע שאותרה הסיסמא שלנו, אפשר להשתמש בה בהרבה אתרים אחרים.
הפיתרון שמציעים המומחים הוא להימנע משימוש בסיסמאות ולעבור לשימוש במודל שונה ביסודו, כזה שבו לבני אנוש אין כמעט חלק. על פי המודל הזה, תיערך שיחה מוצפנת בין המחשבים שתאמת את זהויות המשתמשים, בעזרת אמצעים דיגיטליים שלנו, כמשתמשים, אין שום סיבה להכיר. בקיצור, אנו זקוקים למערכת כניסה שמסתמכת על כתב סתרים ולא על זיכרון.
כמשתמשים, אנו עשויים להחליף סיסמאות בכרטיסי מידע או אייקונים על המסך שלנו שאנו מקליקים עליהם כדי להיכנס לאתר מסוים. ההקלקה מתחילה תהליך של לחיצת ידיים בין מחשבים שמסתמכת על קוד סתרים קשה לפיצוח. התוכנה ההכרחית ליצירת כרטיסי מידע נמצאת על כ-20% בלבד מהמחשבים השולחניים, למרות שמדובר בעלייה משיעור של 10% שהיה לפני שנה. מחשבים עם מערכות הפעלה "Windows Vista" מצוידים בתוכנה כזאת, אולם מערכות ההפעלה XP, מק ולינוקס דורשות הורדה של תוכנה כזאת.
זהו רק השלב הראשון של מאבק האבטחה. בשלב הבא ידרשו שרתים של אתרי אינטרנט לאמץ טכנולוגיית כרטיסי מידע לשם כניסה למערכת. אך ההתקדמות בתחום כרטיסי המידע לא צפויה בקרוב. יוזמת OpenID מהווה ניסיון אחד להתמודד עם הבעייתיות של כניסה באמצעות סיסמאות. ביוזמה זו מבצעים גולשים "כניסה חד פעמית למערכת", כניסה לאתר OpenId עצמו, והאתר הוא שיפתח את האתרים האחרים עבור הגולש.
למרות נוחות מסוימת גם יוזמה זו מתעלמת מהרגישות הקיימת בהקלדת סיסמא באתר אינטרנט. למרות זאת, מדי מספר חודשים מודיעה חברה מסוימת על כך שגם היא הצטרפה ליוזמת OpenID. נציגים של גוגל, IBM, מיקרוסופט ויאהו נמצאים בחבר ההדרכה של התאגידים של OpenID. בחודש שעבר, כאשר מייספייס הודיעה שהיא תתמוך בתקן, התפארה OpenID (שהיא, דרך אגב, מוסד ללא כוונת רווח) בכך שמספר המשתמשים בעלי גישה לטכנולוגיה של OpenID עבר את סף ה-500 מיליון. היא גם הוסיפה שזו רק תחילת הדרך.
עם זאת, התמיכה ב-OpenID היא מוגבלת באופן בולט. כל אחת מהחברות הגדולות שתומכת ב-OpenID, כביכול, שמחה ליצור זהות OpenID למבקרים באתר שלה, אולם אינה מוכנה להסתמך על OpenID של חברות אחרות. כלומר, אי אפשר להשתמש בהרשאות ה-OpenID של מיקרוסופט באתר של יאהו ולהפך.
כששאלתי את סקוט קווטון, יו"ר OpenID, לגבי הביקורת על OpenID, הוא אמר באופן גלוי: "אנחנו יודעים שסיסמאות הן דבר שביר". הוא טוען שקיימות אפשרויות אבטחה חדשות, כמו תוכנה שעובדת עם טכנולוגיית OpenID שמותקנת בדפדפן. כאשר מדובר באבטחה, אין פתרונות פלא, הוא אומר.
קים קמרון, סמנכ"ל לענייני ארכיטקטורת זהות, תומך באופן נלהב בכרטיסי מידע, שלא רק שהם הרבה יותר בטוחים ממערכת אבטחה מבוססת-סיסמאות, אלא שהם גם ניתנים להתאמה אישית ובכך מאפשרים למשתמשים להגביל את המידע שמשתחרר באתרים מסוימים. "אני לא מאמין בכניסה חד-פעמית", אומר קמרון.
מיקרוסופט וגוגל הן בן שש החברות המייסדות של קרן כרטיס המידע, שהוקמה כדי לקדם את אימוץ הטכנולוגיה הזו. העובדה שגם PayPal, המוחזקת על ידי אי-ביי, נמצאת בחבורה הזו היא המשמעותית ביותר. מחברה כמו פיי-פאל, בעלת הגישה הישירה לחשבונות השיקים שלנו, היינו מצפים לשמרנות גדולה יותר. אם היא השתכנעה בכך שהכרטיסים הללו יותר בטוחים מסיסמאות, כדי לנו להקשיב.
עם זאת גם כרטיסי מידע יכולים מהווים מטרה נוחה לנוכלים במצבים מסוימים ומאפשרים לכל מי שנקרה בדרכו במחשב שולחני במשרד ריק מאנשים להיכנס לאתר אינטרנט המחזיק מידע רגיש. רגישות זו מוגבלת מכיוון ש"משתמשים במערכות משותפות יכולים ליצור קוד פשוט כדי להגן על כל כרטיס מפני שימוש זר", לפי קמרון.
קוד שכזה לא מחזיר אותנו לטכנולוגיית הסיסמאות. הוא מעולם לא יוצא מעבר למערכת שלנו והוא לא ניתן לצפייה על ידי אנשים חיצוניים. גמילה מההרגל של הקלדת סיסמא בדף אינטרנט תימשך הרבה זמן, אולם היא דרושה למען בטיחותנו. כניסה לאתר צריכה לדרוש שיחה מוצפנת בין מכונות, שתשמור עלינו מלהעביר הלאה בשוגג מידע חסוי.
עוד בנושא - בנק הפועלים ואוצר החייל במוקד גל חדש של הונאות פישינג | שליש ממנהלי ה-IT מודים: השתמשנו בסיסמאות אדמיניסטרציה כדי לגשת למידע רגיש | מנכ"ל מקאפי: "חלק מהתפקיד שלנו הוא להפחיד אנשים"
לקבלת עידכונים מ-TheMarker IT, הרשמו לניוזלטר שלנו
 פורמט להדפסה |  שלח באימייל |  חזרה למעלה |
כתבות נוספות
עשרת הגדולים
- 1. נסיעת מבחן: מערכת ההפעלה הטובה ביותר לסלולרי
- 2. חוקים במקום העבודה? הצעירים פשוט מתעלמים
- 3. SAP ישראל מפטרת כ-3% מכוח העבודה
- 4. חברת הסטארט-אפ איימבה נמכרת למארוול בכ-10 מיליון דולר
- 5. אסוס משיקה גרסה שולחנית למחשב ה-Eee
- 6. החיים אמיתיים, התינוקות בתלת ממד
- 7. פלאש נטוורקס מפטרת 20 עובדים
- 8. נמשכים הפיטורים בהיי-טק: 1,061 מפוטרים ב-43 חברות ישראליות
- 9. דיווחים: מיקרוסופט מתכננת טלפון מתחרה לאייפון
- 10. הגולש הישראלי: מבלה ברשת 8 שעות בשבוע, מפחד לקנות, מכור לחדשות
ראש צוות QA – פורטל דרושים
ניסיון בניהול צוותי QA לפחות שנתיים ניסיון בתקשורת – יתרון אופק ניהולי למצטיינים
Hardwareתוכניתן C++
תואר ראשון במדעי המחשב. לפחות שנה ניסיון בפיתוח C++. ניסיון בעבודה בסביבת Microsoft Visual Studio
Internet | Israeli Hi-Tech and Startups | Silicon Wadiדרושים מהנדסי תוכנה
פיתוח אפליקציות לעיבוד נתונים, ניתוחם והצגתם. בוגרי מתמטיקה, פיזיקה או מדעי המחשב
Internet | Israeli Hi-Tech and Startups | Silicon Wadiדרושים מתכנתי JAVA
נסיון של שנתיים בפיתוח Java/J2EE לפחות שנתיים נסיון בפיתוח Java בצד הserver
Internet | Israeli Hi-Tech and Startups | Silicon Wadi
