רועי ליפמן, AVG: "הדרך לחזק סיסמה הוא הגדלת טווח התווים שבה"

כיום, קל לפרוץ סיסמאות, גם ארוכות מאוד, באמצעות שימוש בכרטיסים גרפיים במקום במעבדים המרכזיים הרגילים – כך אמר רועי ליפמן, ארכיטקט תוכנה ב-AVG. לדבריו, "רוב הסיסמאות הן שמות בעלי חיים, תאריכים משמעותיים, שמות הילדים, שמות של בני משפחה אחרים ומושגים רבים מהסוג הזה.הפתרון לכך הוא הגדלת טווח התווים".

הוא דיבר בכנס  CyberSecurity 2014, בהפקת אנשים ומחשבים,  שנערך ביום ה' במלון דיוויד אינטרקונטיננטל בתל אביב, בהשתתפות מאות מקצועני אבטחת מידע וסייבר. הנחו אותו אבי וייסמן, מנכ"ל שיא סקיוריטי, ופלי הנמר, יזם ומנהיג אנשים ומחשבים.

"סיסמה חזקה מאופיינת בטווח התווים שלה. שימוש בספרות, מאפשר אך ורק עשר אפשרויות לכל תו, הוספה של תווי הכתב האנגלי מגדילה את האופציות ל-62, ושימוש בכל התווים שבמקלדת נותן לנו 94 אפשרויות לכל תו.

"עבור סיסמה של שמונה תווים שכולם ספרות ישנן מאה מיליון אפשרויות ככל שננצל יותר אפשרויות, מספר האופציות יילך ויגדל. ג'ימייל, פייסבוק, אתרי הבנקים ודומיהם מבקשים פרטים מזהים וסיסמה. המערכת מצפינה את הפרטים בבסיס נתונים, ומעבירה את הסיסמה דרך פונקצית האש (HASH), שגורמת לכך שכל הסיסמאות תהיינה בעלות אותו אורך. אין אפשרות לחשב בכיוון ההפוך".

ליפמן נתן הסבר טכני, לגבי ההבדלים בין הכרטיסים השונים בהקשר לפריצות: "בעוד ה-CPU מאפשר להריץ 250 אלף ערכי האש בשנייה, ה-GPU יכול לחשב מיליארד לשניה. כרטיסים גרפיים מגיעים עם 2,900 ליבות, שעון של 900 מגהרץ וזיכרון של 3 ג'יגה. הרעיון של הרצת קוד על המעבד הגרפי מצריך מודל חדש – מודל מקבילי. לא ניתן לקחת כל בעיה ולהשליך על ה-GPU. בעיות שכן כדאי לפתור הן בעיות שניתן לשבור אותן לתתי בעיות הרבה יותר קטנות, לקחת את כל הפתרונות הקטנים ולאחד לפתרון אחד גדול.

"כדי לכתוב על הכרטיס הגרפי – NVIDIA הציגה את CUDA שיכולה לרוץ על המעבד הגרפי. אם אדם רוצה לחשוף סיסמה של 8 תווים עם אותיות וספרות במעבד, ייקח לו 17 ימים. בכרטיס גרפי הדבר ייקח לו יומיים בלבד. אם נרצה להוסיף עוד מעבדים גרפיים, אמזון מספקת שירות שמאפשר לשכור מחשבים בענן,  ובכך להקטין את משך זמן פיצוח הסיסמה להשעות או דקות בודדות".

ליפמן סיכם עם עצה לגבי חיזוק הסיסמה: "יש להוסיף 'מלח' – עוד כמה תווים חסרי הגיון. בנוסף, כדאי להעביר את הסיסמה דרך כמה הרצות של האש וכמובן להשתמש ביותר מפונקצית האש אחת".

"בסריקות שערכנו מצאנו דלתות בבתי כלא שסיסמאותיהן היו פשוטות"
המרצה האחרון במסלול היה שחר טל, חוקר אבטחה בצ'ק פוינט: "ניתן להשתמש בכלי שיסרוק את כל האינטרנט בכמה שעות, והתוצאות שהוא נותן הן מחשבים שמפעיליהם השתמשו בסיסמאות היצרן או סתם סיסמאות פשוטות לשרתים שלהם. כך, ניתן להפעיל אותם כדי לחפש עוד מחשבים פרוצים וכל זאת בתוך פחות משעה.

"רוב המכשירים שנמצאו בסריקה היו נתבים ביתיים שהוא תחום מאוד פריץ, אך גם מכשירים כגון מערכות לפתיחה מרחוק של דלתות בבתי כלא לא היו מוגנים בסיסמאות יצירתיות".