מחקר: הסיסמה הנפוצה ביותר לאי-מיילים ורשתות חברתיות – 123456
חברת האבטחה הישראלית אימפרבה חקרה פריצה שביצע האקר של יותר מ-32 מיליון סיסמאות של גולשים באתר Rockyou.com ● מהנתונים עולה, כי הסיסמאות הפופולריות ביותר מורכבות ממספרים עוקבים או ממילים שקל לגולשים לזכור ● "אנחנו צריכים להבין שבעולם של היום, קומבינציה של סיסמאות 'עניות' פירושה, באופן אוטומטי, התקפות מקוונות", אמר עמיחי שולמן, סמנכ"ל הטכנולוגיות של החברה
האם הגולשים לא זהירים מספיק? מניתוח של יותר מ-32 מיליון סיסמאות של בעלי חשבונות ברשתות חברתיות וכתובות אי-מייל עולה, כי התשובה לכך עשויה להיות חיובית. כך, נתגלה שהסיסמה הנפוצה ביותר שבה משתמשים הגולשים הללו היא 123456 – סיסמה שעשויה להיות קלה לפיצוח על ידי האקרים למיניהם.
עוד עלה מניתוח הנתונים, כי גולשים רבים לא שינו את הקריטריונים לבחירה בסיסמאות בשני העשורים האחרונים. קרוב ל-50% מהם בוחרים כסיסמאות ברשת שמות או מילים שקל לזכור, כמו גם מספרים עוקבים. כך, הסיסמה הפופולרית ביותר היא 123456, ומיד לאחריה – 12345. למקום השלישי הגיע צירוף הספרות 123456789, ולרביעי – המילה Password (סיסמה). במקום החמישי נמצא הביטוי Iloveyou.
הניתוח נערך על ידי חברת אבטחת המידע הישראלית אימפרבה, שניתחה נתונים שעלו מפריצה שביצע האקר למיליוני כתובות וסיסמאות של אי-מיילים באתר Rockyou.com. ברבים מן המקרים, הגיע אותו האקר גם לשמות משתמש וסיסמאות של גולשים ברשתות חברתיות שעמן משתף האתר פעולה. לאחר הפריצה, הוא פרסם את הנתונים שהשיג ברשת.
עמיחי שולמן, סמנכ"ל הטכנולוגיות של אימפרבה, אמר, כי "כולנו צריכים להבין שבעולם של היום, קומבינציה של סיסמאות 'עניות' פירושה, באופן אוטומטי, התקפות מקוונות. עם מאמץ מינימלי, האקר יכול להגיע לחשבון חדש בכל שנייה, או לאלף חשבונות ב-17 דקות".
לדבריו, "הנתונים שהשגנו מהווים הצצה לדרך שבה אנשים בוחרים סיסמאות ברשת והזדמנות להעריך את מידת החוזק של הסיסמאות, מבחינת הבטיחות שלהן".
נו באמת, כבר שנים שזה ככה: http://www.youtube.com/watch?v=K95SXe3pZoY
סיסמא חד-פעמית (שתקפה למספר דקות) היא אמצעי מקובל להגנה בפני פריצות האקרים. הבעיה, שהסיסמא מתקבלת באמצעות SMS (לא תמיד מגיע מיידית) או ע"י TOKEN יקר, ושצריך להיות צמוד למשתמש בכל עת. שווה להכנס ל- www.syferlock.com שמצאו פתרון לסיסמא חד פעמית שמתקבלת על האינטרנט, לא מצריכה החלפת סיסמא אחת לתקופה, ועם זאת הרמטית בפני האקרים.
איתי, אני מדבר על כאן ועכשיו. במצב הנוכחי ההגנה על כל האתרים היא רק "משהו שאתה יודע" (קרי סיסמה), והטענה שלי היא שההגנה הזו מיושמת לא נכון. מה שצריך כאן ועכשיו זה לא לשנות את הטכנולוגיה אלא לקבל החלטה מנהלית שלא דורשים שינוי סיסמה אלא אם מערכת ה-Fraud העלתה התרעה, נ-ק-ו-ד-ה כמו שאומרת מישהי.
איתי שלום קראתי את מה שרשום בלינק ששלחת והיה מעניין. תודה. מה שרציתי לשאול: אם כל האימות נעשה באמצעות הסלולרי שלי - האם כל מי שיגנוב אותו יוכל לקבל גישה חופשית אל כל החשבונות שלי? הבנתי שאפשר לפצל את ההתקנים שמאפשרים גישה בין כמה התקנים, אבל זה הופך את הגישה למסורבלת, ועדיין, כל ההתקנים שוכבים להם בלילה זה לצד זה בתיק היד שלי, שכבר נגנב בעבר. לעומת זאת, את הסיסמא המקורית שהמצאתי אף אחד לא יכול לנחש.
עמירם, לצערי אתה צודק אולם אתה מדבר על טכנולוגית ביניים של סיסמאות מתוכחמות יותר. הבעיה נותרה כשהייתה - לא אנושי ולא בטוח לשמור על זהותנו באמצעות סיסמאות. לא חשוב איזו סיסמא תצליח לייצר ממוחך הקודח - היא תפרץ בתוך דקות או שעות. זה לא הפתרון!! יש כיום פתרונות של זהות חזקה שאינם מתבססים על סיסמא כלל. אם תרצה לקרוא יותר אתה מוזמן לאתר www.otenti.biz או למאמר http://www.otenti.biz/blog/dowereallywanttogiveupouridentiry
גילו את אמריקה, הילדים בכיתה של הבן שלי (ב') יודעים את זה כבר שנה ופורצים זה לזה
עם כל הכבוד, צריך להפסיק עם ההתלהמות בנושא הסיסמאות ולעבור למדיניות שפוייה יותר. החוק בישראל מחייב תאגידים בנקאיים וכספיים לדרוש החלפת סיסמה כל 6 חודשים. חברות האשראי מרחיקות לכת ומחייבות החלפת סיסמה כל 3 חודשים, וכל סיסמה חייבת להיות "שונה מהותית" מקודמותיה. המשמעות היא שמי שמשתמש בשירותי התאגידים במשך 50 שנה (למשל מגיל 20 עד גיל 70) חייב להמציא במהלך התקופה הזו 200 סיסמאות שונות וייחודיות. זו משימה שאף אחד לא יכול לעמוד בה. המשמעות היא המצאת סיסמאות "סידרתיות" עם מספרים רציפים ו/או רישום של הסיסמאות במחשב או בטלפון וכדומה - החטאה של כל העניין. מה המטרה בהחלפת הסיסמאות? האם באמת יש סיכוי שעד להחלפת הסיסמה מישהו ניגש לחשבון שלי בלי שארגיש (במשך 3 או 6 חודשים!) והחלפת הסיסמה היא זו שתציל אותי? המדובר במדיניות מיושנת ובעייתית שהגיע הזמן להפסיקה. אתר Paypal למשל, או eBay, או אמזון, כבר מתקדמים יותר ומבינים שהחלפת סיסמאות אינה משרתת שום מטרה. הם מחייבים הגדרה של סיסמה לא טריוויאלית אך אינם מחייבים להחליף אותה, פרט למקרים בהם המערכת שלהם גילתה פעילות חריגה וחשודה. נקודה נוספת היא שלא תמיד ההגנה בסיסמה חשובה כל-כך. במקרים בהם מדובר בכספים סביר לאלץ הגדרה של סיסמה לא טריוויאלית גם בגלל המוטיבציה לפריצה וגם בגלל הנזק העלול להיגרם למשתמש ו/או לנותן השירות, אבל יותר מדי אתרים מאלצים כללים יותר מדי מעיקים בנוגע לסיסמאות. אני לא מבין למה אני חייב להגדיר סיסמה של 8 תווים הכוללת גם אותיות וגם ספרות כדי להרשם לפורום אקווריומים או לפורום תמיכה באייפון. קצת שפיות וקצת היגיון לא היו מזיקים.