אנחנו ממש לא מבינים איך עוד לא פרצו לכם לחשבונות. לפי כל מה שאנחנו יודעים, אתם פשוט מזמינים את הפורצים לגנוב לכם את המיילים, החברים ואולי אפילו את חשבון הבנק.
בשבוע שעבר פרסם האקר כי הוא מוכר מאגר של 117 מיליון סיסמאות שהצליח לגנוב ממשתמשי הרשת החברתית העסקית LinkedIn. לינקדאין אמנם טענה כי מדובר בסיסמאות ישנות שנגנבו והוחלפו כבר ב-2012, אך חברת אבטחת המידע KoreLogic פרסמה ניתוח של סיסמאות שהצליחה לפרוץ ממאגר דומה. התוצאות לא מעודדות.
מתוך 41 מיליון סיסמאות שנפרצו עד כה, 2.5 מיליון סיסמאות היו מורכבות מרצפים של 8 אותיות קטנות בלטינית (אנגלית); 1.8 מיליון סיסמאות הורכבו מ-6 אותיות קטנות ואחריהן 2 ספרות; 1.7 מיליון סיסמאות הורכבו מ-9 אותיות קטנות; 1.6 סיסמאות הכילו 4 אותיות קטנות ואחריהן 4 ספרות; מיליון וחצי סיסמאות הורכבו מ-6 אותיות קטנות ומיליון וחצי נוספים 5 אותיות קטנות; רצפים של 10 אותיות קטנות או ספרות היו ביותר ממיליון סיסמאות כל אחד.
הסיסמאות הנפוצות ביותר:
1. 123456 (יותר ממיליון משתמשים בחרו את הסיסמה הזו)
2. linkedin (בהפרש עצום מהמקום הראשון - 207,000 "בלבד")
3. password
4. 123456789
5. 12345678
מילא אם היה לאותם אנשים שבחרו את הסיסמאות האלה תירוץ כמו "חשבנו שסיסמה יותר ארוכה יותר בטוחה", או "חשבנו ששם האתר, שאינו מילה במילון, מסובכת יותר לניחוש" - אבל לפי מחקר של אוניברסיטת קרנגי מלון שפורסם החודש, הם דווקא יודעים טוב מאוד מה נחשב לסיסמה חזקה - ובעיקר מה לא.
המחקר, בו השתתפו 165 איש בגילאי 18-66, בדק את המודעות של אנשים לרמת אבטחה של סיסמאות. החוקרים מצאו שלרוב האנשים יש הבנה לא רעה של הגורמים שהופכים סיסמה לחזקה, לעומת חוסר הבנה של הדרכים בהן נפרצות סיסמאות, שגורם לטעות בניתוח הבדלי החוזק בין סיסמאות מסוימות.
כך, למשל, מצאו החוקרים שרוב האנשים חשבו שהסיסמאות iloveyou88 ("אני אוהב/ת אותך 88") ו-ieatkale88 ("אני אוכל כרוב 88") קשות לפיצוח באותה מידה - שכן שתיהן מורכבות מ-8 אותיות קטנות ואחריהן 2 ספרות. אלא שבכלי פריצת סיסמאות מודרניים, הסיסמה השנייה היתה דורשת פי 4 מיליארד ניחושים, שכן סדר הניחושים מבוסס על תדירות ההופעה של כל מילה בנפרד וצירוף מילים יחד בסיסמאות שנפרצו בעבר (וכמובן שהרבה יותר אנשים השתמשו במשפט הקלישאתי בעולם מאשר בהצהרה התזונתית המפתיעה).
המשתתפים אף ניחשו ברובם שהסיסמה p@ssw0rd קשה יותר לפיצוח מהסיסמה pAsswOrd, שכן הראשונה מכילה סימנים והשנייה רק אותיות - אלא שבשל השימוש הנפוץ בסימנים מסוימים הסיסמה השנייה דווקא היתה לוקחת פי 4,000 ניחושים מהראשונה, שמשתמשת בשילוב לא צפוי של אותיות גדולות וקטנות (כלומר: לא אות גדולה בתחילת מילה והשאר קטנות).
עורכי המחקר הציגו לנחקרים 25 צמדי סיסמאות, וביקשו מהם לדרג את רמת הקושי בפיצוח כל אחת מכל צמד סיסמאות לעומת הסיסמה השנייה בצמד. הערכות המשתתפים לגבי מה שהופך סיסמאות לחזקות היו נכונות בדרך כלל, כך שהם הצליחו לנחש נכונה איזו סיסמה קשה יותר לפריצה - אך הם הודו שאינם משתמשים בכללים שהם יודעים ליצירת הסיסמאות שלהם בפועל.
מחקר אחר שפורסם השבוע בדק את ההקפדה של קבוצות גיל שונות על סיסמאות מאובטחות. הבמחקר של חברת Gigya השתתפו 4,000 איש מארה"ב ובריטניה, שהתבקשו לדווח על סוגי הסיסמאות בהן הם משתמשים וכמות הפריצות לחשבונות שחוו בשנה האחרונה.
למרבה ההפתעה. דווקא מבוגרים שלא נולדו לתוך עולם של שמות משתמש וסיסמאות מקפידים הרבה יותר: 53% מבני ה-51 עד 69 הצהירו שלעולם אינם משתמשים בסיסמאות קלות כמו המילה password או סדרת מספרים עוקבים כמו 1234, בעוד שני שליש מבני ה-18 עד 34 הודו שהשתמשו בסיסמאות כאלו. כתוצאה מכך, 82% מהמבוגרים דיווחו שלא חוו פריצה לחשבון כלשהו בשנה האחרונה, בעוד 35% מהצעירים חוו פריצה לפחות לחשבון אחד - פי שניים מאשר בקבוצה המבוגרת (18%).
אז מה עושים?
שני פתרונות שונים מאוד לבעיית הסיסמאות הוצגו בימים האחרונים על ידי שתי ענקיות תוכנה.
בכנס Google I/O שנערך בשבוע שעבר הודיעה גוגל על הרחבה של מה שהיא קוראת לו פרויקט Abacus. החברה תציע למפתחי אפליקציות לפטור את המשתמשים מהזדהות בעזרת שם משתמש וסיסמה. במקום זאת, הסמארטפונים ישתמשו במידע שהם ממילא אוספים בזמן השימוש כדי לתחזק Trust Score ("ניקוד אמון") - מנגנון שמנתח בזמן אמת מה הסיכוי שהמשתמש שמחזיק כרגע את הסמארטפון הוא הבעלים החוקי שלו.
המנגנון של גוגל מתבסס על נתונים כמו דפוסי הקלדה, מיקום המכשיר והחיבור למכשירים אחרים, כמו למשל נתב האינטרנט האלחוטי הביתי של המשתמש, או האוזניות האלחוטיות האישיות שלו, שברוב המקרים המשתמש לובש ואם הן מחוברות משמעות הדבר כי הטלפון נמצא ליד בעליו. בנוסף יוכל המכשיר להתחשב גם בזיהוי ביומטרי.
בהתחשב בכל הנתונים, יפתח או ינעל המכשיר אפליקציות שונות. כך, לדוגמה, משחקים יהיו נגישים גם אם לפי המדדים של המכשיר המשתמש הנוכחי הוא לא בעליו, אך רכישות ואפליקציות בנקאות ידרשו רמת אמון גבוהה הרבה יותר בזהותו של המשתמש.
ניסוי לשימוש במדד החדש לאפליקציות של גופים פיננסיים יתחיל בחודש הבא, כאשר עד סוף השנה אמור המדד להיות פתוח לכל האפליקציות ובשנה הבאה צפויות לצאת אפליקציות הנפתחות וננעלות אוטומטית ללא צורך בשם משתמש וסיסמה.
מיקרוסופט הציגה השבוע גישה שונה לחלוטין, שלא דורשת מאף אחד חוץ ממנה לעשות דבר. בעקבות ההאקר מתחילת הכתבה, שהציע למכירה 117 מיליון סיסמאות של משתמשי לינקדאין, הכריזה החברה באחד מעשרות הבלוגים שלה כי התחילה לחסום סיסמאות לא בטוחות.
החברה, הפעילה מאוד בתחום אבטחת המידע (אחרי הכל, כמעט כל העולם משתמש בתוכנות שלה) עוקבת מקרוב אחר כל הדלפת סיסמאות ומעתה תחסום שימוש בכל סיסמה שנמצאה במאגרים כאלה. משתמשים שבחרו סיסמאות שכבר אינן בטוחות יידרשו להחליפן מייד, ומשתמשים חדשים לא יוכלו לבחור אף סיסמה שהופיעה אי פעם בפריצה. הדבר אמנם יסבך בחירת סיסמאות (על מספרים עוקבים או רצפי מילים הגיוניים אין מה לדבר), אך יעניק למשתמשים הרבה יותר ביטחון - לפחות עד שמיקרוסופט תציג פתרון משלה להחלפת הסיסמאות בזיהוי אוטומטי שלא דורש מאיתנו לזכור דברים. אולי התשובה שלה לגוגל תהיה משהו שמתבסס על הפיתוח של BioCatch הישראלית, שמזהה את תנועות העכבר או המגע הייחודיות לכל אדם.