חושבים שהסיסמה שלכם מגנה עליכם? תחשבו שוב. חברת הגנת הסייבר ImmuniWeb בדקה 21 מיליון חשבונות שמשתייכים ללקוחות בחברות ענק אמריקאיות, ומצאה ש-16 מיליון מתוכם שימשו יעד לנסיונות פריצה. ומעניין אפילו יותר: רק ל-4.9 מיליון חשבונות היתה סיסמה ייחודית, מה שאומר של-75% מהחשבונות היו סיסמאות קלות לניחוש. החברה סיכמה את המחקר שלה ברשימה של 32 הסיסמאות הכי נפוצות באינטרנט. אז זה הזמן לבחון את עצמכם: אם הסיסמה שלכם היא אחת הנפוצות, יכול להיות שזה בדיוק הזמן לעזוב הכל ולרוץ לשנות אותה.
000000 – זו הסיסמה הכי נפוצה באינטרנט. הגאונות היא בפשטות.
111111 – זו כבר סיסמה ממש מתוחכמת: מי יחשוב על זה?
112233, 123456, 12345678 – טוב, הבנתם את העיקרון: סיסמאות, שהאקר מקצועי יתבייש לפרוץ.
1qaz2wsx – טוב, זמן לגילוי נאות. פה תפסו אותי על חם. ואני חשבתי שאיש לא יעלה על סיסמה שמבוססת על מקשים סמוכים בטור ולא בשורה. בהזדמנות הזו אני כנראה גם אוותר על 1q2w3e. וחבל.
3154061, 456a33, 66936455, 789_234 – טוב, למה הסיסמאות האלה כל כך נפוצות זו באמת שאלה. למישהו יש רעיון?
aaaaaa – ע"ע 000000 ו-111111 אבל לאנשים עם משיכה לטקסטים איכותיים
abc123 – טוב, הסיסמה הזו מורכבת במיוחד וממש קלה לזכירה, אבל זה גם אומר שהיא קלה לפיצוח
career121, carrier, comdy, cheer!, cheezy, Exigent, old123ma – כאן מגיע פרק ההתחכמויות המילוליות, שלבטח מענגות את בעליהן בכל פעם שהם מזינים אותן. גם את ההאקרים כנראה.
Opensesame - “שומשום הפתח", האסוציאציה החביבה על כל מי שמבקש להיכנס לחשבון הכסף, אולי הזהב, שלו. אסוציאציה שמוכרת גם למי שחומד את הזהב הזה
pass1, passer, passw0rd, password, password1 – בתור מי שפתח חשבון עם שם משתמש tal וסיסמה sisma, אני לא יכול לבוא בטענות למי שחשבו על הסיסמאות האלה. אני התבגרתי מאז.
Penispenis – פוי. לאיזה אתרים החבר’ה האלה נכנסים?
Snowman – איש שלג? אנשים כנראה פתחו חשבון באמזון לצורך קניות לחג המולד
!qaz1qaz – היי, זה מתוחכם ממש, איך יכול להיות שכולם חשבו על זה?
Soccer1 – אוהדי ספורט, מה נגיד?
Student – סטודנט, אבל אולי לא מהחומר שמגיע ל-MIT
אחרי שנתפסנו על חם, ביקשנו ללמוד מהמומחים איך יכול להיות שכל כך קל לפצח את הססמאות שלנו ומה לעשות כדי להקשות על הפצחנים (האקרים). לוטם פינקלשטיין, מנהל מחלקת מחקר מודיעין סייבר בצ’ק פוינט, אומר שיש שתי דרכים נפוצות לפענוח סיסמאות: הראשונה היא רכישה של מאגרי שמות משתמש וסיסמאות שנפרצו, ומוצעים למכירה לכל דורש. לדבריו באמצעות אלגוריתמים של בינה מלאכותית ניתן לאתר פרטים רבים על האנשים שבמאגר ולפרוץ לחשבונות אחרים שלהם.
הדרך השנייה מכונה Brute Force: המערכת מנסה עוד ועוד סיסמאות, יודעת לעשות הפסקה לפני שהחשבון נחסם, וממשיכה עד להשגת הפריצה. השיטות הידניות, המתוחכמות עוד יותר, כוללות השגת פרטים בדרכים מגוונות, למשל באמצעות לחיצה על "שכחתי סיסמה", כשאתרים רבים מציעים מידע חלקי, כמו חלק מכתובת המייל או חלק ממספר הטלפון. וזאת יש לדעת – שמספרי טלפון, מספרי זהות ושנת לידה מהווים במקרים רבים חלק מהססמאות של המשתמשים. גם שאלות זיהוי, שנועדו להגן על החשבון (“מה שם חיית המחמד שלך”), מסייעות להאקרים לדעת יותר אודותינו, ומקלות עליהם לנחש את הסיסמה. ועוד טריק שעובד לא פעם אצל משתמשים ישראלים: הסיסמה היא שמם בעברית, כשהמקלדת במצב אנגלית. וואו, איך לא חשבו על זה קודם? אז זהו, שחשבו.
אין סיסמה שאי אפשר לפרוץ
לפי נתוני חברת קספרסקי, בשנת 2019 חלה עליה תלולה במספר עבירות גניבת סיסמה. לעומת 600 אלף איש שנפגעו במחצית הראשונה של שנת 2018, הגיע מספר הקורבנות במחצית הראשונה השנה ליותר מ-940 אלף. אחד הכלים הזדוניים הפעילים ביותר בתחום הזה היתה הנוזקה המכונה Azorult, שאחראית לגניבת סיסמאות של יותר מ-25 אחוזים מהקורבנות בארה"ב, רוסיה, הודו, ברזיל, גרמניה ועוד.
אז איך לבחור סיסמה טובה? פינקלשטיין מציע לבחור ססמאות ארוכות ומורכבות מתווים מסוגים שונים, כמו שדורשים אתרים רבים. אם אתם מתקשים לזכור, הוא ממליץ להשתמש באפליקציית ניהול סיסמאות, בתנאי שהיא אמינה ומאובטחת. בכל מקום בו מוצע להשתמש באימות דו-שלבי, צריך לעשות את זה. אפליקציית אימות? מה טוב, היא מקשה על הפורצים עוד יותר.
בשורה התחתונה? לדבריו, כל סיסמה וכל מערכת הגנה ניתנות לפריצה, הכל תלוי בכמה משאבים הפורצים מוכנים להשקיע. אז הנה השיטה הסודית של מומחה ההגנה: "הסיסמה הכי טובה זו סיסמה שאתה לא זוכר. ברצינות, בכל פעם אתה מבקש לשחזר אותה ומכניס סיסמה חדשה. אני עושה את זה הרבה פעמים לדברים רגישים באמת”.
חברת ESET ממליצה על מספר צעדים לבניית סיסמה חזקה:
1. לחבר מספר מילים כך שייווצר משפט שקל לנו לזכור, למשל ilovetoeatcandies
2. לשלב אותיות גדולות, שיהפכו את המשפט לקשה יותר לפיצוח: IloveToEatCandies
3. להוסיף תווים מיוחדים: %IloveToEatCandies%
4. להוסיף רווחים: %I Love To Eat Candies % (באתרים שבהם זה אפשרי)
5. וכמובן לא לשכוח את כללי הזהב: לקבוע לכל חשבון סיסמה שונה (אחרת ניתן יהיה להגיע לכל החשבונות שלכם מחשבון אחד שפוצח) ולשנות את הסיסמה בכל פרק זמן, קצר ככל שיש לכם זמן וכוח.
מהארכיון: ריאיון עם חוקרת הסייבר קרן אלעזרי
(צילום: ניצן דרור)
