סיסמאות

לאחרונה, הנושא של סיסמאות מאד תפס אותי. אולי זה בגלל שאני אוהבת לקבל ציונים גבוהים במדדי הסיסמאות ולכן כל מדד סיסמאות חדש שמופיע, אני בודקת בו כמה מהסיסמאות שלי. אבל מתברר שהתחביב הזה הוא לא טוב משתי סיבות. הסיבה הראשונה היא שברגע שמכניסים סיסמה לאתר כזה – אז הסיסמה נכנסת למאגר, והיא כבר לא חסויה… הסיבה השניה היא שלא כדאי לסמוך על אתרים כאלה כי יש בהם כשל מובנה: הם לא יכולים לנבא בוודאות את חוזק הסיסמה כי אנשים רבים משתמשים במידע פרטי בסיסמאות להם (ת.ז או תאריכי יומולדת – שלהם או של בני משפחה). האתר לא יכול לדעת שהסיסמה מכילה מידע כזה, אבל פורץ שמכיר אותך – כן יכול.
לכן, מה שצריך הוא לא אתרים שבודקים סיסמאות, אלא אתרים שמייצרים סיסמאות. מה שחשוב בסיסמה הוא לא התוצאה הסופית, אלא התהליך שמייצר אותה. מתברר שפורצים אינם מנסים סתם סיסמאות באופן רנדומלי, אלא משתמשים באלגוריתמים לפיצוח סיסמאות. לכן, ככל שהאלגורתים שיצר את הסיסמה מתוחכם יותר, יקשה על הפורץ לגלות את הסיסמה, גם אם הסיסמה שנוצרה בסופו של דבר היא 000000….
שיטה מומלצת היא ליצור passphrase באמצעות diceware. ואם חשבתם – כמוני – שבמקום להשתמש בקוביה רגילה אפשר להשתמש באתר שיש לו אלגוריתם שמדמה קוביה, אז מתברר שאתם לא הראשונים, ובאתר diceware כבר מזהירים לא לעשות זאת.
אבל גם אם מחליטים לא להשתמש בשיטה של diceware, יש הרבה מאמרים על מדיניות בחירת סיסמאות:
המאמר הזה הוא נחמד, כי הוא מספר על סוגי מדיניות שונים לסיסמאות: למשל, במייקרוסופט לא מאפשרים סיסמאות ארוכות מסיבות היסטוריות, והם אינם מעוניינים לשנות זאת עכשיו משום שהעלות לכך היא גבוהה מאד, ואילו התועלת אינה מרובה: לטענתם, הבעיות העיקריות שיש בסיסמאות הן פישינג, תוכנה נגועה, ושימוש באותה סיסמה באתרי צד-שלישי. אף אחת מהבעיות האלה לא נפתרת או נמנעת ע”י סיסמה ארוכה.
דוגמה מעניינת אחרת היא חברת evernote, שמאפשרת סיסמאות ארוכות, ואת כל סימני הפיסוק, מלבד רווח. מתברר שכדי לאפשר רווח, ה-regular expression שאמור לבדוק את הסיסמה יצטרך להתארך פי 3, אבל האנטרופיה תגדל רק ב-1.5%.
אחרי שקראתי את זה, חיפשתי הסבר קצת יותר אובייקטיבי (לא חברה שמסבירה את  – או מגוננת על – המדיניות שלה), והגעתי לשאלה קנונית ב-security.SE: סיסמה קצרה ומסובכת, או ביטוי מילוני ארוך? השאלה מתבססת על קומיקס מספר 936 של XKCD. אחת התשובות הטובות ביותר היא של לא אחר מאשר ידידנו אבי דוגלן (שכזכור התארח אצלי בבלוג בשנה שעברה). היא קצרה, אז אתם יכולים לקרוא אותה בעצמכם, ותשובה טובה נוספת היא של בחור בשם תומס פרונין, כי הוא מסביר את המתמטיקה שמאחורי הקומיקס (מטבע הדברים, התשובה שלו קצת ארוכה יותר…). משם הגעתי לשאלה מעניינת: כמה אפשר לסמוך על תוכנות/אתרי בדיקת חוזק סיסמאות. השואל נותן שתי דוגמאות של סיסמאות, שבודק הסיסמאות שלו נתן לו תוצאות שהפתיעו אותו. באחת התשובות יש קישור לבודק סיסמאות שמסביר את המרכיב של כל חלק בסיסמה.
מלבד זה, קראתי לפני כמה זמן מאמר שנכתב ע”י האקר, והוא מתאר את חייו הנפלאים של ההאקר נוכח החוקים המקובלים בבודקי סיסמאות, כי מתברר שהחוקים האלה כלל לא חוזים כראוי את קושי הניחוש של הסיסמאות. רק על אתר אחד הוא מוצא לנכון להמליץ , והוא My1login .
ועוד שני מאמרים שקראתי בנושא: אחד מתאר איך האקרים פורצים לחשבונות,(אני מתנצלת מראש, יש דפדוף במאמר. אם זה מפריע לכם (לי זה מפריע) אז אתם לא חייבים לקרוא 🙂 ), והשני על חוקרים שיכולים לצפות את ססמאות ה-hotspot שאפל מייצרת.
ובזמן שהכנתי את הפוסט הזה, אבי שלח לי מאמר על hashing של סיסמאות. המאמר הוא מאד יסודי (כלומר: ארוך :)), אבל מאד מאד מעניין. הוא מסביר מה זה hashing (איך אומרים את זה בעברית?), סוגי האלגריתמים של hashing, מה ההבדל בין hashing להצפנה (encryption) (ההבדל הוא ש-hashing הוא בלתי הפיך) למה חשוב שבכל זאת תהיה סיסמה חזקה (בעלת לפחות 8 תוים רנדומליים) (כי תוכנות פיצוח היום הן מאד מהירות ודי זולות), מה זה מלח ופלפל בסיסמאות (מלח זה ערך בלתי-סודי שנמצא בבסיס הנתונים, ומתווסף לסיסמה לפני שמצפינים אותה; פלפל זה ערך סודי, שקצת פחות הבנתי מה הוא עושה…), מה חשוב באלגוריתם hashing (שהוא יהיה איטי) ולאור זאת אילו אלגוריתמי hashing הם מומלצים. המאמר כתוב בצורה מאד קריאה ורהוטה, אז מי שאפילו קצת מתעניין בזה – מאד מומלץ.
ועוד היבט מעניין של סיסמאות: לפני כמה חודשים ראיתי את הסרט “המטרה הבית הלבן” [בגדול – סרט פעולה בלתי אמין לחלוטין (למשל: יש יריות, כולם מסביב לגיבור מתים, מלבד הגיבור), אבל מלא מלא אקשן. די נהניתי ממנו, אבל קראתי המון ביקורות שקוטלות את הסרט הזה, אז אני כנראה לא בדיוק מדגם מייצג של אוהבי הז’אנר….].
מכל מקום, יש קטע אחד בסוף הסרט שקשור לעניין של סיסמאות. מי שמתכוון לראות את הסרט, אז הריני להזהיר אזהרת ספויילר.
כבכל סרט פעולה שמכבד את עצמו, לקראת סוף הסרט ישנה סצנה שבה פצצה עומדת להתפוצץ לפי שעון עצר, ועל הגיבור לנטרל אותה לפני ששעון העצר יגיע לאפס. עד כאן – קלאסיקה.
ב”המטרה הבית הלבן” הגיבור – ג’רארד באטלר – הוא איש השירות החשאי, משומרי ראשו של הנשיא. הוא אינו יודע את הסיסמה הדרושה לניטרול הפצצה, ולכן הוא יוצר קשר טלפוני עם הפנטגון. משם מקריאים לו את הסיסמה, אות-אות, לפי הקוד הפונטי של נאט”ו. וזה הולך כך:

האיש מהפנטגון: לימה, צ’רלי, סולמית (באנגלית הוא אמר hashtag).
ג’רארד באטלר: מה?
האיש בפנטגון חוזר: hashtag!
והזמן אוזל…
פתאום אחת הנשים בפנטגון מתעשתת ואומרת: shift 3! ואמריקה ניצלת… 🙂

אז הבנתי שוב עד כמה חשוב שסיסמה תהיה קלה – לא רק קלה לזכירה, אלא קלה למסירה! אי ההבנה הזאת עם ה-hashtag היתה יכולה לעלות במחיר התפוצצות של כל ארה”ב! (בסרט, כן?).
דיברתי על הסרט הזה עם אבי דוגלן, ומה ההשלכות של סיסמה כזאת. הוא הציע לי לשאול את השאלה הזאת ב-security.SE. שמעתי בעצתו , וקיבלתי תשובות מאד יפות ומנומקות. שמתי בשאלה קישור לסצנה הזאת בסרט.
ולסיום, מתברר שמאחר שסיסמאות הן נקודת תורפה של אבטחת אינטרנט, מתארגנת קבוצת חברות שתנסה לתת תחליף אחר לסיסמאות. אחת החברות האלה היא מייקרוסופט.