לדלג לתוכן

איך יוצרים סיסמה חזקה שבאמת אפשר לזכור

כל אתר שנרשמים אליו דורש היום "אות גדולה, אות קטנה, מספר, וסימן מיוחד". אז אנשים כותבים Passw0rd! וחושבים שהם מוגנים. הבעיה היא שהחוקים האלה, שנוסחו לפני עשרות שנים, בעצם לא עוזרים הרבה. הגיע הזמן להסביר מה באמת הופך סיסמה לחזקה.

למה הכללים הישנים לא ממש עוזרים

הרעיון של אות גדולה וסימן מיוחד הגיע מתקופה שבה חשבו שהדרך למדוד חוזק סיסמה היא כמות התווים האפשריים. הבעיה היא שאנשים מגיבים לכללים האלה בצורה צפויה מאוד - הופכים את ה-a הראשונה לגדולה, מוסיפים סימן קריאה בסוף, ומחליפים o ב-0. תוקפים יודעים בדיוק את התבניות האלה, והם חלק סטנדרטי מכל תוכנת פיצוח סיסמאות.

התוצאה היא סיסמאות שמרגישות מסובכות לבני אדם, אבל לא באמת קשות לפיצוח, וגם קשות לזכור. שילוב גרוע משני הכיוונים.

מה באמת קובע כמה סיסמה חזקה

אורך. זהו, זה כמעט כל הסיפור. סיסמה ארוכה יותר דורשת יותר זמן פיצוח, בצורה משמעותית יותר מסיסמה קצרה עם המון סימנים מוזרים. סיסמה בת 16 תווים פשוטים חזקה משמעותית יותר מסיסמה בת 8 תווים "מסובכים".

מכאן הגיעה השיטה שהיום מומלצת בפועל בעולם אבטחת המידע - סיסמת מעבר, או Passphrase. במקום מילה אחת עם שיבושים, לוקחים כמה מילים לא קשורות ומחברים אותן. למשל: כלב-כתום-רוכב-מתגלגל. זה ארוך, קל לזכור כי זה מספר תמונות מטורפות בראש, וקשה מאוד לפצח כי אין תבנית ברורה.

איך בונים סיסמת מעבר טובה

בוחרים ארבע עד חמש מילים אקראיות, שלא קשורות זו לזו בהיגיון (לא "אני-אוהב-פיצה" - זה ניחוש). מחברים אותן עם מקף, רווח או תו אחר. אפשר להוסיף מספר באמצע כדי להוסיף מורכבות בלי לפגוע בזכירה, למשל כלב7כתום-רוכב-מתגלגל.

התוצאה היא סיסמה שקשה מאוד לפצח בכוח גס, וקלה לזכור כי המוח שלנו טוב בלזכור תמונות וסיפורים, הרבה יותר טוב מלזכור T7$mK9!q.

אבל הכלל הכי חשוב הוא לא איך בונים סיסמה - זה לא לחזור עליה

גם הסיסמה הכי חזקה בעולם הופכת חסרת ערך אם אתם משתמשים בה בעשרות אתרים. הסיבה היא פשוטה - כשאתר אחד נפרץ (וזה קורה כל הזמן, גם לאתרים גדולים ומוכרים), הפרטים שלכם משם, כולל הסיסמה, מגיעים לרשימות שתוקפים מוכרים ומשתפים. אם השתמשתם באותה סיסמה בג'ימייל, זה בדיוק מה שהם ינסו שם קודם.

זה נקרא Credential Stuffing, וזו אחת הדרכים הנפוצות ביותר שחשבונות נפרצים בפועל, לא כי הסיסמה עצמה חלשה, אלא כי היא שימשה במקום אחר שדלף.

אז מה עושים בפועל

כלל אצבע פשוט: לכל אתר חשוב (מייל, בנק, רשתות חברתיות) - סיסמה שונה. לאתרים פחות קריטיים אפשר להיות קצת פחות קפדניים, אבל עדיף להתרגל לגיוון.

אני יודע מה אתם חושבים - "אין סיכוי שאני אזכור עשרות סיסמאות שונות". ואתם צודקים, וזו בדיוק הסיבה שהפתרון האמיתי הוא לא לזכור אותן בכלל, אלא להשתמש בתוכנה שעושה את זה בשבילכם. כתבתי על זה בהרחבה בפוסט נפרד על מנהלי סיסמאות, אבל בקצרה - זה כלי שיוצר לכם סיסמה חזקה וייחודית לכל אתר, שומר אותה בצורה מוצפנת, וכל מה שאתם צריכים לזכור זו סיסמה ראשית אחת וחזקה.

ומה עם אימות דו-שלבי

סיסמה, גם החזקה ביותר, היא רק שכבת הגנה אחת. בכל מקום שמאפשר לכם להפעיל אימות דו-שלבי (קוד נוסף שנשלח לטלפון או נוצר באפליקציה) - כדאי מאוד להפעיל אותו. גם אם הסיסמה שלכם איכשהו דולפת, התוקף עדיין לא יכול להיכנס בלי הטלפון שלכם.

אם זה מעניין אתכם ברמה עמוקה יותר

אם אחרי כל זה אתם סקרנים לגבי איך בפועל תוקפים פורצים סיסמאות, מה זה בדיוק Hash, ולמה חלק מהאתרים עדיין שומרים סיסמאות בצורה גרועה - זה בדיוק סוג הדברים שנלמדים בעולם בדיקות החדירות. יש לנו קורס בודק חדירות חינמי שצולל לעומק לתוך הנושאים האלה, אם בא לכם להבין את זה לא רק כמשתמש אלא גם מהצד הטכני.

בכל מקרה, אם יש לכם שאלות על סיסמאות, אבטחה, או פשוט בא לכם קהילה שמדברת על הדברים האלה - מוזמנים להצטרף.

הצטרפו לקהילה בדיסקורד