אבטחת מידע/סיסמאות ואיך לשמור עליהן
למי מאיתנו אין סיסמאות? לאתר האינטרנט של הבנק, לחשבון הדוא"ל, לפייסבוק ולעוד עשרות שירותים. סיסמאות אלה אינן קיימות סתם ככה. הן קיימות כדי למנוע מפורצים להשתמש בזהותך או לגנוב את פרטיך האישיים.
בפרק זה תלמד לא רק איך לבחור סיסמה בטוחה יחסית, שלא תהיה קלה לגילוי, אלא גם כיצד לשמור עליה.
בחירת סיסמה חזקה
[עריכה]לבחירת סיסמה בטוחה, נהוג להשתמש בכללי המפתח הבאים:
- אורך הסיסמה: ככל שהסיסמה ארוכה יותר, כך גודל הקושי לגלות אותה. במקרה שידוע לנו שאורך הסיסמה הוא רק שלוש ספרות, יהיה מספר מוגבל של אפשרויות, ופורץ מתוחכם יוכל לנסות את כולן ולפרוץ אותה.
- הרכב הסיסמה: סיסמה שתהיה מורכבת מספרות בלבד, או מאותיות בלבד, תהיה קלה יותר לזיהוי מאשר סיסמה שבה קיימות ספרות ואותיות בערבוביה.
רצוי שאורך הסיסמה יהיה בין 10 - 25 ספרות לפחות.
- אקראיות הסיסמה: בחירה של סיסמה שקל לזכור אותה, מאפשרת לפורץ לגלות אותה בקלות רבה, במקרה שיערוך תחקיר אודתיך. דוגמאות לסיסמאות גרועות:
- תאריכי לידה שלך או של קרוביך וחבריך
- שמות של מכרים, קרובים או חברים
- שמות של ספרים, סרטים, שירים וכו'
- ועוד...
במקרה שהפורץ יערוך תחקיר מקיף עליך ועל עברך, הוא עשוי לגלות את הסיסמה.
- סיסמה אקראית באמת ניתן להפיק באמצעות מחשב, באתרים כמו אלה:
סיסמה כזאת קשה מאוד לפרוץ, אך מצד שני, קשה גם לזכור אותה.
- ניתן לבחון חוזק סיסמה על-ידי אתר דוגמת
ניהול סיסמאות
[עריכה]רצוי שהשימוש בסיסמאות יתנהל לפי הכללים הבאים:
- אין להשתמש באותה סיסמה למספר שירותים
- אין להשתמש בסיסמה שאורכה קצר מ-10 תווים
- יש להחליף את הסיסמה אחת לשבוע - שבועיים
- יש לשמור על סודיות הסיסמה
שמירה על סיסמאות
[עריכה]אם תשתמש בסיסמאות לפי הכללים האלה, תגלה במהרה שמצטברות באמתחתך הרבה סיסמאות ארוכות וקשות לשינון, ואף יותר קשה מזה, קשה לשייך איזו סיסמה קשורה לאיזה שירות...
הפתרון לבעיה זו הנו בעיה בפני עצמו.
בצורה פשוטה, ניתן לרשום את כל הסיסמאות על דף נייר, לשים אותו בארנק, ולשכוח מהבעיות... (ויום אחד לגלות שחרב עליך עולמך, הגרוע מכל קרה, וכייסו אותך).
אם כך, זה אינו פתרון המניח את הדעת.
ברמת העיקרון, רצוי לשנן את הסיסמאות בהן אתה משתמש, ולא להשאיר שום תיעוד של מהותן.
גם פתרון זה אינו יעיל (נסה לשנן את הרצף הבא, ותבין למה: kj4fg56ghjd58k3ln6duigh8g. עכשיו נסה לשנן עשרה כאלה).
תוכנות לניהול סיסמאות
[עריכה]קיימות תוכנות יעודיות המאפשרות יצירת סיסמאות אקראיות, שמירתן בצורה מסודרת, גיבוי שלהן, והגנה עליהן באמצעות סיסמה ראשית אחת.
יתרונות וחסרונות
[עריכה]יתרונות:
- שימוש נוח
- אפשרות לשמירה של עשרות סיסמאות ארוכות ומסובכות לשינון
- הצפנת הסיסמאות השמורות (קיים בחלק מהתוכנות בלבד)
- כניסה אוטומטית לאתרי אינטרנט (קיים בחלק מהתוכנות בלבד)
חסרונות:
- סיסמה ראשית אחת:
- אם תשכח או תאבד אותה, אתה נעול בחוץ!
- אם פורץ יצליח לגלות אותה, אתה נעול בחוץ, והוא שולט בכל הסיסמאות שלך!
- כללי:
- אם הקובץ המכיל את הסיסמאות נמחק או ניזוק באיזו שהיא דרך, לא תוכל להשתמש בשירותים שדורשים סיסמה!
- אם המחשב ניזק בצורה כלשהיא, יתכן שלא תוכל להשתמש בשירותים שדורשים סיסמה!
תוכנות מומלצות
[עריכה]- KeePass - תוכנה פופולארית לניהול סיסמאות. כוללת:
- מחולל סיסמאות אקראיות
- אפשרות לכניסה אוטומטית לאתרים
- גיבוי אוטומטי
להורדה מהכתובת: http://keepass.info/
(עבור מ"ה חלונות, ומכשירים ניידים)
להורדה בגירסה ניידת (לדיסק און קי): http://portableapps.com/apps/utilities/keepass_portable
- עבור מערכת הפעלה OS X (מקינטוש)
- תוכנת Keychain Access המאפשרת יצירה, ניהול ושמירה של סיסמאות.
- מגיעה מובנית במערכת ההפעלה.
- בלינוקס אובונטו
- תוכנת ניהול סיסמאות מובנית.
גיבוי סיסמאות בטוח
[עריכה]אם ישנו צורך בגיבוי של מפתח הצפנה ארוך (מפתח PGP פרטי לדוגמה), ניתן לחלקו למספר חלקים, ולהעביר כל אחד מהם לאדם אחר, לשמירה.
אף אחד מה"שומרים" לא יוכל להשתמש במפתח, אך במקרה חירום תוכל לפנות אליהם לצרכי שחזור.
שים לב להמלצות הבאות:
- תן את המפתח או חלקו למשמורת רק לאדם בו אתה בוטח ב-100%, או לעו"ד שאין אפשרות לשחדו.
- אל תתן לאיש מה"שומרים" לדעת על האחרים. בטחון השיטה כרוך בכך!.
- דאג לכך שאף אחד מהשומרים לא יוכל לשחזר את המפתח מתוך החלק שיש בידו.