כישלון הסיסמה של טוויטר מראה כי מגיע לנו אבטחה טובה יותר.

ממש לאחרונה, טוויטר נפגעה על ידי האקרים שהצליחו להשיג כמה נתוני משתמשים כולל סיסמאות 'חשיש' לכמה מאות אלפי משתמשים. זה היה אפשרי עבור האקרים להפעיל תוכניות לפיצוח סיסמאות כדי להשוות מיליוני מילים במילון וכתיב חלופי לרשימת הסיסמאות הגיבוב כדי לראות אם תואמות.

לזכותו של טוויטר ייאמר שכולם יצרו קשר במהירות ואיפוס סיסמה גורפת הושם במקום לכל אחד מושפע, ואילץ משתמשים להגדיר סיסמאות חדשות למקרה שההאקרים יצליחו להבין מה הסיסמאות שלהם היו. למרות שמצד אחד זה הוכיח את הגישה הפרואקטיבית של טוויטר לבעיות אבטחה, זה גם מראה פגיעות מרכזית באופן שבו אנו מגנים על הנתונים הפרטיים שלנו - הסיסמה.

אנו מסתמכים על סיסמאות כל היום, כל יום. מחשבון iTunes שלנו לדואר אינטרנט לרשת המחשבים בעבודה אנו משתמשים בשילובי שם משתמש וסיסמאות כדי לשמור על חיי הדיגיטל שלנו. אני אומר חיים דיגיטליים, אבל יש יותר ויותר רק הממברנות הדקות ביותר בין אלה לחיינו האמיתיים, 'האמיתיים'. אם מישהו היה מוצא מחברת עם כל הסיסמאות שלך שרשוטות בדפים שלה, הוא עלול להרוס לך את הכספים, את העבודה ואת חלק ניכר מחיי החברה שלך לפני שתוכל לומר את שם הנעורים של אמא.

עברו למעלה מחמישים שנה מאז נוצרה מערכת סיסמאות המחשב הראשונה וכארבעים מאז יושמה לראשונה השיטה של ​​'גיבוב' סיסמאות לשמירת אבטחתן. למרבה הצער, הטכנולוגיה לא עברה משם הרבה מאוד.

הבעיה עם סיסמאות, כפי שמזכיר לכם כל מל"ט ממסייע ה- IT הסובל מאורך התחתון של הזכוכית שלהן, היא שהן קלות יותר מדי לנחש או בטוחות מדי לזכור. העצות הסטנדרטיות ליצירת סיסמה נראות כך:

• אל תשתמש במילים אמיתיות
• אל תשתמש במידע אישי (שם הנעורים של אמא, שם חיית המחמד הראשונה שלך) כפי שניתן לנחש או לגלות.
• השתמש במספרים ותווים לא אלפאנומריים במידת האפשר

הכל עצות טובות על פניו, אבל באמת הן רק שלוש דרכים לומר 'הפכו את הסיסמה שלכם לקשה כל כך להיזכר בכם צריך לרשום אותו על פוסט-איט ולהדביק אותו על לוח המסך ', וחבל שכן העצה הרביעית היא בִּקְבִיעוּת

• לעולם אל תכתוב את הסיסמה שלך, במיוחד על Post-It שתקוע על לוח המסך

קמט נוסף לבעיית הסיסמה הוא ש"קל לנחש "לא אומר שאפשר לנחש אותו. מרבית מערכות הסיסמאות פועלות באמצעות אלגוריתם חד כיווני. אתה מריץ דרכו סיסמה והיא יוצרת 'חשיש' - ערבוביה של דמויות מבולבלות למראה. רק הסיסמה שלך תיצור את החשיש הזה על ידי מעבר באלגוריתם, אך אינך יכול להשתמש בחשיש כדי להבין מה הסיסמה. זה רחוב חד סטרי.

אחת הדרכים של האקר להתקרב לבעיה זו היא משהו שנקרא 'התקפה מילונית'. הם אוחזים בקובץ סיסמאות הגיבוב (לעתים קרובות מאוחסנים בשטח פתוח בגלל האופן בו קוד הכניסה צריך גש אליהם) והשתמש בתוכנה כדי להריץ אלפי מילים דרך האלגוריתם עד שהם ימצאו אחת שתואמת את אחת hashes. המהירות של המעבדים המודרניים פירושה שאפשר לעבור על כמה מילונים שלמים ב מספר שפות, בתוספת שגיאות כתיב וערפולים 'חכמים' כמו החלפת 'e' ל- '3 יחסית זמן קצר.

כל גלגלי העיניים וקצות האצבעות

אם סיסמאות כל כך פגומות מטבען, מדוע אנו משתמשים בהן? היו תחליפים מוצעים רבים עבור הסיסמה בחמישים השנים האחרונות. הביומטריה נראית כמו דרך מבטיחה - אם הבעיה נעוצה בזיהוי אדם, ללא ספק ייחודי מאפיינים כגון טביעות אצבע, דפוסי הקשתית של האדם או אפילו ה- DNA שלהם עשויים להיות טובים יותר מסוד מילת מפתח. אחד הרעיונות האחרונים כולל שימוש של אדם דופק לב כדי ליצור דפוס ייחודי.

למרבה הצער, לביומטריה יש פגם חמור - הם מסתמכים על העובדה שלא ניתן להעתיק אותם. אם מישהו היה מתכנן דרך להעתיק את התכונות הייחודיות שלך אז המשחק מסתיים. ואכן, הוכח שזה אפשרי. אתה יכול לזייף טביעת אצבע עם טביעת ג'לטין לקוח מהדפס סמוי על כוס. במקרה הקיצוני, תמיד תוכל לחתוך את חלק הגוף הנדרש כדי להתנועע מול חיישן.

גרוע מכך, ברגע שביומטריה שלך נפגעת, אי אפשר לשנות אותם. אתה יכול לחשוב על סיסמה חדשה, אך חשיבה על אצבע חדשה לא תביא אותך לשום מקום.

תוכניות אחרות כרוכות בשימוש CAPTCHAs להצפין סיסמה קשה עם קלילה או אפילו לנתח את ההתנהגות שלך מהדפסה קולית לזיהוי הליכה (קצב ההליכה שלך) כדי להוכיח שאתה מי שאתה אומר שאתה. למרבה הצער, אלה מסובכים מדי או לא מוכחים. הם יכולים להיות לא רק נסדקים, אלא גם בקלות.

מרכזי מפתח או תעודות זהות הם אפשרות אחרת, אך אלה עלולים ללכת לאיבוד או לגניבה, והידרדרותם לידי גנב עלולה להיות קטסטרופלית.

יש ציטוט המיוחס לווינסטון צ'רצ'יל שאומר: "דמוקרטיה היא צורת השלטון הגרועה ביותר, למעט כל אותן צורות אחרות שנשפטו." זה אותו דבר עם סיסמאות. לא מושלם, אבל הכי טוב במה שהם עושים. מה דרוש למשהו כדי לשפר אותם.

המשהו הזה הוא אותנטיות דו-גורמית. כשאתה מתחבר עם שם משתמש וסיסמה, אתה מאותגר בקוד שאתה חייב להגיב אליו באמצעות תוכנה כלשהי כדי ליצור את התשובה הנכונה.

גוגל כבר תאפשר לך להגדיר את זה עבור Gmail ואפילו תעשה עבורך את חלק האתגר / התגובה ותשלח לך את התשובה הנכונה להקליד. אם אתה מעדיף, תוכל להשתמש באפליקציה עבור Android או iOS כדי ליצור את התשובה הייחודית במקום.

סוג זה של אימות אתגר / תגובה הוא מסוכן בפני עצמו - אחרי הכל, אתה יכול לקבל את הטלפון שלך נגנב ויהיה במעלה הנחל - אבל בשילוב עם שם המשתמש / הסיסמה משולב זה נותן שכבה נוספת של אימות. מכריע, כזו שקשה להאקר להריץ התקפה מילונית מהמרתף שלהם.

גוגל כבר מציעה זאת, אם כי לא כברירת מחדל *. גם אתרים אחרים צריכים. יתכן שלא תחשוב שאתה זקוק לאימות דו-גורמי באתר כמו טוויטר, אך מתן גישה למישהו לקטע של זהותך יכול להיות בעל השלכות בלתי צפויות. מישהו שמתחזה אלייך לאתר אחד יכול לעזור לו להנדס מידע ממך או מחבריך, שיוכל להעניק להם גישה לנתונים אחרים וחיוניים יותר.

הדברים היחידים שעוצרים את ההמראה של אימות דו-גורמי הם הוצאות יישומם וחינוך משתמשים לגבי פגיעות בסיסמא. האחרון לצערנו יתפשט ככל שיותר אתרים נפרצים וסיסמאות מהונדסות לאחור. הראשון צריך להיות משהו שאנו דורשים כלקוחות. אולי לא עבור כל אתר אלא עבור דוא"ל, מסחר אלקטרוני, אתרי היכרויות וכל מדיה חברתית שאכפת לנו ממנו אמורה להיות אפשרות. ישנם סימנים לכך טוויטר מתכנן לעלות מדרגה ולהצטרף לגוגל במאבק למען אבטחת כניסה טובה יותר, אך מה עם Yahoo Mail, Facebook, Microsoft וכל שאר האתרים שאנחנו מסתמכים עליהם?

המציאה הפאוסטיאנית המעטה שאנו מבצעים עם שירותי אינטרנט בחינם היא זו - אתה נותן לנו שירות שימושי, אנו נותנים לך נתונים אודותינו שיהפכו לכסף. בכך אנו סומכים על אתרים שישגיחו על הנתונים הללו והגיע הזמן שחברות נוספות יתייחסו לאחריות זו ברצינות.

האם נפרצתם פעם? ספר לנו על חוויותיך בתגובות.

(* עליך להתעמק בחשבונך הגדרות ואנחנו ממליצים לך לעשות זאת.)