סיסמא מחוזקת לחברה צודקת

הפוסט הקודם, שמוגן בסיסמא, גרם לי להיזכר בכללים ליצירת סיסמא טובה, וזו הזדמנות מצוינת ללמוד מיומנות חשובה לחיים בעידן הדיגיטלי.

למה צריך סיסמא טובה?

כי כלמיני מרעין בישין רוצים לדעת מה קורה לך בחיים, עם מי את בקשר ומה עשית בקיץ שעבר. וגם דברים יותר גרועים כמו לגנוב לך את הזהות, את חשבון המייל או את הכסף מפיי-פאל.

על מה להגן בסיסמא טובה?

על חשבון המייל, על המחשב עצמו (עם סיסמאת כניסה למערכת ההפעלה, שרצוי שתהיה מערכת מאובטחת), על תיקיות בסמארטפון, על הארד-דיסק נייד – על כל דבר. גם על חשבון הפייסבוק, למרות שפייסבוק ופרטיות לא הולכות ביחד.

מהי סיסמא טובה?

יש רק שני כללים לסיסמא טובה:

  • קל לזכור אותה (כדי שתשתמשי בה)
  • קשה לנחש אותה (כדי שאחרות לא ישתמשו בה). מהכלל הזה לפעמים נובע שכדאי שבסיסמא יהיו גם אותיות גדולות (CAPITAL) וגם קטנות, גם ספרות וגם סימנים מיוחדים, כדי שאם מחשבים ינסו לנחש את הסיסמא (מחשבים בשירות אנשים כמובן) אז יקח להם הרבה יותר זמן ליצור צירופים שונים.

לרוע המזל שני הכללים האלה סותרים זה את זה. למשל הנה סיסמא שקל לזכור: if i can't dance it's not my revolution. אבל אם מישהי מכיר אותך קצת, אולי יהיה לה קל לנחש שתבחר את הסיסמא הזו. והנה סיסמא שקשה לנחש: 1f1!D@1tXmyR9 אבל מי יכול לזכור אותה? ובכן – בפוסט זה תלמדו איך בשישה צעדים קלים אפשר להגיע מהמשפט המאמם המיוחס לאמה גולדמן לקישקוש האקראי שיכשיל כל נסיון של השב"כ לנחש את הסיסמא שלכן. בואו נתחיל:

1 – בחירת משפט קצר

על המשפט להיות לא יותר מדי מזוהה איתך. כלומר, המשפט שאני הולךת להשתמש בו בדוגמא הוא בשום פנים ואופן לא קביל בתור משפט טוב להתחיל איתו סיסמא. תבחרי משפט משיר שאתה אוהבת, ציטוט חמוד, לא משהו שאת נוהגת לומר בכל הזדמנות, משהו קצת יותר נדיר. אבל משפט זכיר. לצורך הדוגמא שלנו אקח את המשפט if i can't dance it's not my revolution אבל אנא אל תשתמשו בו אתןם כדי ליצור סיסמא ולו בגלל שהוא מופיע עכשיו בבלוג פתוח.

2 – שינוי חלק מהמילים במשפט לסימנים שמזכירים לך את המילים

במשפט שלנו שיניתי את המילה can't לסימן קריאה כי סימן קריאה מזכיר לי משום מה אי-יכולת או מכשול, אבל זה לחלוטין אסוציאטיבי ואישי. חשוב שהסימנים יזכירו לך את המילים, וזה בסדר (ואפילו רצוי) אם הסימן לא מזכיר את המילה לאף אחת אחר חוץ ממך. שיניתי גם את המילה not ל X (האות איקס, גדולה, יעני בקפיטל). אז אחרי השלב הזה מתקבל:

if i ! dance it's X my revolution

3 – לקצר

עכשיו, מכל מילה במשפט ניקח אות אחת (אם המשפט ארוך) או שתיים (אם הוא קצר). אפשר את האותיות הראשונות בכל מילה. אמנם יש כאן גם מילים שיש להן רק אות אחת (המילים שקיצרנו לסימנים והאות i שהיא מילה בפני עצמה) אבל זה בסדר, נסתפק באות אחת מהמילים האלה. באותה הזדמנות נשמיט את הרְוַחִים בין המילים, כי בדרך כלל לא מתאפשר לכלול רוחים בסיסמא. הנה קיבלנו:

ifi!daitXmyre

זו כבר סיסמא מצוינת, אבל אנחנו בתנופה, אז למה לעצור? קדימה, לסבך עוד!

4 – ומה עם מספרים?

סיסמא טובה כוללת גם ספרות, אז אפשר להחליף חלק מהאותיות בספרות שמזכירות לנו אותן. לדוגמא, האות i מזכירה לי את הסיפרה 1, והאות e את הסיפרה 9 (בהיפוך ראי). אם נחליף את שלושת ה i ב 1 ואת ה e ב 9 נקבל:

1f1!da1tXmyr9

ניפלא! זו סיסמא מעולה ממש. אבל היא יכולה עוד להשתפר:

5 – אותיות גדולות (קפיטל)

רק ה X גדולה בסיסמא שלנו עד כה. זה לא מספיק. איך לבחור אילו אותיות להגדיל? אפשר את האות הראשונה של כל מילה, אבל אפשר גם רק את האותיות הראשונות של המילים שחשובות בסיסמא הזו. למשל כאן המילים dance ו revolution נראות לי הכי חשובות. אז הגדלתי את ה d וה r וקיבלתי:

1f1!Da1tXmyR9

6 – סימנים מיוחדים

אמנם כבר יש סימן קריאה בסיסמא, אבל לא תמיד מגיעות לשלב הזה עם סימן מיוחד, ובכלל, שני סימנים מיוחדים טובים מאחד. אז בשלב האחרון אפשר להחליף חלק מהאותיות בסימנים מיוחדים. להחליף את ה a בסימן @ זה אמנם צפוי, אבל יעיל. אם אותיות אחרות מזכירות לכןם סימנים אחרים (נגיד האות s אם היתה לנו, יכולה להזכיר את הסימן $) אז זה היה השלב להחליף אותן. קיבלנו:

1f1!D@1tXmyR9

הידד! זו סיסמא שאי-אפשר כמעט לנחש (צריך כנראה מאות שנים כדי לנחש אותה) ושקל (יחסית) לזכור. כל מה שצריך זה לזכור את המשפט if i can't dance it's not my revolution ולזכור את השלבים השונים (זה נעשה קל מאד עם מעט תירגול: הקלדה אחת או שתיים של הסיסמא, בלי להציץ, תגרום לכןם לזכור את השלבים השונים: שינוי מילים לסימנים, קיצור והורדת רוחים, אותיות גדולות, מספרים וסימנים מיוחדים).

תתחדשו🙂

5 תגובות ל-“סיסמא מחוזקת לחברה צודקת

  1. תודה!
    למעשה, נראה שזה לא בדיוק שהוא לא מסכים איתי. הסיסמא שהוא דן בה, מתבססת על מילה קימת מהמילון, שעליה נעשו כל ההחלפות והתוספות שאני מציעה גם בשיטה שלי. אבל בשיטה שלי מתחילות ממשפט, לא ממילה, ולוקחות מהמשפט רק כמה אותיות מכל מילה.

    כלומר, גם על פי שיטת חישוב האנטרופיה* שלו (שאני לא מביןה חלק ממנה) אקבל תוצאה הרבה יותר טובה מזו שהסיסמא החלשה שהוא דן בה מקבלת.

    התרומה המשמעותית שלו היא להראות שסיסמא ארוכה שכוללת 4 מילים אקראיות בסדר אקראי טובה יותר מסיסמא קצרה ממנה, שכוללת לכאורה שום מילה (אבל בעצם כן מבוססת על מילה).

    החבר'ה האלה http://www.passwordmeter.com פיתחו מדד נחמד לבדיקת חוזקן של סיסמאות, וסיסמא בת יותר מ 8 תוים שמיוצרת בשיטה שהמלצתי עליה מקבלת שם ציון 100% או קרוב לכך כמעט תמיד, בעוד סיסמאת ארבע המילים שלו מקבלת משהו קרוב ל 30%, כך שאני מניחה שיש גם ויכוח איך למדוד את האנטרופיה בסיסמא כלשהי.

    [* אנטרופיה = מדד לאקראיות (רנדומליות למי שחיב לא בעברית). סיסמא היא חזקה יותר ככל שהיא אקראית יותר, כלומר לא מבוססת על דפוסים ניתנים לחיזוי]

  2. היי🙂 תודה על הפוסט… (וגם על המד-סיסמאות בתגובה בסוף)
    למדתי כמה דברים..

    אגב.. משהו נוסף שנראה לי שחשוב לציין הוא שלא כדאי להשתמש באותה סיסמא עבור המייל ולשימושים אחרים..
    אם מחשש מבעל/ת האתר (אתרים לפעמים מעבירים בעלות) או מאבטחה ירודה..
    אם יש לגורם זר גישה למייל נוצרת בעיה גדולה כי הוא מכיל הרבה סיסמאות שנשלחות באופן אוטומטי כחלק מהליך ההרשמה להרבה אתרים.. מעבר לתכולה שלו עצמו..

  3. נכון. טוב שאתה אומר את זה. כדאי ליצור סיסמא שונה לכל שירות בו משתמשות. שיטה אחת לעשות את זה היא לקחת את אותה סיסמא בסיסית לכל השירותים אבל לכלול את שם השירות לפני ו/או אחרי הסיסמא הבסיסית, אבל באופן לא צפוי. אבל אנחנו כבר פותחות כאן מדריךה חדש…

  4. פינגבק: סדנאת אבטחה דיגיטלית – סיכום שיעור 1 | בלי גאולה

כתיבת תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s