למה לפעמים כדאי להתעלם מעצות של מומחי אבטחה.

בכל החברות בהן עבדתי עד כה דרשו ממני להחליף סיסמא למחשב בכל כמה שבועות. אם להיות כנה, זה הביא לי את הסעיף. עד שבחרתי לעצמי סיסמא טובה וחזקה ושיננתי אותה, הכריחו אותי לשנות אותה.
הנוהג הזה, של החלפת סיסמא כל פרק זמן קבוע, נחשב לכלל ברזל בעולם אבטחת המידע-אבל יש מי שמטילים ספק ביעילותו. סטיב גיבסון, מהפודקאסט המצוין Security Now מעלה כמה שאלות נוקבות על יעילותם של כמה מכללי הברזל האלה. אני לא אגזים אם אומר שהאזנה לפרק הזה ממש זיעזעה את כל תפיסת העולם שלי לגבי אבטחת מידע. הנה מספר דוגמאות שהעלה סטיב בפרק שעסק בעניין.

1. שינוי מחזורי של סיסמא: חובה? לא בטוח. סביר להניח שמי שגילה את הסיסמא לחשבון הבנק שלכם לא עומד וממתין. הוא פורץ לחשבון *עכשיו* וגונב כסף. זה שאתם מחליפים סיסמא כל שבועיים לא משנה דבר, מכיוון שהגנב לא מחכה שבועיים. החלפה תכופה של סיסמא רק משגעת את המשתמשים, ואינה תורמת לאבטחת המידע דבר. עדיף שהמשתמש יצור לעצמו סיסמא חזקה אחת וילמד אותה בעל פה, וכך ימנע את הפריצה מלכתחילה.

2. אל תכתוב את הסיסמא על דף- תשנן אותה בעל פה! רעיון טוב? לאו דווקא. ברוס שנייר, גורו אבטחה ידוע, טוען שאם אנחנו אוסרים על המשתמש לרשום את הסיסמא על דף, אנחנו מכריחים אותו ליצור סיסמא שקל לו לזכור- וזו *בהכרח תהיה סיסמא פגיעה יותר מסיסמא אקראית שקשה לזכור. ומה הסיכוי שמישהו יחטט לנו בניירות ויגלה את הסיסמא? לא גבוה, ואם הוא כבר מחטט לנו בניירות- אנחנו בצרות רציניות גם ככה.

3. אל תשתמש באותה הסיסמא בהרבה אתרים! זה ממש בעייתי. אני לא מכיר אדם אחד שיש לו סיסמא שונה לכל אתר- זה לא מעשי, ברוב המקרים. אז מה האלטרנטיבה? כדאי לזכור שגם אם הגרוע ביותר התרחש ונתגלתה הסיסמא שלך לחשבון הבנק וכסף נגנב ממנו- הבנק מחזיר לך את הכסף. יש חוק כזה, אם אני לא טועה. לכן כדאי אולי לשקול את היעילות של יצירת סיסמא נפרדת לכל אתר לעומת הנזק המוחשי שעשוי להגרם לך במקרה של פיצוח הסיסמא באחד האתרים.

4. שימוש בתעודות-דיגיטליות הוא ערובה לאבטחה טובה. למי שלא מכיר, תעודות דיגיטליות (Certificates) הן אישורים שהאתר מהימן, ושגוף שלישי רציני כמו Verisign בחן אותו ווידא שאין מדובר בנוכל. מדובר בחלק מפרוטוקול אבטחה המכונה SSL. אבל בשימוש רגיל, הפעמים היחידות שאנחנו נתקלים במושג הזה הוא כשהודעה בסגנון 'התעודה של אתר זה אינה בתוקף'. רובנו נוטים להתעלם מההתראה הזו, מכיוון שאנחנו בטוחים שהכל בסדר, בסך הכל. אבל 'הרעים', אתרי הפישינג והרמאות, בכלל לא קונים 'תעודות יושר' שכאלה! הם מסתמכים על שיטות הטעייה אחרות, כמו שינוי שם האתר כדי שייראה כמו שם של אתר ידוע וכו'. במילים אחרות, אין להם בכלל אבטחת SSL….לא תקבלו שום התראה ושום הודעה. כל המאמץ המושקע בתעודות דיגיטליות מושלך לפח.

אז מה כל זה אומר? לאנשים שעוסקים באבטחה והנושא הזה חשוב להם, כדאי להמשיך ולהקפיד על הכללים הבסיסיים. הם מוכנים להשקיע את האנרגיה והמאמץ בשינון סיסמאות וכו', וזה בטח לא יכול להזיק.
אבל לאנשים הפשוטים, להורים ולאחים ולחברים שאין להם מושג במחשבים, זה לא ממש משנה. אם נכריח אותם להחליף סיסמאות ולזכור אותן בעל פה וכו', הם פשוט יתייאשו וימשיכו לחשוב ש'מחשבים זה מסובך'. ההקפדה על אבטחת מידע מקסימלית עשויה לדחוק אותם החוצה מהעולם הזה בכלל, או לגרום להם לזלזל בכל העניין ולהרים ידיים בשאת נפש.

גישה די מהפכנית, לא? מה דעתכם?
נשתמע,
רן

פוסטים קודמים בנושאים דומים:
פרק 63: מה מסתתר בתוך הטלפון של פריס הילטון? על הנדסה חברתית.
ביל גייטס מחלק מיליונים ואנחנו לא שמענו על זה?
אותי? מנסים לדוג..אותי?

1 Response

  1. עופר הגיב:

    ראשית אציין שאני מסכים בכל פה עם העצות. הן נכונות מאוד. מעצבן מאוד שדורשים ממך סיסמא קשה (כשההגדרה "קשה" היא סובייקטיבית, ואתה יודע שהסיסמא האהובה עליך היא קשה מספיק, אבל לא עומדת בכללי ה"קושי" שהוגדרו ע"י אתר מסוים), מעצבן מאוד שדורשים ממך להחליף אותה בלי להשאיר לך שיקול דעת אם אתה רוצה להחליף או לא.

    אבל, אני רוצה להציע טיעוני-נגד לחלק מהדוגמאות שהועלו. מדובר במצבים בהם יש הגיון מסוים באכיפת מדיניות סיסמאות בכדי "להגן על ההמון".

    שינוי מחזורי של סיסמא + שימוש באותה סיסמא בהרבה אתרים:

    יש טעם בהחלפת סיסמא תקופתית (שוב, לא כחובה אלא כרשות, אבל אז יהיה מי שיגיד שאז אף אחד לא יעשה זאת). לאחרונה נפרץ אתר "הומלס" ונגנבו עשרות אלפי מיילים וסיסמאות של אנשים שנרשמו אליו במהלך מספר שנים. אלו שמשתמשים בסיסמא שהיתה רשומה להם ב"הומלס" באתרים שונים או בחשבון המייל שלהם, נפגעו מכך שנכנסו לחשבונותיהם האחרים, ולאו דווקא מכך שנכנסו לחשבונם ב"הומלס". אילו היו מחליפים סיסמא כל שבועיים (ואפילו כל מספר חודשים), בעיה ספציפית זו היתה נמנעת בחלקה. רבים מהחשבונות ב"הומלס" הם בני מספר שנים, ואנשים שאני מכיר אישית שנפגעו מהפריצה הנ"ל בקושי זכרו שפתחו שם חשבון, אי שם כשהיו צעירים וחיפשו דירה עם שותפים.
    אבל שוב – השינוי המחזורי צריך להיות רשות ולא חובה. והחשוב מכל: כותבי אתרים חייבים טיפה מודעות עצמית! לא כל אתר הוא בנק או קופת חולים, ולא תקרה קטסטרופה גדולה אם ייכנסו לי לחשבון של איזה פורום נידח. לא כל אתר צריך להציק לי להחליף סיסמא. דווקא הבנק – כן. אגב, אני לא בטוח שכסף שייקחו לך מהחשבון ע"י מציאת סיסמתך בהכרח ישוב אליך. אם תגלה את זה לאחר שבוע או יותר, ייתכן והתהליך יהיה בלתי-הפיך ויטענו שהדבר קרה עקב רשלנותך הבלעדית.

    שימוש בתעודות דיגיטליות:

    נכון, אנשים רבים לא מבחינים האם הם תחת חיבור מאובטח (SSL) או לא. באחד האתרים שבניתי בעבר, שמתי ציור גדול של מנעול בדף בו ממלא המשתמש את פרטי כרטיס האשראי שלו. כמובן שהדף היה מאובטח ב-SSL. יום אחד, משיקולים גראפיים שונים, הסרתי את ציור המנעול. התקשרה לקוחה ותיקה לומר ש"דף פרטי כרטיס האשראי כבר לא מאובטח, אין את ציור המנעול"… ברור שזו בורות של משתמשים.
    אבל –
    אני לא משתמש בור, וכמוני עוד הרבה אחרים. מי שמבין מה זה HTTPS בודק שהוא קיים כאשר מבקשים ממנו להקליד נתונים רגישים. אי אפשר לומר שהמנגנון מיותר.
    כאנקדוטה אספר שבעבר השתעשעתי בלבדוק לגבי אתרים שונים האם אפשר להיכנס למערכת הניהול שלהם בפירצה קלה הנקראת SQL Injection. גיליתי אתר (אמריקאי) המוכר משחקי מחשב, שהיה חשוף לפירצה זו, ובמערכת הניהול הוצגו כל ההזמנות לצד מספרי כרטיסי האשראי, בדפים רגילים לא מאובטחים. כמובן שלגולש הרגיל, דף פרטי כרטיס האשראי אותו הוא ממלא היה מאובטח. איך עוזר דף מאובטח כאשר במערכת הניהול נצפים פרטי כרטיס האשראי באופן לא מאובטח? ואני לא מדבר על הפירצה שדרכה נכנסתי (זה עניין אחר וחמור לכשעצמו) אלא על עצם העובדה שאין שום תועלת בדף מוצפן שבו נרשמים פרטי כרטיסי האשראי, כאשר במקביל ניתן לצפות בהם בדף לא מוצפן.

כתיבת תגובה

האימייל לא יוצג באתר.