מדוע שינויים תכופים של סיסמא רק פוגעים באבטחה

2024 מְחַבֵּר: Malcolm Clapton | [email protected]. שונה לאחרונה: 2023-12-17 03:56

שינוי תכוף של סיסמה נקרא אחת הדרכים היעילות ביותר להגן על מידע. עם זאת, לא הכל פשוט כמו שאומרים. למה - קרא את המאמר שלנו.

סביר להניח שקיבלת הודעת דוא"ל לפחות פעם אחת, שבה הומלץ לך לשנות את הסיסמה שלך. ככלל, מכתבים כאלה מגיעים משירותי דואר וממנהלי רשתות ארגוניות אחת לשישה חודשים. וכאן נוצרת בחירה: עקבו אחר עצתם של "היודעים הכי טוב" ושנו את הסיסמה או התעלמו מהדרישה והשאירו הכל כמו שהוא. שירותי הביון הבריטיים, שתפקידיהם כוללים מודיעין אלקטרוני והגנת מידע של הצבא, מדברים בעד השני.

ב-7 במאי, לרגל יום הסיסמה הבינלאומי, נציגים מאחת מיחידות מטה התקשורת הממשלתי (GCHQ) פרסמו הבהרה מדוע אין לשנות את הסיסמה לעתים קרובות מדי.

בדרך כלל מדיניות האבטחה מחייבת אותנו להשתמש רק בסיסמאות מורכבות, שקשה לנחש ובהתאם, לזכור. סיסמאות צריכות להיות ארוכות ככל האפשר ואקראיות ככל האפשר. אנחנו די מסוגלים לנהל זוג סיסמאות כאלה, אולם כאשר הניקוד מגיע לעשרות, המצב הופך לבלתי נשלט.

קבוצת אבטחת תקשורת אלקטרוניקה CESG

המצב מחמיר בשל העובדה שאסור לנו להמשיך להשתמש בסיסמה הישנה, גם אם היא עומדת בדרישות האבטחה הגבוהות ביותר. במקרה זה, אדם אינו מתפלסף בערמומיות ואינו פועל בצורה הנבונה ביותר:

1. יוצר סיסמה חדשה, משנה מעט את הישנה. תוקפים יכולים לנצל את הפער הזה. אם הם כבר ידעו את הסיסמה הקודמת, סביר להניח שלא יהיה להם קשה למצוא סיסמה חדשה. יתרה מכך, משתמשים לרוב שוכחים את הסיסמה החדשה בעצמם, והדבר כרוך באי נוחות, אובדן זמן ופרודוקטיביות.
2. מחליש את השילוב הישן. אנשים מפשטים בכוונה את הסיסמאות החדשות שלהם כדי לארוז אותן כראוי במוחם. אותיות גדולות, תווים מיוחדים ומספרים נופלים מתחת לסכין. כמובן, המשתמש רק מפסיד מזה.
3. רושם את הסיסמה החדשה שלו על הנייר ומשאיר אותה זמינה כמעט בחופשיות. ברור שהתנהגות זו הורגת לחלוטין את כל הפואנטה של ההליך.

"זהו פרדוקס: ככל שאנו נאלצים להחליף סיסמאות לעתים קרובות יותר, כך אנו פגיעים יותר. במבט ראשון, זה נראה הגיוני לחלוטין להחליף סיסמאות לעתים קרובות ככל האפשר, אבל בפועל מראה שזה לא המקרה", מסכמים מומחי אבטחה.

כמובן, לאחר שקראת את מה שקראת, אל תזניח את כל הבקשות לשנות את הסיסמה שלך. לדוגמה, אינך יכול להתעלם מפרצות נתונים גדולות כמו זו שאירעה ב-2013 עם חשבונות Adobe. במקרים כאלה, תצטרכו להמציא סיסמה חדשה ואולי גם להרכיב אותה מאימוג'י: אומרים שזה אפילו בטוח יותר.

בתגובות לכתבה המקורית הביע אחד הקוראים את הדעה ששירותי הממשלה נותנים בכוונה ברווזים כאלה כדי להרגיע את ערנות ההמונים. החישוב פשוט: חשבונות שכבר פרצו לא יצטרכו להיפתח מחדש (בקנה מידה תעשייתי, אחרי הכל). מישהו תמך ברעיון הזה, אבל מישהו יעץ לאזעקה לקחת כדור מהקונספירציה האוניברסלית.

מה דעתך, האם כדאי לשנות את הסיסמה שלך אם היא מאובטחת ואין סימנים לגישה לא מורשית לחשבון שלך?