21 מיליון אנשים בחרו השנה את הסיסמה הזאת
דמיינו שמישהו נועל את דלת ביתו במנעול יקר ומשוכלל, ואז משאיר את המפתח תחוב בו. זה בדיוק מה שעושים מיליוני אנשים מדי יום ברשת. הם מגדירים סיסמה, מרגישים מוגנים, ובוחרים ב-"123456".
לפי מחקר שנתי של חברת NordPass, שניתח פרצות מידע מ-44 מדינות, הסיסמה "123456" היא הנפוצה בעולם, ולא רק השנה. ב-6 פעמים מתוך 7 שנות פרסום הדו"ח היא מובילה את הרשימה. ב-2024 בלבד נמצאה סיסמה זו בשימוש של למעלה מ-21 מיליון חשבונות שנחשפו בפרצות אבטחה. מומחי אבטחה מתארים אותה כאחת הסיסמאות הקלות ביותר לפריצה, כלי תקיפה אוטומטיים מנסים אותה בין הראשונות.
המספרים כבר אינם סוד. דוחות שונים בתחום אבטחת המידע חושפים שמיליארדי שמות משתמש ושילובי סיסמאות מסתובבים בשווקי פשיעה מקוונים – חשופים לחלוטין, לכל מי שרוצה. ובכל זאת, רשימת הסיסמאות הנפוצות ביותר נשארת כמעט זהה משנה לשנה: "סיסמה – password", אדמין – "admin" וששת האותיות הראשונות באנגלית במקלדת משאל למעלה – qwerty. הם הפשוטות ביותר, הצפויות ביותר, והמסוכנות ביותר.
למה המוח בוחר חולשה
אז למה זה קורה? התשובה אינה עצלות, היא פסיכולוגיה טהורה.
המוח האנושי נבנה לשרוד בעולם מורכב, ולשם כך הוא חוסך במאמץ מנטלי בכל הזדמנות: הוא מעדיף דברים מוכרים, קלים לזכירה, שדורשים מינימום חשיבה. שלוש התכונות האלה הן בדיוק מה שמגדיר סיסמה חלשה. משתמש האינטרנט הממוצע מנהל כיום מספר רב של חשבונות מקוונים. לזכור סיסמה ייחודית ומורכבת לכל אחד מהם, זו משימה שהמוח פשוט מסרב לקבל על עצמו.
חוקרי אבטחת מידע מזהים מספר תהליכי חשיבה שמובילים לבחירה בסיסמאות חלשות. הבולט שבהם היא הנטייה הטבעית לחשוב שדברים רעים קורים לאחרים. "מי יפרוץ לחשבון שלי?", "אין לי נתונים מיוחדים", "אני לא אדם מפורסם". אלא שהאקרים אינם פועלים בצורה סלקטיבית, הם תוקפים באופן אוטומטי ואקראי, ומיליוני חשבונות בו-זמנית. חשבון שנראה "חסר ערך" יכול להפוך לנקודת כניסה לחשבונות אחרים, כולל חשבון הבנק.
מנגנון נוסף הוא מה שנקרא "עייפות סיסמאות". כשאתר דורש בבת-אחת שתים-עשרה תווים, אות גדולה, אות קטנה, מספר, תו מיוחד, ושונה מחמש הסיסמאות הקודמות, המשתמש מגיע לנקודת שבירה. מתוך תשישות מנטלית הוא בוחר בשינוי מינימלי: "Ankit@123" הופכת ל-"Ankit@1234". ככל שיש יותר כללים, כך ההחלטה הסופית גרועה יותר.
כשהסיסמה ה״חכמה״ מרמה אתכם
פירצת לינקדאין משנת 2012 חשפה את הבעיה בצורה חדה. כ-117 מיליון סיסמאות דלפו, וחוקרים שפענחו אותן גילו שהסיסמה הנפוצה ביותר הייתה, כמובן, "123456", בשימוש של למעלה מ-750,000 משתמשים. במקום השני היה "linkedin" שזה שם הפלטפורמה עצמה. אנשים בוחרים להשתמש בשם האתר שהם מבקשים לאבטח בתור הסיסמה לאותו אתר.
אבל הממצא המפתיע יותר מגיע דווקא מהסיסמאות שנראות חכמות. ברשימות הסיסמאות הנפוצות ביותר מופיעות שוב ושוב סיסמאות שמקיימות את כל הדרישות הטכניות של האתרים, אות גדולה, תו מיוחד ומספר, אך עדיין נפרצות בקלות. הסיבה: האקרים מכירים בדיוק את ההחלפות הצפויות שמשתמשים נוטים לבצע, כמו @ במקום a, 0 במקום o, או 3 במקום e. כלי פריצה מודרניים כוללים את כל הדפוסים האלה כברירת מחדל, ומה שנדמה למשתמש כסיסמה מתוחכמת, נפרץ תוך שניות ספורות.
היקף הנזק הכלכלי מפשעי סייבר הוא עצום ומוערך במיליארדי דולרים בשנה ברחבי העולם. מחקרים בתחום אבטחת המידע מצביעים על כך שחלק ניכר מהפריצות מתחיל דווקא בניצול סיסמאות חלשות או גנובות, לא במתקפות טכנולוגיות מתוחכמות. כלומר, החולייה החלשה ביותר בשרשרת האבטחה היא לרוב לא הטכנולוגיה, אלא הסיסמה עצמה.
שנייה אחת לפרוץ הכל
הנתונים על מהירות הפריצה מטרידים. כבר ב-2012 הראה חוקר אבטחת המידע ויליאם צ'סוויק כי כרטיס מסך מודרני יכול לנסות 7 מיליארד שילובי סיסמאות בשנייה אחת. סיסמה אלפאנומרית, כזו המשלבת ספרות ואותיות, בת 8 תווים, שנחשבה בעבר לסבירה לחלוטין, נפרצת בתנאים כאלה תוך כ-9 שעות בלבד. נכון ל-2023, הזמן הזה התקצר עוד. סיסמה בת 13 תווים, לעומת זאת, תדרוש לפי הערכות החוקרים שנים ארוכות של עיבוד.
המסקנה הזו הפכה את כל ההמלצות בתחום על פיהן. ביל בר, הפקיד הממשלתי האמריקאי שניסח בשנות ה-2000 את כללי המורכבות המוכרים, אות גדולה, סמל מיוחד, מספר והחלפת סיסמה כל 90 יום, התנצל פומבית ב-2017 על אותן המלצות, לאחר שהתברר שהן הפחיתו את רמת האבטחה במקום לשפר אותה. הדרישות המורכבות יצרו בדיוק את עייפות הסיסמאות שמובילה בסופו של דבר לבחירה בסיסמאות חלשות.
המכון הלאומי לתקנים וטכנולוגיה של ארה"ב עדכן את ההמלצות הרשמיות ב-2017 בהתאם: האורך הוא המפתח, לא המורכבות. מינימום 15 תווים. ביטויי סיסמה, שרשרת של מילים אקראיות כמו "מנגו-סגול-צרצר-7" עדיפים בהרבה על "P@ssw0rd". ברוס שניאר, אחד ממומחי אבטחת המידע הבכירים בעולם, הלך צעד אחד קדימה וכתב כבר ב-2005: "אני ממליץ לאנשים לכתוב את הסיסמאות שלהם על פיסת נייר קטנה ולשמור אותה עם שאר פיסות הנייר הקטנות והיקרות שלהם, בארנק."
גיל לא קובע – הרגלים כן
אולי הממצא המפתיע ביותר מהמחקר האחרון של חברת אבטחת הסיסמאות הנורווגית NordPass הוא הפרכת מיתוס מקובל. רבים מניחים שהדורות הצעירים, ה"ילידים הדיגיטליים" שגדלו עם האינטרנט, מודעים יותר לאבטחת סייבר. אבל המחקר, שהשווה לראשונה בין 5 דורות שונים, מצא שהרגלי הסיסמאות של בן 18 דומים באופן מדהים לאלה של בן 80. כפי שנכתב בדוח: "הרגלי הסיסמאות הגרועים הם טרנד בלי קשר לגיל."
והמצב הולך ומחמיר. ב-2023 ניתן היה לפצח 70% מהסיסמאות הנפוצות ביותר בפחות משנייה. ב-2024 הנתון קפץ ל-78%. למרות שנים של קמפיינים לחינוך סייבר, אנשים ממשיכים לבחור סיסמאות חלשות יותר, לא חזקות יותר. אז מה בדיוק לא עובד בכל הקמפיינים האלה?
הבעיה חריפה במיוחד בסביבה הארגונית. אותו מחקר של NordPass מצא ש-40% מהסיסמאות הנפוצות זהות בין חשבונות אישיים לחשבונות עבודה. סיסמאות זמניות שנועדו מלכתחילה להיות מוחלפות, פשוט לא מוחלפות. כשעובד משתמש באותה סיסמה לחשבון הפרטי ולמערכת הארגונית, פריצה לאחד פותחת אוטומטית גם את השני.
הכלים שבאמת מגנים עליכם
הפתרון המעשי ביותר שמומחי אבטחה ממליצים עליו הוא מנהל סיסמאות, יישום שמייצר סיסמאות ייחודיות ואקראיות לכל אתר, שומר אותן מוצפנות, ומחייב זכירה של סיסמת מאסטר אחת בלבד. כלים אלו פותרים בבת אחת את בעיית העומס הקוגניטיבי שמוביל לסיסמאות חלשות. למרות שאימוץ כלים אלה הולך וגדל בשנים האחרונות, רוב המשתמשים עדיין אינם משתמשים בהם באופן שיטתי.
שכבת הגנה נוספת שמומחים מדגישים כחיונית היא אימות דו-שלבי, מנגנון שדורש אישור נוסף מעבר לסיסמה, כמו קוד שנשלח לטלפון. גם סיסמה שנפלה לידיים הלא נכונות לא תספיק לפתיחת החשבון בלי אותו אישור. ומי שרוצה לבדוק אם המייל שלו כבר נפרץ האתר haveibeenpwned.com מאפשר בדיקה פשוטה וחינמית.
בטווח הרחוק יותר, הארגון הבינלאומי לתקני אימות FIDO Alliance מקדם טכנולוגיה בשם Passkeys, כניסה מאובטחת ללא סיסמה כלל, המבוססת על מפתחות הצפנה המאוחסנים במכשיר עצמו, גוגל, אפל ומייקרוסופט כבר אימצו אותה. אבל עד שהטכנולוגיה הזו תהפוך לנורמה רחבה, 6 הספרות הפשוטות ממשיכות לשמור על כס המלכות שלהן, ומיליוני חשבונות נותרים פתוחים לרווחה.
תגובות (0)
אין עדיין תגובות. היו הראשונים להגיב!