יומן אבטחה

איכשהו בזמן האחרון אני נתקל בעוד נתונים על סיסמאות.

המחקר הזה מראה כי למרות שמשתמשים מודעים לכללי בחירת סיסמאות הם עדיין לא נוקטים בהם. זו כמובן תהיה קריאה של המחקר על פני השטח. אם חופרים פנימה מגלים עוד כמה דברים מעניינים. רוב המשתמשים עושים שימוש במלים או ספרות בעלי משמעות אישית עבורם. זה לכשעצמו נתון די מעודד, כי רק מיעוט עושה שימוש ברצפים פשוטים. נתון זה עולה בקנה אחד עם המחקר הזה (שאינו מדעי, בניגוד לקודם), לפיו הסיסמא הנפוצה ביותר (באנגליה) היא 123 ולאחריה password. שתי הסיסמאות אבל תופסות כל אחת בערך 3.5% מהסיסמאות. המחקר הזה (המקור בגרמנית, אני מפנה לברוס שנייר) מראה משהו דומה, הסיסמא הנפוצה ביותר היא 123456 והיא תופסת 1.4% מהסיסמאות. כאשר מתכננים מנגנון סיסמאות יש להגדיר מינימום תווים; יש להגדיר הסטוריית סיסמאות וגיל מקסימאלי ומינימלי; יש להגדיר נעילת משתמשים לאחר 3-5 נסיונות כושלים. בהנתן פרמטרים אלה ובהנתן הנתונים על בחירת סיסמאות של משתמשים זה עדיין לא טריוויאלי לנחש סיסמאות. עם כל הטררם סביב חולשת הסיסמאות, עדיין רוב הפריצות לארגונים מבוססות על ניצול כשלים ומפגעי אבטחה ולא על ניחוש אקראי של סיסמאות. הסבירות לנחש נכונה סיסמא שסטטיסטית נכונה 3.5% מהפעמים היא 17% (בהנתן ויש נעילה לאחר 5 פעמים כושלות). זו לא הגנה משהו, אבל זה עדיין אומר שרוב הסיכויים שפורץ אקראי לא יוכל לנחש את הסיסמא. וזה בתרחיש הכי פחות נוח לארגון.

שוב. הכשל המרכזי בסיסמאות הוא ריבוי הסיסמאות בארגון ואכיפת מורכבות מורכבת מדי.