סיסמה היא שיטת הזדהות בין העתיקות בעולם. עם הזמן דורשים מאיתנו לזכור רצף תווים יותר ארוך ומסורבל, כדי למנוע גישה לא מורשית. אך לרוב דרישה זו אינה מתחשבת במשתמש – הרי אם הלקוח שכח סיסמה, הוא ילך לעסק אחר. או יותר גרוע – ירשום אותה על פתק ויגרום נזק לעסק עצמו בלי לדעת. פוסט אורח מאת ניר ימיני עם מחשבותיו בנושא.
יום כיף בירושלים
היינו ביום כיף בירושלים. אני. גידי ויגו. בירה. ישבנו כמו תמיד בפסטה בסטה, בתוך השוק. אינני שתיין מוצלח במיוחד וכבר באמצע הבירה הראשונה הייתי חייב ללכת לשירותים. לשירותים היה מנעול עם קוד אבטחה. בפעם האחרונה שראיתי מנעול כזה היו עליו 8 ספרות. המנעול הזה כלל 10 ספרות וגם כמה אותיות! ביקשתי מהמלצרית את הסיסמא והיא הביאה לי פתק קטן שאותו לקחתי איתי כדי להקיש את הקוד. בעודי משיב את אוצרותיי לטבע החלטתי לשנן את הקוד בעל פה. התחלה של חמצן – CO, עשר שנים פחות משנת הלידה שלי – 72, כפול חמש אבל הפוך – 5X. יצאתי והחזרתי למלצרית את הפתק עם הסיסמא: CO725X.
גידי נכנס לעניין
כשחזרתי לשולחן צחקתי וסיפרתי לגידי שיש לי עכשיו את הסיסמא לשירותים של הפסטה בסטה בשוק מחנה יהודה. שיש להם פרצת אבטחה ושבכל פעם שנעבור פה ביום כיף בירושלים, נוכל להיכנס חופשי לשירותים. גידי צחק והלך גם הוא לשירותים (בדיוק כמו ששיחות על כאבי שיניים עושות כאב שיניים). כשהוא ניגש לדלת, אישה מבוגרת הסבירה לו שהיא לא מצליחה להבין את הסיסמא שהמלצרית נתנה לה ושהדלת לא נפתחת. היא הגישה לו את הפתק כדי שינסה בעצמו. גידי לא היסס, ובהינף יד אמר לה: "אין צורך". הוא הקליד את הסיסמא בעל פה, ללא הפתק. האישה היתה בהלם.
למה מצפים מאיתנו לזכור כל כך הרבה סיסמאות?
לא מזמן נרשמתי ללימודי הדוקטורט שלי. האיש מיחידת המחשוב ביקש ממני ליצור סיסמא. אמרתי לו: "nir123". במבט זועף אך ידידותי הוא הסביר לי מדוע הסיסמא לא מומלצת ושכדאי לי לבחור משהו יותר בטוח. זרקתי לו: "אז שהסיסמא שלי תהיה מספר תעודת הזהות שלי" והוא ענה: "עדיף שתחזור ל- nir123".
בסופו של דבר יחידת המחשוב המציאה לי סיסמא מבלי שניתנה לי היכולת לשנות אותה. זה אכזרי, אבל זה לא שונה מהקוד שהבנק הנפיק לי למשיכת מזומנים עם הכספומט.
כשל אבטחתי אינסופי
עד היום לא הצלחתי להבין, למה מקום לממכר מזון ובירה באמצע שוק מחנה יהודה, צריך לאבטח את דלת השירותים בעזרת מנעול עם קוד? לא יכלו להסתפק במפתח? למה יחידת המחשוב בחיפה המציאה לי סיסמא שאני לא אזכור לעולם? ולמה בנק דיסקונט לא מאפשר לשנות קוד לכספומט?
כנראה שלעולם לא אדע את התשובות לשאלות הללו.
בכל המקרים לעיל, המשתמש הפשוט (אני) רוצה לגשת למקום או למידע שרצוי שיהיה חסום בפני אנשים אחרים. אבל האם אנחנו מונעים את הגישה בדרך הכי פחות פוגענית שניתן?
אני חייב להודות שזה די מביש לשאול מלצרית במקום הומה מה הקוד של השירותים. אני מניח שאוניברסיטת חיפה רוצה להגן על מערכות המחשוב שלה אבל האם שמירת הסיסמא שלהם באימייל שלי הופכת את המערכת למוגנת יותר מאשר nir123? אני לא חושב. אגב, בגלל שאינני זוכר את קוד הכספומט שלי בבנק דיסקונט – לא ביצעתי משיכת מזומנים כבר למעלה מחצי שנה (תודה לאל שיש לי חשבון אחר שבו אני דווקא כן זוכר את הקוד!).
כאנשים שאיכפת להם מאבטחת מידע וביטחון מידע, אנחנו יודעים שאין מערכת שהיא מוגנת לחלוטין. רשתות ביתיות הן מאוד פרוצות, סיסמאות של דברים חשובים נשמרים תחת אנשי קשר פיקטיביים כמעט בכל טלפון נייד, ואנחנו כ-ן משתמשים באותה סיסמא לכל האתרים שבהם אנחנו גולשים, בניגוד מוחלט להמלצה להחליף סיסמא עבור כל אתר (כן כן, יש המלצה כזו).
עלינו לזכור לאזן תמיד בין סיסמא נוחה וגישה יעילה נוחה למידע שלנו, לחסימת מידע מפני פריצות וגניבות.
וזיכרו, בפעם הבאה שתהיו בשירותים של פסטה בסטה בשוק מחנה יהודה CO725X – תגידו שניר שלח אתכם.
20 באוגוסט 2013 בשעה 19:45
There is no absolute evil in using password as there is no silver bullet for authentication. For some interactions with authentication mechanisms passwords/pin numbers are the right thing… probably not for the restroom door. Thanks, for the interesting post.
פינגבאק: גניבת חשבונות פייסבוק For Dummies | גיקטיים