חוזק סיסמאות
חוזק סיסמה הוא מדד ליעילותה של סיסמה בעמידה בפני ניחושים או התקפות. בדרך כלל, המדד מעריך כמה פעמים יצטרך אדם, שאין לו גישה ישירה לסיסמה, לנסות לנחש אותה. כוחה של סיסמה הוא פונקציה של אורך, מורכבות ואי-צפיות.[1]
שימוש בסיסמה חזקה מקטין את הסיכוי לפריצה ביטחונית, אך אינו מחליף את הצורך בבקרות ביטחון אחרות. יעילותה של סיסמה בעלת חוזק מסוים מושפעת באופן ישיר מהתכנון והיישום של תוכנת מערכת האימות. עוד גורמים משפיעים הם עוצמת האבטחה של המידע (כולל סיסמאות) התלוי באופן האחסון והשידור שלו. ישנן דרכים להשיג סיסמאות ללא כל קשר לחוזקן, כמו למשל האזנות סתר, פישינג, רישום הקשות, הנדסה חברתית, חיטוט באשפה, התקפת הערוץ הצדדי וניצול נקודות תורפה בתוכנות.
קביעת חוזק הסיסמה
ישנם שני גורמים המשפיעים על קביעת חוזק הסיסמה: הקלות בה יכול התוקף לבדוק את תוקפה של סיסמה מנוחשת, והמספר הממוצע של הפעמים שהתוקף יצטרך לנחש סיסמאות עד שימצא את הסיסמה הנכונה. אופן אחסון הסיסמה ושימושה קובע את הגורם הראשון, בעוד הגורם השני נקבע על ידי אורך הסיסמה, מספר סוגי הסמלים הקיימים בה, ואופן היווצרותה.
אימות סיסמה מנוחשת
הדרך הברורה והישירה ביותר לבדוק סיסמה מנוחשת, היא פשוט לנסות להשתמש בה במקום הסיסמה המקורית. עם זאת, דרך זו היא איטית ורוב המערכות יחסמו את הגישה לאחר כמה ניסיונות כושלים להכנסת סיסמה.
מערכות שדורשות ממשתמשיהן סיסמאות, צריכות לשמור את הסיסמאות של המשתמשים במקום כלשהו על מנת שיוכלו לבדוק את אמיתותה של סיסמה שמוזנת. בדרך כלל המערכת מאחסנת רק פונקציית גיבוב קריפטוגרפית של הסיסמה ולא את הסיסמה עצמה. אם פונקציית הגיבוב חזקה מספיק, קשה מאד לשחזר דרכה את הסיסמה ולכן גם אם תוקף יצליח לקחתה, הוא לא יצליח לשחזר את הסיסמה באופן ישיר. עם זאת, אם קובצי המידע של פונקציית הגיבוב נגנבים, התוקף ידע את ערך הפונקציה, דבר שיאפשר לו לבדוק ניחושים בצורה מהירה. (ראה פיצוח סיסמאות (Password cracking))
ראו גם
קישורים חיצוניים
- בחירת סיסמה טובה, "הפשע האלקטרוני"
- מדיניות סיסמאות במערכות Active Directory
- אמיתי זיו, רק לא 123456 | איך לנווט בג'ונגל הסיסמאות ומה עושים כשאי אפשר לזכור את כולן?, באתר TheMarker, 28 באוקטובר 2014
הערות שוליים
- ^ "Cyber Security Tip ST04-002". Choosing and Protecting Passwords. US CERT. Retrieved June 20, 2009.
23741166חוזק סיסמאות