אושרי פנחס

למה אני כותב את זה?

לאחרונה קיבלתי התראה שסיסמה שלי דלפה. לא סתם סיסמה – “מפלצת” של מעל 15 תווים, עם אותיות גדולות, קטנות, מספרים וסימנים מיוחדים ($#%). עשיתי הכל לפי הספר, ועדיין נפרצתי. התסכול הזה גרם לי לחשוב: האם אנחנו עדיין רודפים אחרי הזנב של עצמנו עם דרישות סיסמה מורכבות, בזמן שהעולם כבר עבר הלאה?

התשובה הקצרה: כן. סיסמאות מורכבות הן פחות רלוונטיות ממה שחשבנו. הנה למה כדאי לנו לשנות דיסקט, ומה אני הולך להציע ל-CISO שלנו.

המיתוס: “ככל שהסיסמה מסובכת יותר, היא בטוחה יותר”

במשך שנים לימדו אותנו ש-Tr0ub4dor&3 חזק יותר מ-correct horse battery staple. בפועל? האקרים לא מנסים לנחש את הסיסמה שלכם תו-אחר-תו (Brute Force) על השרת של הארגון.

הם פורצים כי:

1. פישינג (Phishing): כשאתה מקליד את הסיסמה המורכבת שלך באתר מתחזה, לא משנה אם יש בה 8 תווים או 50. היא גנובה.
2. שימוש חוזר (Reuse): השתמשתם באותה סיסמה מורכבת באתר זניח שנפרץ? ההאקרים ינסו אותה בכל השירותים הגדולים (Credential Stuffing).
3. Keyloggers: נוזקה במחשב רואה מה אתם מקלידים, בלי קשר למורכבות.

המהפכה של NIST (התקן האמריקאי)

החדשות הטובות הן שאנחנו לא לבד. ה-NIST (המכון הלאומי לתקנים וטכנולוגיה בארה”ב), הגוף שמכתיב את הסטנדרטים בעולם, פרסם הנחיות חדשות (NIST SP 800-63B) שהופכות את הקערה על פיה:

• אורך עדיף על מורכבות: עדיף משפט ארוך וקל לזכירה (Passphrase) מאשר רצף תווים אקראי וקצר.
• הפסיקו עם החלפה כפויה: הדרישה להחליף סיסמה כל 90 יום? NIST ממליץ לבטל אותה! זה רק גורם לאנשים לבחור סיסמאות חלשות יותר או לרשום אותן על פתק.
• הפסיקו לדרוש סימנים מיוחדים: זה מקשה על המשתמש ולא באמת עוצר האקרים מודרניים.

הפתרון: לפשט את הסיסמה, להקשיח את האימות (MFA)

ההצעה שלי פשוטה: בואו נפסיק להקשות על המשתמשים עם חוקי סיסמה דרקוניים. במקום זה:

1. סיסמאות ארוכות אך פשוטות: אפשרו למשתמשים להקליד משפטים (למשל: ILikePizzaOnFridays!).
2. חובת אימות דו-שלבי (2FA/MFA): זה ה”גיים צ’יינג’ר”. גם אם הסיסמה שלי נגנבה, התוקף לא יכול להיכנס בלי הקוד בטלפון.

העולם כבר שם:

חברות ביטוח, בנקים ומשרדי ממשלה כבר עברו לשיטת ה-OTP (קוד חד פעמי ב-SMS/אפליקציה) כתחליף לסיסמה. הם הבינו שניהול סיסמאות הוא נטל יקר ומסוכן.

יתרונות וחסרונות להצעה (סיסמה פשוטה + MFA)

יתרונות (למה כן)	חסרונות ואתגרים (למה לשים לב)
חווית משתמש (UX): עובדים מתוסכלים פחות, פחות איפוסי סיסמה ב-Helpdesk.	חולשת ה-SMS: אימות בהודעת טקסט (SMS) חשוף למתקפות SIM Swapping. עדיף להשתמש באפליקציית אימות (Authenticator) או Passkeys.
אבטחה אמיתית: MFA עוצר כ-99.9% ממתקפות הפישינג האוטומטיות, הרבה יותר מסיסמה מורכבת.	תלות במכשיר: אם העובד איבד את הטלפון, הוא לא יכול להתחבר (דורש תהליך שחזור מסודר).
תאימות לתקן: מעבר למודל הזה מיישר קו עם המלצות ה-NIST העדכניות.	מערכות ישנות: יש מערכות Legacy בארגון שאולי לא תומכות ב-MFA ועדיין ידרשו סיסמה מורכבת.

הוכחות ומספרים (Data for your CISO)

אם אתם צריכים לשכנע את ההנהלה, הנה הנתונים היבשים:

• סיסמה של 8 תווים מורכבים (מספרים, אותיות, סימנים) ניתנת לפריצה ב-Brute Force תוך חודשיים
• סיסמה של 15 תווים (רק אותיות קטנות, ללא שום סימן מיוחד!) תיקח מאות שנים לפריצה.
  • המסקנה: האורך הוא מה שקובע מתמטית, לא ה-$.
• מחקרים מראים שכאשר מכריחים משתמשים להחליף סיסמה ודורשים סיבוך, הם פשוט מוסיפים 1 או ! בסוף הסיסמה הקודמת. האקרים יודעים את זה.

לסיכום:

הגיע הזמן להפסיק להילחם במשתמשים ולהתחיל להילחם בהאקרים. אני מתכוון לשבת עם ה-CISO שלנו ולהציע: בואו נוריד את רמת הסיבוך, נאכוף MFA בכל מקום, ואולי אפילו נתחיל לפזול לכיוון Passwordless (כניסה ללא סיסמה בכלל) באמצעות Passkeys.

מה דעתכם? האם הארגון שלכם עדיין דורש סיסמה כל 90 יום?

מקורות ומאמרים תומכים

1. הנחיות NIST החדשות (2024-2025): המסמך המרכזי הוא NIST SP 800-63B. השינויים העיקריים הם העדפת אורך על פני מורכבות וביטול תוקף סיסמה תקופתי.
2. זמני פריצה (Brute Force): טבלאות המראות שסיסמה ארוכה ופשוטה חזקה מתמטית מסיסמה קצרה ומורכבת.
3. המעבר ל-Passkeys: גוגל ואפל כבר מטמיעות מפתחות גישה (Passkeys) כברירת מחדל כדי להחליף סיסמאות לגמרי, מה שמראה שזה הכיוון הטכנולוגי העולמי.
4. חולשת אימות ב-SMS: חשוב לציין בפני ה-CISO שלמרות ש-SMS זה נח, ה-NIST ממליץ להשתמש בשיטות חזקות יותר אם אפשר, אך עדיין מעדיף SMS על פני סיסמה בלבד.