X

מלח ופלפל נגד האקרים: כך התבלינים הנפוצים יגנו עליכם מפריצה

הם לא רק מוסיפים טעם לאוכל – הם גם מקשים על פורצים לחשוף את הסיסמאות שלכם ברשת. כך תשתמשו בעקרונות האבטחה בעלי השמות המצחיקים כדי להפוך את הסיסמאות שלכם לקלות יותר לזכירה וקשות יותר לפיצוח

יאיר מורפידי
, עודכן
0השמעה
מוסיפים מלח לסיסמאות. צילום: פידי באמצעות Imagen 3

בשבוע האחרון דובר לא מעט על ניסיונות איראנים (מוצלחים יותר או פחות) לתקוף את ישראל בזירת הסייבר, במעין תזכורת תקופתית לכך שתמיד יש מי שמחפשים דרכים לנצל את המידע הדיגיטלי שלנו נגדנו. מלכוד 22 המוכר בתחום הזה הוא הצורך מצד אחד לבחור סיסמאות חזקות, ומצד שני סיסמאות שנוכל לזכור בקלות יחסית (אחרת במקום האקרים – אנחנו נהיה אלה שייחסמו מהחשבונות של עצמנו).

שימוש בשירותים לניהול סיסמאות הוא המלצה בסיסית (כל עוד זה לא LastPass – באמת, אם אתם משתמשים בו, צאו מהכתבה עכשיו ועברו כאן למטה לתפריט "Advanced settings” ואז Export, לייצור מאגר הסיסמאות שלכם. אנחנו ממליצים על מעבר ל-BitWarden, אבל גם 1Password הוא פתרון מעולה) – אבל גם אם שירות כזה מסוגל לזכור עבורכם סיסמאות, עדיין יש כלים שיהפכו אותן למאובטחות יותר.

מלח ופלפל מוכרים לנו בעיקר כתבלינים בסיסיים למזון, אבל בעולם אבטחת המידע, salt ו-pepper הן תוספות מאוד רצויות לסיסמאות שלכם – שהשירותים שהזכרנו כבר מיישמים באופן מסוים, ואתם יכולים ליישם באופן אחר שיהפוך את הסיסמאות שלכם לחזקות פי כמה. מדובר בשיטות שמאמצות חברות הטכנולוגיה הגדולות בעולם כדי להגן על המידע הרגיש של המשתמשים, ושכל אחד מאיתנו יכול ללמוד מהעקרונות שלהן כדי לחזק את האבטחה האישית שלו. נעזרנו בקלוד כדי להסביר.

מה זה "מלח" דיגיטלי?

כאשר אתר אינטרנט שומר את הסיסמה שלכם, הוא לא אמור לשמור אותה כמו שהקלדתם אותה; במקום זאת, המחשב הופך את הסיסמה לרצף של אותיות ומספרים שנראה אקראי לחלוטין – תהליך שנקרא "האש". לדוגמה, הסיסמה "123456" תהפוך למשהו כמו "e10adc3949ba59abbe56e057f20f883e".

אבל יש בעיה: אם שני משתמשים בחרו באותה סיסמה, הם יקבלו את אותו רצף מוצפן. פורצים יכולים לנצל את זה כדי לפרוץ בקלות סיסמאות שחוזרות על עצמן אצל משתמשים רבים ע"י השוואה של האשים קיימים לחדשים.

"מלח" הוא רצף אקראי של תווים שהמערכת מוסיפה לסיסמה שלכם לפני ההצפנה. כלומר: במקום להצפין רק "123456", המערכת תצפין "123456XyZ9kL2m" (כאשר "XyZ9kL2m" הוא ה"מלח”). עכשיו, גם אם לשני משתמשים יש את אותה סיסמה, התוצאה המוצפנת תהיה שונה לחלוטין, מפני שלכל אחד מהם האתר הוסיף “מלח” אחר.

מה זה "פלפל" דיגיטלי?

אם "מלח” הוא תוספת קבועה וייחודית לכל משתמש, שנשמרת במסד הנתונים של האתר, "פלפל" הוא מחרוזת סודית שכל האתר משתמש בה, והיא נשמרת בנפרד ממסד הנתונים. זה כמו מפתח חשאי שכל אתר מוסיף לכל הסיסמאות של המשתמשים בו.

למשל, אם ה"מלח" של משתמש מסוים הוא "XyZ9kL2m" וה"פלפל" של האתר הוא "SuperSecret2025", אז הסיסמה "123456" תהפוך ל"123456XyZ9kL2mSuperSecret2025" לפני ההצפנה. כך, גם אם פורץ מצליח לגנוב את מסד הנתונים עם כל הסיסמאות המוצפנות וה"מלחים”, הוא עדיין לא יוכל לפצח אותן בלי לדעת מה ה"פלפל”.

איך אתרים משתמשים בטכניקות האלה?

חברות כמו גוגל, פייסבוק ואמזון משתמשות בשילוב של "מלח" ו"פלפל" כדי להגן על מיליארדי סיסמאות. כשאתם נרשמים לאתר, המערכת יוצרת "מלח" ייחודי עבורכם שמתווסף לסיסמה שלכם בלבד באתר, מוסיפה את ה"פלפל" הסודי של האתר, מצפינה את כל השילוב ושומרת רק את התוצאה המוצפנת. ה"פלפל" וה"פלפל" שמורים במסדי נתונים נפרד מהסיסמאות שלכם, ולכן גם אם האקר יפרוץ לכל המידע שיש לגוגל עליכם, כדי לפרוץ את הסיסמה שלכם הוא יצטרך לפתור חידה תלת-שכבתית – בלי לפצח את ה"פלפל" אי אפשר לפצח את ה"מלח", ובלעדיו אי אפשר לפצח את הצפנת הסיסמה עצמה.

איך אתם יכולים ליישם את העקרונות האלה?

למרות שרוב האתרים כבר עושים את זה מהצד שלהם, אתם לא יכולים לשלוט באיכות העבודה שהם עושים בהוספת ה"מלח", ה"פלפל" וההצפנה. מה שאתם כן יכולים לעשות הוא ליישם את אותם עקרונות כדי ליצור סיסמאות חזקות יותר:

  • השתמשו ב"מלח" לכל אתר: בחרו קיצור או מילה שמתייחסת לאתר הספציפי והוסיפו אותה לסיסמה הבסיסית שלכם. למשל, אם הסיסמה הבסיסית שלכם היא "MyPassword2025!", תוכלו להוסיף "FB" לפייסבוק, "GM" לג'ימייל וכו'. כך תקבלו "MyPassword2025!FB" ו"MyPassword2025!GM" – סיסמאות שיהיה קל לכם לזכור, אך קשה יותר להאקרים לפצח. חשוב להדגיש שהעיקרון הזה עובד רק אם אתם משתמשים בפתרון ניהול סיסמאות מוצפן, כמו אלה שהזכרנו למעלה. אם איזושהי סיסמה כזו שמורה לכם במקום שקל לפרוץ – בעצם היא חושפת את כל האחרות.
  • השתמשו ב"פלפל" אישי: בחרו בביטוי אישי שרק אתם מכירים והוסיפו אותו לכל הסיסמאות. זה יכול להיות ראשי תיבות של משפט שמשמעותי לכם, מספר הבית שגרתם בו הילדותכם וכו’. למשל, אם המשפט שלכם הוא "Born in Jerusalem, 1985", ה"פלפל" יכול להיות "BIJ85", ליצירת סיסמה כגון "MyPassword2025!BIJ85”.
  • שלבו את שתי השיטות: הסיסמה הסופית יכולה להיראות כך: "BIJ85MyPassword2024!FB" לפייסבוק או "BIJ85MyPassword2024!GM" לג'ימייל. כך תקבלו סיסמאות ייחודיות, חזקות וקשות לניחוש לכל אתר.
  • השתמשו בחוכמה בזוכרי סיסמאות: אם אתם משתמשים בשירות זכירת סיסמאות, ולא בסיסמה קבועה עם תוספות לכל האתרים, תוכלו להוסיף לה שכבת אבטחה בלתי מנוצחת – שמרו את הסיסמאות שלכם בלי ה"מלח" וה"פלפל", והוסיפו אותם לאחר שהשירות מזין אותן באופן אוטומטי בטופס הכניסה לאתר. כך ה"מלח" וה"פלפל" שלכם אינם שמורים כלל במקום שניתן לפריצה.

יתרונות השיטה

אם כן, השימוש ב"מלח" ו"פלפל" פותר כמה בעיות מרכזיות:

  • ייחודיות: כל אתר יקבל סיסמה שונה, כך שגם אם אתם מאלה שנוהגים "לשחזר" סיסמאות (ושוב: אנחנו לא ממליצים לעשות זאת, אבל בצירוף הטקטיקות הללו זה נסלח) ואחת מהן נפרצת, השאר תישארנה מוגנות.
  • קלות זיכרון: אתם צריכים לזכור רק את הנוסחה, ולא עשרות או מאות סיסמאות שונות.
  • חוזק: השילוב של אלמנטים שונים ש"מאוחסנים" במקומות שונים (“ליבת" הסיסמה בזוכר הסיסמאות, ה"מלח" וה"פלפל" אצלכם בראש) יוצר סיסמאות ארוכות ומורכבות שקשה מאוד לפרוץ.
  • הגנה מפני "מתקפות מילון”: גם אם פורץ מכיר חלק מהנוסחה שלכם, הוא לא יוכל לנחש את כל הרכיבים.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
אבטחת מידעטכנולוגיהמדריךסיסמה

כדאי להכיר