האדם שאחראי על רוב הסיסמאות ה-"חזקות" שלכם משנה את דעתו
דו"ח שפרסם ביל בר לפני 14 שנים המליץ על שימוש במספרים, תווים סתומים ואותיות ראשיות כדי לייצר סיסמאות חזקות במיוחד - כעת הוא מודיע כי זו הייתה שגיאה שהוא מצטער עליה
בשנת 2003 כתב ביל בר, מנהל המכון האמריקני לתקנים וטכנולוגיה (NIST), מאמר בן שמונה עמודים שכותרתו "NIST פרסום מיוחד 800-63. נספח א".
מסמך זה – אשר הציע לאנשים להמציא סיסמאות מעורפלות שישולבו בהן אותיות קטנות וראשיות, בתוספת סמלים ומספרים, ושהורה למשתמשים לשנות את הסיסמאות שלהם לעתים קרובות – הפך לאבן הפינה של ניהול הסיסמאות הארגוני ושל אבטחת האינטרנט החכמה במשך יותר מעשור.
אלא שכעת בר, כיום גמלאי בן 72, מפרסם ווידוי והתנצלות על הדברים.
"על רוב הדברים שעשיתי אני מצטער עכשיו", אמר בר לוול סטריט ג'ורנל (Wall Street Journal).
לפי מה שסיפר בר, כאשר כתב את ההנחיות המפורסמות שלו ניסה למצוא נתונים אמפיריים שעליהם יבסס את ההמלצות, אבל לא הצליח בכך; הוא גם אומר שהוא היה נתון תחת לחץ להשלים את הכנת המסמך במהירות.
אבל כיום, לאחר שנים של פריצות מסיביות וסיסמאות שדלפו, חוקרים יכולים לראות באיזה סוג סיסמאות אנשים משתמשים, ומתברר שאנשים אינם חכמים או מקוריים מספיק ושמילוי ההנחיות של בר התבצע על ידי רוב המשתמשים באופן מסורבל ולא יעיל בכלל.
לנבוח את העץ הלא נכון
כך למשל נמצא ש-"שינוי הסיסמה Pa55word!1 ל-Pa55word!2 לא מרחיק את ההאקרים", ציין הכתב רוברט מק'מילן במאמר שהתפרסם בג'ורנל.
בחודש יוני פרסם ה-NIST גרסה מתוקנת של המסמך של בר, כאשר חלק גדול מעצותיו כבר אינן מופיעות יותר בהנחיות. יוצרי המסמך החדש תכננו עריכה קלה אבל "בסופו של דבר התחלנו מאפס", אומר פול גראסי, היועץ הטכני שהוביל את המחקר בן השנתיים לשכתוב המסמך של מכון האמריקני.
עכשיו ממליץ ה-NIST לגולשים להמציא סיסמה ארוכה וקלה לזכירה, ולשנות אותה רק אם יש ראיות להפרת אבטחה.
הערכה כיום היא שסיסמה בנוסח שפרסם בר, כמו למשל Tr0ub4dor&3, יכולה להיסדק בתוך שלושה ימים, בעוד שלפיצוח סיסמה שתורכב מארבע מילים שכיחות ומחוברות – לכמו לדוגמה peopleandcomputerisgreat – יידרשו 550 שנה.
בראיון איתו התנצל בר ואמר כי "בסופו של דבר, זה היה כנראה מסובך מדי בעבור רוב אנשים להבין היטב, והאמת היא, זה היה לנבוח את העץ הלא נכון".
אבל ייתכן כי בר הגזים בהשפעות השליליות של עצותיו. בשיחה עם הג'ורנל הוסיף גראסי ואמר כי "הוא כתב מסמך אבטחה שהחזיק מעמד במשך 10 עד 15 שנים. אני יכול רק לקוות להיות מסוגל לייצר מסמך שיחזיק מעמד כל כך הרבה זמן".
מה דעתכם?