מנהלי המחשוב בארגונים תמיד נקרעים בין הרצון לספק למשתמשים שלהם חוויית-שימוש טובה וקלה ככל האפשר, לבין הצורך לאבטח את המידע הרגיש של הארגון. כולנו היינו מעדיפים לגשת למחשב ולהתחיל לעבוד באופן מיידי, כפי שעשינו בשנת 1995, אך כיום, האינטרנט שורצת בהמוני האקרים וקראקרים המחכים לטעות קלה מצד המשתמשים כדי לפרוץ לרשת ולחולל בה שמות. קונפליקט זה הוא אחת הסיבות ליצירת תפקיד מנהל אבטחת המידע (באנגלית Chief Information Security Officer, או CISO). בארגונים רבים אין הצדקה להעסקתו של אדם במשרה מלאה בתחום זה, ולכן בארגונים קטנים נפוצה תופעה של הטלת האחריות הזו על מנהל התשתיות או מנהל הרשת המקומי. אנו רואים בכך בעייתיות מסוימת, אך זו לא הנקודה. אחד מתפקידיו של מנהל האבטחה היא לדאוג לכך שהסיסמאות בשימוש בארגון יהיו "חזקות", ויוחלפו לעיתים קרובות. הסיבה לכך היא הצורה שבה קראקרים פועלים כדי לנסות לחדור לארגון. השיטה מכונה Brute Force ? "כח ברוטאלי", והיא מבוססת על לולאת ניסוי וטעייה שבה מנסים להכנס למערכת מחשב כלשהי תוך ניסוי כל צירוף אפשרי של אותיות בסיסמא, החל מ-a ועד zzzzzzz וכדומה. שיטת הניסוי-והטעייה לוקחת זמן רב, אך במידה והמשתמש בחר סיסמא קצרה בת 4 אותיות, לולאת ניחוש כזו תגיע לסיסמא בתוך דקות בודדות. כדי לצמצם את הסיכון הזה, יש לבחור בסיסמא ארוכה ככל האפשר, ושתכלול כל מיני "סוגים" של סימנים, כדי לחייב את הפורץ הפוטנציאלי לנסות כמה שיותר צירופים אפשריים. סיסמא אידיאלית צריכה להיות באורך של 8-9 סימנים, ולכלול גם אותיות קטנות, גם אותיות גדולות, גם מספרים וגם סימנים מיוחדים. לדוגמא, סיסמא כגון Aer&k9Bm היא מצוינת. חשוב גם להימנע משימוש במילים מוכרות כחלק מהסיסמא, מכיוון שהתקפות "כוח ברוטאלי" נעזרות לעיתים קרובות בקובץ-מילון כדי לנחש סיסמאות. שיטה מבוססת על הנטייה של רוב האנשים לקבוע סיסמאות המבוססות על שמו של בן משפחה או כתובת המגורים. מעבר לכך, יש להחליף את הסיסמא מדי כמה חודשים, וזאת כדי שאם, מסיבה כלשהי, הצליח פורץ לנחש את הסיסמא, היא תוחלף וכך תימנע המשך גישה.
הנושא נוגע לא רק למחשבים במשרד אלא גם למחשב הביתי, ומערכות אחרות. האם מישהו מקוראי כתבה זו החליף את סיסמת-ברירת-המחדל של התא הקולי בטלפון שלו? אם לא, כל אדם במדינה יוכל להכנס ולשמוע את ההודעות הקוליות שלך ולדעת עם מי אתה בקשר, או לפגוע בקשר שלך עם אחרים על ידי מחיקת ההודעות. מה לגבי המספר הסודי של כרטיס הכספומט שלך? האם גם אתה מחזיק אותו על פתק צהוב בארנק, או שאולי התחכמת ושמרת אותו בזיכרון של הטלפון הסלולרי שלך תחת השם הסודי ביותר "isracard"? למעשה, טלפונים סלולאריים הפכו עבור רבים למאגר-מידע שימושי למגוון דברים, החל מרשימת הקניות ועד מגוון סיסמאות. אין ספק שזה נוח יותר שהמידע זמין בכל מקום, אך לא תמיד זה נגמר טוב. במונית ממוצעת "נמצאים" כ-8 מכשירי טלפון סלולארי מדי חודש, ורשתות הסינון של חברת מקורות מהוות גם הן מקור לא-אכזב למכשירים רטובים. אם נוסיף לכך את מקרי הגניבה, שוד ושכחה, קל לראות שמכשיר סלולארי הוא לא בדיוק כספת אידיאלית. הנקודה היחידה שטובה בסיפור הוא שאנחנו נוטים להרגיש באובדן מסוג זה דיי מהר, לרוב לפני שהמוצא "הישר" יספיק לעשות יותר מדי נזקים, אך בכל זאת, יש פה מסר חשוב. בעולם שבו פעילים מיליוני האקרים, והמידע היקר ביותר שלנו מאוחסן בצורה דיגיטלית, יש חשיבות קריטית להגנה עליו, ושמירה חכמה ונכונה על הסיסמאות שלנו היא הצעד הראשון בכיוון הנכון. תזכרו את זה!
ארז בן ארי הנו עיתונאי וגורו טכנולוגיה ישראלי העוסק בתחום מעל 13 שנה. כתבותיו של בן-ארי התפרסמו במעריב, וואלה, ידיעות אחרונות ומגוון פרסומים אחרים, מקוונים ומודפסים, והוא נחשב לדמות מובילה בעולם ההי-טק הישראלי וסמכות בתחומי הטכנולוגיה והמדע. במסגרת מקצועית, עבד ארז בחברות אינטל ומיקרוסופט ובתפקידו האחרון היה סמנכ"ל ואנליסט בכיר לאסטרטגיות אבטחת מידע ותקשורת בחברת המחקר STKI. אתרו האישי של ארז בן-ארי נמצא בכתובת
www.erezbenari.co.il
מקור המאמר: www.Articles.co.il - מאמרים לשימוש חופשי
כלים שימושיים למאמר: פרסם את המאמר
 הדפס את המאמר
 שלח לחבר
 קישור ישיר למאמר
 פניה לכותב המאמר
 דווח מאמר בעייתי
|
