אז "p!zza43ver" זה לא טוב?! קרדיט: גטי
עליך להשתמש לפחות באות גדולה אחת, סמל ומספר. או, רגע, אולי לא.
לדברי המומחים במכון הלאומי לתקנים וטכנולוגיה (NIST), חלק מדרישות חוזק הסיסמה שנקדחו בגולגולות שלנו במהלך השנים, למעשה לא כל כך מועילות.
מה שגרוע יותר, הם עלולים להיות לא מועילים.
ככזה, המכון הוציאטיוטה חדשה של הנחיות אבטחהב-11 במאי 2017, מכוון לאנשי אבטחה וממליצים על מספר שינויים משמעותיים בדרישות הסיסמה שקיבלנו כחלק הכרחי מהחיים.
מה שונה? ובכן, למשל, המומחים אומרים שאין צורך יותר לאלץ משתמשים ליצור סיסמאות הכוללות מספרים ותווים אקראיים.
"שירותי [מקוון] הציגו כללים במאמץ להגביר את המורכבות של [סיסמאות]," נכתב בטיוטת הנספח. "הצורה הבולטת ביותר של אלה היא כללי חיבור, המחייבים את המשתמש לבחור סיסמאות הבנויות באמצעות שילוב של סוגי תווים, כמו לפחות ספרה אחת, אות גדולה וסמל. עם זאת, ניתוחים של מסדי נתונים של סיסמאות שנפרצו מעלה כי היתרון של כללים כאלה אינו משמעותי כמעט כמו שחשבו בתחילה, אם כי ההשפעה על השימושיות והזכירות היא חמורה."
ביסודו של דבר, קשה לזכור סיסמאות מלאות ב-# ו-&, והן למעשה לא מספקות יתרון כל כך. במקום זאת, NIST ממליצה לאפשר לאנשים לבחור כל סיסמה של 8 תווים או יותר - עם קאץ'.
מהירות אור ניתנת לריסוק
"אף אחד לעולם לא ינחש." קרדיט: גטי
המלכוד הוא שכל מה שהמשתמש בוחר יש להשוות מול רשימה של סיסמאות נפוצות ידועות.רשימות של סיסמאות גנובותקיימים, ואם המפתח לחשבון האימייל שלך הוא משהו כמו "קוף" אז NIST אומר שצריך לדחות אותו.
מי עושה את העבודה להשוות את הסיסמה הרצויה לרשימה הנ"ל? אל תדאג, זה לא אתה. במקום זאת, האחריות הזו תיפול באופן תיאורטי על כל שירות שאתה מנסה ליצור איתו חשבון.
מה עוד זורקת NIST מהחלון הדיגיטלי? למה זה יהיה דבר קצת מעצבן שנקרא איפוס סיסמה כפוי. זה נכון, מסתבר שלחייב משתמשים לשנות את הסיסמאות שלהם - ללא קשר לפרצות נתונים או היעדרן - זה לא יעיל. כמובן, אם חברה מגלה שהיא נפרצה, אתה עדיין צריך להידרש לאפס את פרטי ההתחברות שלך.
המומחים ב-NIST גם רודפים אחרי מה שהוא חרדה גדולה שלי: שאלות אבטחה. שאלות אבטחה מוגדרות מראש שמשתמש נאלץ למלא, כמו "באיזה תיכון למדת", מתגלות בקלות על ידי האקרים באמצעות חיפוש פשוט בגוגל (כמו שרה פיילין פעםהתגלה בכאב) ויש לבטל לחלוטין.
"מאמתים גם לא ידרשו מנויים להשתמש בסוגי מידע ספציפיים (למשל, 'מה היה השם של חיית המחמד הראשונה שלך?') בעת בחירת סודות שנשמרו בעל פה", נכתב בטיוטה בהצהרה. נֶחְמָד.
אז, לסיכום: אין צורך בתווים מיוחדים, ללא איפוסי סיסמה מאולצים ואין שאלות אבטחה קבועות (ניתנות לניחוש). זה כמעט כאילו כל העצות לאבטחת סיסמאות שניתנו לנו שגויות.
חוץ מהערמון הזה על השימושאימות דו-גורמי. אתה עדיין בהחלט צריך לעשות את זה.
פרנואידית מקצועית. מכסה פרטיות, אבטחה וכל מה שקשור למטבעות קריפטוגרפיים ובלוקצ'יין מסן פרנסיסקו.
כדי לעזור לנו לחשב אילו פריטים לכלול, שוחחנו עם מומחי טרנדים וניתחנו את הנושאים שהדהדו ביותר עם הקוראים שלנו בשנת 2024. יש לנו מתנות עד למדע.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
