מדריך אבטחה

כמה ארוכה צריכה להיות סיסמה?

למד מתי לבחור 12, 16, 20 או 32 תווים ומדוע אורך סיסמה, ייחודיות ואחסון חשובים יותר ממורכבות ויזואלית.

סיכום

עבור רוב החשבונות המודרניים, 16 תווים אקראיים הם בסיס מעשי חזק. השתמש ב-20 או יותר עבור חשבונות אישיים חשובים, דוא”ל, בנקאות, עבודה או ניהול. השתמש ב-32 תווים כאשר הסיסמה תישמר במנהל סיסמאות ומגנה על גישה בעלת ערך גבוה.

נסה את מחוללי 16 תווים, 20 תווים או 32 תווים.

טווחי אורך

סיסמאות קצרות קלות יותר לניחוש כי יש פחות צירופים אפשריים. שישה עד תשעה תווים הם בדרך כלל קצרים מדי לאבטחת חשבון. עשרה עד ארבעה עשר תווים עשויים להתקבל על ידי שירותים רבים, אך אין להתייחס אליהם כיעד מועדף עבור חשבונות חשובים.

שישה עשר תווים אקראיים הם ברירת מחדל טובה כאשר מנהל סיסמאות מאחסן את הערך. עשרים תווים מוסיפים מרווח ביטחון תוך שמירה על תאימות לאתרים רבים. שלושים ושניים תווים שימושיים עבור לוחות ניהול, קבצים מוצפנים, אישורי מסד נתונים וסודות מקומיים.

אורך אקראי לעומת אורך אנושי

סיסמה אקראית בת 16 תווים שונה מאוד מביטוי אנושי בן 16 תווים. בחירות אנושיות כוללות לעתים קרובות מילים, תאריכים, שמות וסיומות צפויות. תוקפים בודקים דפוסים אלה לפני שהם מנסים התקפת כוח גס עיוורת.

המלצות מעשיות

• השתמש ב-16 תווים כבסיס רגיל.
• השתמש ב-20–32 תווים עבור חשבונות בעלי ערך גבוה.
• השתמש בביטוי סיסמה אם חשוב לזכור.
• השתמש בהגדרות מוגדרות מראש ללא סמלים או ללא תווים מבלבלים רק כאשר תאימות מחייבת זאת.
• לעולם אל תעשה שימוש חוזר בסיסמה רק בגלל שהיא ארוכה.

הנחיות מפורטות

מדריך זה מתמקד בבחירת אורך סיסמה עבור סיכוני חשבון שונים. הוא נכתב עבור קוראים המשווים בין אפשרויות של 12, 16, 20, 24 ו-32 תווים, כך שהמטרה המעשית אינה ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי התחברות, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים והשירות המזדמן עם כללי אימות מוזרים. המלצה מאובטחת היא שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, ולא הומצא מיום הולדת, שם חיית מחמד, דפוס מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה אחת לא קשורה, בעוד שסיסמה אקראית ייחודית מגבילה את הנזק לחשבון הבודד שבו נעשה בה שימוש.

לנושא זה, הגדרה מוגדרת מראש מעשית היא 16 תווים עבור חשבונות רגילים, 20 או יותר עבור חשבונות חשובים, ו-32 עבור סודות שנשמרים ולא מוקלדים. ניתן ליישם הגדרה זו עם מחולל סיסמאות 32 תווים ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen מייצר ערכים באופן מקומי בדפדפן באמצעות Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף דיוג או טיפול לא בטוח בלוח יכולים עדיין לחשוף סוד לאחר יצירתו.

הבעיות הנפוצות ביותר שיש להימנע מהן הן ערכים אקראיים קצרים, מגבלות אורך מקסימלי, טפסים ישנים והנחה שמספר קבוע בטוח עבור כל מערכת. בעיות אלה חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנסות כל סיסמה אפשרית בכוח גס כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי אישורים, דיוג, רשימות סיסמאות דלפות וניצול לרעה של שחזור חשבון הם לעתים קרובות מציאותיים יותר מחיפוש מתמטי טהור. לכן העצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור ובדיקה שוטפת של הגדרות דוא”ל או טלפון לשחזור.

השתמש ברשימת בדיקה זו בעת יישום ההמלצה:

• השתמש באורך רב יותר כאשר סמלים אינם מותרים.
• בדוק את האורך המקסימלי של היעד לפני השמירה.
• הימנע מקיצור סיסמאות מטעמי נוחות.
• השתמש בביטויי סיסמה כאשר שינון חשוב.

אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריח את הסיסמה לתבנית חלשה יותר באופן ידני. כוון משתנה אחד בכל פעם. אם סמלים נדחים, השאר אותיות גדולות, קטנות ומספרים מופעלים והגדל את האורך. אם אורך מקסימלי נמוך, השתמש באורך הגדול ביותר המתקבל וודא שהערך ייחודי. אם יש לקרוא סיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקול לא לכלול תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכור את גבול עצות הסיסמה. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית או לפצות על שירות שאוגר אישורים בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צור ערך ייחודי, אחסן אותו בבטחה, הגן על נתיב השחזור, והחלף אותו במהירות אם אתה חושד בחשיפה.

שאלות נפוצות

האם 12 תווים מספיקים?

סיסמה אקראית בת 12 תווים יכולה להיות שימושית לתאימות, אך 16 או יותר היא ברירת מחדל טובה יותר כאשר השירות מקבל זאת.

מתי עלי להשתמש ב-20 או 32 תווים?

השתמש ב-20 או יותר עבור חשבונות חשובים וב-32 עבור זרימות עבודה של ניהול, קבצים מוצפנים או סודות מפתחים המאוחסנים במנהל סיסמאות.

האם סיסמה יכולה להיות ארוכה מדי?

שירותים מסוימים מטילים אורכים מקסימליים או דוחים סמלים. השתמש בערך האקראי הייחודי הארוך ביותר שהיעד מקבל.