מדריך אבטחה

סיסמה לעומת ביטוי סיסמה

השוואה בין סיסמאות תווים אקראיים לביטויי סיסמה של מילים אקראיות, כולל יכולת זכירה, אנטרופיה, אחסון ומקרי שימוש בטוחים.

תקציר

סיסמה היא בדרך כלל מחרוזת של תווים אקראיים. ביטוי סיסמה הוא בדרך כלל רצף של מילים. כל אחד מהם יכול להיות חזק אם הוא נוצר באופן אקראי, ייחודי, ומאוחסן או נזכר בבטחה. הבחירה הנכונה תלויה בשאלה אם אתה זקוק לקומפקטיות מקסימלית, הקלדה קלה או יכולת זכירה.

השתמש במחולל ביטויי סיסמה כאשר אתה רוצה מילים אקראיות, או במחולל סיסמאות כאשר אתר מצפה לסיסמת תווים קומפקטית.

סיסמאות תווים אקראיים

סיסמאות תווים אקראיות יעילות: כל תו יכול להוסיף מרחב חיפוש. הן אידיאליות למנהלי סיסמאות, פאנלי ניהול, WiFi, בנקאות, דואר אלקטרוני וסודות מפתחים. החיסרון הוא שקשה לזכור אותן ולא נעים להקליד אותן במקלדות קטנות.

ביטויי סיסמה של מילים אקראיות

ביטויי סיסמה קלים יותר לקריאה ולהקלדה. המילה החשובה היא “אקראי”. משפט שהמצאת, ציטוט, מילות שיר או ביטוי מוכר עלולים להינחש על ידי כלים מבוססי תבניות. ביטוי סיסמה צריך להיות מורכב ממילים שנבחרו באופן עצמאי מתוך רשימה גדולה מספיק.

המלצות מעשיות

השתמש בסיסמאות תווים אקראיות עבור רוב החשבונות המאוחסנים במנהל.
השתמש בביטויי סיסמה עבור פרטי כניסה שאולי תצטרך לזכור.
אל תעשה שימוש חוזר באף אחד מהפורמטים.
הימנע מביטויים אישיים, ציטוטים, שמות ותאריכים.
בדוק האם רווחים או מפרידים מתקבלים על ידי היעד.

הנחיות מפורטות

מדריך זה מתמקד בהחלטה בין סיסמאות תווים אקראיים לבין ביטויי סיסמה אקראיים. הוא נכתב עבור אנשים שזקוקים גם לסיסמאות מאובטחות מאוחסנות וגם לסודות כניסה שניתן לזכור, כך שהמטרה המעשית היא לא ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי התחברות, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, והשירות המזדמן עם כללי אימות מוזרים. המלצה מאובטחת היא שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר מתוך מרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, לא הומצא מיום הולדת, שם חיית מחמד, תבנית מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה אחת, בעוד שסיסמה אקראית ייחודית מגבילה את הנזק לחשבון הבודד שבו היא שימשה.

לנושא זה, הגדרה קבועה מעשית היא ארבע עד שש מילים אקראיות לצורך זכירה, או תווים אקראיים לאחסון במנהל סיסמאות. אתה יכול ליישם הגדרה קבועה זו עם מחולל ביטויי הסיסמה ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen מייצר ערכים באופן מקומי בדפדפן באמצעות Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף דיוג או טיפול לא בטוח בלוח יכולים עדיין לחשוף סוד לאחר יצירתו.

הבעיות הנפוצות ביותר שיש להימנע מהן הן ביטויים בכתב יד, ציטוטים מפורסמים, מילות שיר, סיסמאות אישיות וביטויי מילון שנבחרו על ידי אדם. בעיות אלו חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנסות בכוח גס כל סיסמה אפשרית כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי פרטים גנובים, דיוג, רשימות סיסמאות דלפו וניצול לרעה של שחזור חשבון הם לעתים קרובות מציאותיים יותר מאשר חיפוש מתמטי טהור. לכן העצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור ובדיקה שוטפת של הגדרות דואר אלקטרוני או טלפון לשחזור.

השתמש ברשימת הבדיקה הזו בעת יישום ההמלצה:

השתמש במילים שנבחרו באופן אקראי, לא במשפט שאתה ממציא.
שמור על מפרידים עקביים עם טופס היעד.
אל תעשה שימוש חוזר בביטוי סיסמה בין חשבונות.
השתמש במנהל עבור סיסמאות ארוכות אקראיות.

אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריח את הסיסמה לתבנית חלשה יותר באופן ידני. כוונן משתנה אחד בכל פעם. אם סמלים נדחים, השאר אותיות גדולות, קטנות ומספרים מופעלים והגדל את האורך. אם אורך מקסימלי נמוך, השתמש באורך המקסימלי המקובל וודא שהערך ייחודי. אם יש לקרוא סיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקול לא לכלול תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכור את הגבול של עצות סיסמה. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית או לפצות על שירות שאוחסן פרטי כניסה בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צור ערך ייחודי, אחסן אותו בבטחה, הגן על נתיב השחזור, והחלף אותו במהירות אם אתה חושד בחשיפה.

שאלות נפוצות

האם ביטוי סיסמה תמיד חזק יותר מסיסמה?

לא. ביטוי סיסמה אקראי יכול להיות חזק, אבל ציטוט מוכר או משפט אינם שווים למילים שנבחרו באופן אקראי.

מתי עלי לבחור ביטוי סיסמה?

בחר ביטוי סיסמה כאשר ייתכן שתצטרך לזכור או להקליד אותו ידנית, במיוחד עבור פרטי כניסה ראשיים של מנהל סיסמאות.

כמה מילים צריך ביטוי סיסמה?

ארבע מילים אקראיות הן נקודת התחלה מעשית; הוסף מילים נוספות עבור שימושים בעלי ערך גבוה יותר או רשימות מילים קטנות יותר.

מקורות

NIST Digital Identity Guidelines