מדריך אבטחה

האם כדאי להשתמש בתווים מיוחדים בסיסמאות?

למדו מתי תווים מיוחדים עוזרים, מתי הם גורמים לבעיות תאימות, ומדוע אורך ואקראיות חשובים יותר ממורכבות ויזואלית.

תקציר

תווים מיוחדים יכולים לעזור כי הם מגדילים את מספר התווים האפשריים. הם לא קסם. סיסמה קצרה עם תו מיוחד צפוי עדיין חלשה, בעוד שסיסמה ארוכה ואקראית ללא תווים מיוחדים יכולה להיות חזקה.

נסו את ההגדרות המוכנות עם תווים מיוחדים ו-ללא תווים מיוחדים.

מתי תווים מיוחדים עוזרים

תווים מיוחדים עוזרים כאשר מחולל בוחר אותם באקראי והשירות מקבל אותם. הם יכולים לספק את דרישות מדיניות הסיסמאות ולהגדיל את מרחב החיפוש התיאורטי.

מתי תווים מיוחדים פוגעים בשימושיות

תווים מיוחדים עלולים לגרום לבעיות בטפסים ישנים, מקלדות ניידות, מחרוזות חיבור, מעטפות פקודה, קבצי תצורה והעתקה ידנית. אם יש צורך לברוח מתו מיוחד או שהוא קל לקריאה שגויה, זה עלול ליצור סיכון תפעולי.

המלצות מעשיות

כלול תווים מיוחדים כאשר הם מתקבלים.
השתמש בהגדרות מוכנות ללא תווים מיוחדים לתאימות.
הגדל את האורך כאשר האלפבית מוגבל.
הימנע מעריכה ידנית של סיסמה שנוצרה.
השתמש בהגדרות מוכנות ללא תווים דו-משמעיים לסיסמאות מודפסות או מוכתבות.

הנחיות מפורטות

מדריך זה מתמקד בהחלטה האם תווים מיוחדים עוזרים או פוגעים במדיניות סיסמאות. הוא נכתב עבור אנשים העובדים עם שירותים הדורשים או דוחים תווים מיוחדים, כך שהמטרה המעשית אינה ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי כניסה, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, והשירות המזדמן עם כללי אימות מוזרים. המלצה מאובטחת היא שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, לא הומצא מיום הולדת, שם חיית מחמד, דפוס מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה אחת לא קשורה, בעוד שסיסמה ייחודית ואקראית מגבילה את הנזק לחשבון הבודד שבו היא שימשה.

לנושא זה, הגדרה מוכנה מעשית היא תווים מיוחדים מופעלים כאשר היעד מקבל אותם, עם אורך ארוך יותר כאשר הם נדחים. ניתן ליישם הגדרה זו עם מחולל הסיסמאות עם תווים מיוחדים ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen מייצר ערכים באופן מקומי בדפדפן באמצעות Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף דיוג או טיפול לא בטוח בלוח יכולים עדיין לחשוף סוד לאחר יצירתו.

הבעיות הנפוצות ביותר שיש להימנע מהן הן הערכת יתר של תו מיוחד אחד בסיסמה קצרה, בעיות בריחה במעטפת פקודה, באגים באימות טפסים ושגיאות הקלדה ידניות. בעיות אלו חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנסות בכוח גס כל סיסמה אפשרית כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי פרטים מגניבה, דיוג, רשימות סיסמאות דלפות וניצול לרעה של שחזור חשבון הם לעתים קרובות מציאותיים יותר מחיפוש מתמטי טהור. זו הסיבה שהעצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור וסקירה שוטפת של הגדרות דוא”ל או טלפון לשחזור.

השתמש ברשימת הבדיקה הזו בעת יישום ההמלצה:

השתמש בתווים מיוחדים כאשר הם מתקבלים.
אל תסתמך על תו מיוחד בודד כדי לתקן סיסמה חלשה.
השתמש בהגדרות מוכנות ללא תווים מיוחדים למערכות מחמירות.
הגדל את האורך כאשר תווים מיוחדים כבויים.

אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריח את הסיסמה לתבנית חלשה יותר באופן ידני. כוון משתנה אחד בכל פעם. אם תווים מיוחדים נדחים, השאר אותיות גדולות, קטנות ומספרים מופעלים והגדל את האורך. אם אורך מקסימלי נמוך, השתמש באורך הגדול ביותר המתקבל וודא שהערך ייחודי. אם יש לקרוא סיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקול לא לכלול תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכור את גבול העצה בנושא סיסמאות. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית או לפצות על שירות שאוגר פרטי כניסה בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צור ערך ייחודי, אחסן אותו בבטחה, הגן על נתיב השחזור, והחלף אותו במהירות אם אתה חושד בחשיפה.

צעד בטוח הבא

לאחר קריאת מדריך זה, בצע ביקורת חשבון קטנה אחת במקום לנסות לתקן הכל בבת אחת. בחר את החשבון שיגרום הכי הרבה צרות אם ישתלטו עליו, אשר שהסיסמה שלו ייחודית, ובדוק את דוא”ל השחזור, טלפון השחזור, שיטת MFA ואחסון קודי הגיבוי. אם חלק כלשהו בשרשרת זו חלש, שפר חלק זה לפני המעבר לחשבונות בסיכון נמוך יותר. סדר זה שומר על העבודה ניתנת לניהול ומגן על החשבונות שתוקפים צפויים להשתמש בהם כקרש קפיצה. לגבי השאלה האם כדאי להשתמש בתווים מיוחדים בסיסמאות?, התוצאה הטובה ביותר היא הרגל שניתן לחזור עליו: צור באופן מקומי, אחסן בזהירות, והימנע משימוש חוזר.

שאלות נפוצות

האם תווים מיוחדים הופכים סיסמאות לחזקות יותר?

תווים מיוחדים יכולים להגדיל את גודל האלפבית כאשר הם נבחרים באקראי, אך אורך וייחודיות עדיין חשובים יותר ממורכבות ויזואלית.

מה אם אתר אינטרנט דוחה תווים מיוחדים?

השתמש בסיסמה ארוכה יותר ללא תווים מיוחדים והשאר אותיות גדולות, קטנות ומספרים מופעלים אם הם מתקבלים.

האם תווים דו-משמעיים הם בעיה?

הם יכולים להיות, במיוחד עבור סיסמאות מודפסות, מוכתבות או מוקלדות ידנית. אי הכללתם משפרת את השימושיות אך מקטינה את גודל האלפבית.

מקורות

NIST SP 800-63B — Passwords