כלי סיסמאות חזרה למחולל

מדריך אבטחה

מהו זמן פריצת סיסמה?

למדו מה המשמעות של הערכות זמן פריצת סיסמה, מדוע הנחות קצב התקפה חשובות, ומדוע הערכות אינן ערובות.

תקציר

זמן פריצת סיסמה הוא הערכה של כמה זמן עשויה להימשך התקפת ניחוש תחת מודל ספציפי. המודל חשוב. ניחוש מקוון מול שירות חי שונה מפריצה לא מקוונת של גיבוב סיסמה דלף. מספר אוניברסלי של “זמן לפריצה” מטעה ללא הנחות.

השתמשו במחשבון זמן פריצת סיסמה ובבודק חוזק כדי להשוות תרחישים מקומית.

ניחוש מקוון

ניחוש מקוון מוגבל על ידי השירות. מגבלות קצב, נעילות, ניטור, MFA וזיהוי חריגות יכולים להאט או לעצור התקפות. קוד PIN קצר עשוי להיות מקובל רק בגלל שהמערכת מגבילה ניסיונות.

פריצה לא מקוונת

פריצה לא מקוונת מתרחשת כאשר לתוקפים יש גיבובי סיסמאות או חומר מוצפן. המהירות תלויה באלגוריתם הגיבוב, גורם העלות, המלח, החומרה ואסטרטגיית ההתקפה. גיבוב איטי של סיסמאות כמו Argon2id, bcrypt או PBKDF2 נועד להפחית ניחושים לשנייה.

אקראיות ודפוסים

מתמטיקת זמן הפריצה משמעותית רק כאשר הסיסמה באמת אקראית. Password123! עשוי להיראות מורכב, אך הוא מופיע מוקדם בניחוש מבוסס דפוסים. סיסמה אקראית בת 20 תווים שונה כי היא חסרה מבנה אנושי.

הנחיות מפורטות

מדריך זה מתמקד בקריאה אחראית של הערכות זמן פריצת סיסמה. הוא נכתב עבור משתמשים הרואים הערכות מבוססות שנים ורוצים לדעת מה הן באמת אומרות, כך שהמטרה המעשית אינה ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי כניסה, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, והשירות המזדמן עם כללי אימות מוזרים. המלצה מאובטחת שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, לא הומצא מיום הולדת, שם חיית מחמד, דפוס מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה אחת, בעוד סיסמה ייחודית אקראית מגבילה את הנזק לחשבון הבודד שבו נעשה בה שימוש.

לנושא זה, קביעה מוגדרת מראש מעשית היא הערכות מבוססות תרחישים עבור מגבלות מקוונות, גיבובים איטיים וניחוש לא מקוון מהיר. ניתן להחיל קביעה זו עם מחשבון זמן פריצת סיסמה ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen מייצר ערכים מקומית בדפדפן עם Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף דיוג או טיפול לא בטוח בלוח יכולים עדיין לחשוף סוד לאחר יצירתו.

הבעיות הנפוצות ביותר שיש להימנע מהן הן טענות אוניברסליות לזמן פריצה, הנחות מבוססות חומרה בלבד, גיבובים דלפו, אחסון חלש ודפוסי משתמש צפויים. בעיות אלו חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לפרוץ בכוח גס כל סיסמה אפשרית כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי פרטים מגניבות, דיוג, רשימות סיסמאות דלפו וניצול שחזור חשבון הם לעתים קרובות מציאותיים יותר מחיפוש מתמטי טהור. לכן העצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור וסקירה קבועה של הגדרות דוא”ל או טלפון לשחזור.

השתמשו ברשימת הבדיקה הזו בעת יישום ההמלצה:

אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריחו את הסיסמה לדפוס חלש יותר באופן ידני. התאימו משתנה אחד בכל פעם. אם סמלים נדחים, השאירו אותיות גדולות, קטנות ומספרים מופעלים והגדילו את האורך. אם אורך מקסימלי נמוך, השתמשו באורך המקובל הגדול ביותר וודאו שהערך ייחודי. אם יש לקרוא סיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקלו לא לכלול תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכרו את גבול עצות הסיסמה. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית או לפצות על שירות שאוחסן פרטי כניסה בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צרו ערך ייחודי, אחסנו אותו בבטחה, הגנו על נתיב השחזור, והחליפו אותו במהירות אם אתם חושדים בחשיפה.

צעד בטוח הבא

לאחר קריאת מדריך זה, בצעו ביקורת חשבון קטנה אחת במקום לנסות לתקן הכל בבת אחת. בחרו את החשבון שיגרום הכי הרבה צרות אם ישתלטו עליו, אשרו שהסיסמה שלו ייחודית, ובדקו את דוא”ל השחזור, טלפון השחזור, שיטת ה-MFA ואחסון קודי הגיבוי. אם חלק כלשהו בשרשרת זו חלש, שפרו חלק זה לפני המעבר לחשבונות בסיכון נמוך יותר. סדר זה שומר על העבודה ניתנת לניהול ומגן על החשבונות שתוקפים צפויים להשתמש בהם כקרש קפיצה. לגבי מהו זמן פריצת סיסמה?, התוצאה הטובה ביותר היא הרגל שניתן לחזור עליו: צור מקומית, אחסן בזהירות, והימנע משימוש חוזר.

שאלות נפוצות

מדוע מחשבוני זמן פריצה חלוקים?

הם משתמשים בהנחות שונות לגבי אקראיות, סוג גיבוב, חומרה, מגבלות מקוונות והאם הסיסמה כבר ידועה מדלפות.

האם פריצה לא מקוונת מהירה יותר מניחוש מקוון?

בדרך כלל כן. תוקפים לא מקוונים יכולים לנסות ניחושים ללא מגבלות קצב, בעוד מערכות מקוונות יכולות להאט, לנעול ולנטר ניסיונות.

האם עלי לסמוך על תוצאת “מיליון שנים” בודדת?

התייחסו אליה כהערכה תחת הנחות מוצהרות, לא כערובה לבטיחות.

מקורות