ססמאות בעידן החדש
כל מיני דברים לאחרונה על ססמאות (לדוגמה) ביחד עם כמה תקריות מצערות שקרו לאחרונה גרמו לי לחשוב מחדש על ססמאות.
אני לא לגמרי מסכים עם הדעה של רנדל מונרו בהבחנה שלו אבל מסוגל להבין את הרעיון שסיסמה ארוכה וקצת לא שגרתית אבל עדיין קלה לזכירה עדיפה על סיסמה קצרה יותר עם אותיות משונות שקשה לזכור אותה. לכן, הססמאות שלי היו בהתאם: כמה מילים פשוטות עם הטייה לא שגרתית וכמה מספרים שקל לי לזכור בכל מקרה.
יש לי סיסמה פשוטה של שתי מילים, אם כי נידחות ואף פעם לא בשילוב, לאתרים שפחות אכפת לי מהם, כאלו שאם מחזיקים מידע פרטי אז הוא מועט ולא קריטי.
יש לי סיסמה מורכבת יותר עם מילה ממש נידחת, מוטה ועם מספר אקראי בה אני משתמש באתרים שאני קצת דואג למה שאני מאחסן שם אבל לא יותר מדי.
יש לי סיסמה עם מילה שהמצאתי, בהגדלת אותיות אקראית ומספר אקראי בה אני משתמש בשביל הדברים היותר חשובים.
ויש לי סיסמה עם שתי מילים, אחת נידחת ואחת אני המצאתי, בהגדלת אותיות אקראית ומספר אקראי בה אני משתמש בשביל הדברים הקריטיים (לצערי לא לבנקים או מרפאה כי אלו מגבילים אותי מאוד באורך).
ואז יש את הסיסמה איתה אני מגן על שאר הסיסמאות.
סך הכל, עם עוד כל מיני תוספות פה ושם, אני משתמש ב-6-8 סיסמאות שונות במהלך היום יום. אבל חלק מהן איתי שנים ואני תוהה אם הגיע הזמן להחליף אותן. הבעיה העיקרית היא שאני רוצה סיסמאות ארוכות, עם רווחים (סוג של משפטי מפתח), ורוב האתרים לא נותנים לי את האפשרות. בנוסף על זה אני גם אצטרך לשנן 6-8 סיסמאות חדשות וזה קצת מטריד.
איך אתם מתנהלים עם סיסמאות?
Posted in IT, Practice, Thinking Out Loud by Eran with 7 comments.
ניהול הסיסמאות שלי נוראי.
לרוב הדברים יש לי סיסמא אחת (אותיות ומספרים)
ולרוב הדפדפן זוכר את הסיסמא, כך שיש מצבים שאני אפילו לא זוכר אותה וצריך לאפס אותה מחדש כל תקופה
כל השיטה של סיסמאות (לדעתי) פגומה מהיסוד
זה כמו Capacha – רעיון שנראה טוב למתכנתים, ואין לו שום קשר להוויה האנושית
כמה שהסיסמאות שלך מורכבות, עדיין עם מספיק מאמץ – אפשר לפרוץ כל אחת ואחת (ומה אם פורצים לך את הסיסמא האחת שמגנה על כל השאר?)
חוץ מזה שבעזרת הנדסת אנוש פשוטה, הפורץ הנחוש ישיג את הסיסמא בכלל בלי לנסות לפרוץ אותה
מספיק שהוא פורץ לך לבית, ושותל מצלמה שמקליטה את מה שאתה מקליד (או מתקין תוכנה שעושה את זה)
מי שהכי Drives me circles זה שאין מידתיות בסיסמאות או הגנה.
אתה לא תקנה דלת של כספת בנק עבור דלת הכניסה של הבית שלך, אז למה בפורום מצ’וקמק צריך סיסמא בעלת אותיות קטנות, גדולות, מספרים ותווים מיוחדים?
ובנוסף על זה, הבנק מגביל אותך לשמונה אותיות בלבד ורק קטנות באנגלית. זה מטופש.
יש אנשים שרוצים לעשות את הכל ביומטרי. לצערנו, זה עדיין לא מספיק חזק.
אבל כרגע, הדרך הכי אמינה והכי בטוחה שאנחנו מכירים היא What you know. והסיסמה מייצגת את הצמצום של זה.
ביומטרי זה רע כל כך שקשה לי לתאר במילים עד כמה.
זו החדירה האולטימטיבית לפרטיות, זה האיבוד הסופי של זכויות הפרט, זה האח הגדול במיטבו, זה פשוט אחד הרעיונות הגרועים ביותר לסדר חברתי שהאנושות אי פעם המציאה… חוץ מהרעיון ההוא של קעקועי מספרים- זה היה רע יותר.
אם יש משהו שיגרום לי להתנתק מהרשת עד כדי ג’ון קונור זה הכפפת החברה למשטר ביומטרי.
הדרך הכי טובה להתגבר על בלאגן הסיסמאות האופף אותנו בעידן המידע הוא OpenID – יש רק סיסמה אחת שחשובה – הסיסמה של ספק האבטחה שלך שיכולה להיות מורכבת כרצונך. אם ספק ה-OpenID שלך הוא Google ויש לך טלפון אנדרואיד, אז תוסיף “אבטחת שני גורמים” ואתה ממש יכול לישון בשקט.
אני משתמש ב-OpenID, וכל ספק שלא תומך ב-OpenID אז או שהוא לא מעניין אותי יותר מדי ואז הסיסמה שלי היא 123456 (ואתם יכולים לצטט אותי על זה), או שאני לא משתמש בו.
זה רעיון מעניין. אבל כמה אתרים כבר מאפשרים את השימוש הזה? אני לא חושב שהרבה. בטח שלא מספיק.
תתפלא. רוב האתרים השווים נותנים לך להכנס עם OpenID (למרות שלפעמים קוראים לזה “Sign in with Google”) כמו stackoverflow; או טכנולוגיות דומות כמו OAuth – לדוגמא twitter.
גם Facebook Connect שרואים בהרבה אתרים הוא אלטרנטיבה סבירה (למרות שככלל אני נגד Facebook Connect, גם כי הוא לא סטנדרט ולא תואם OpenID וגם כי הוא מכריח אותך להחזיק חשבון Facebook).
אז אתמול הייתי צריך להשתמש ב-DropBox לא מהמחשב שלי וכשניגשתי לאתר שלהם חיפשתי קצת אבל לא מצאתי דרך אחרת להיכנס. ואת זה אני ממש לא יכול לכוון לסיסמה קלה וזה לא שירות שאני יכול ממש לוותר עליו.