בחלק הראשון של הפוסט הזה דיברתי על סיסמאות מנקודת המבט של המשתמש. כמובן שבסופו של דבר, האחריות על בחירת הסיסמא, שמירתה והשימוש בה היא אחריות של המשתמש. אבל האתר/מוצר שמבקש מאתנו את הסיסמא, יכול לעזור, להקל או להקשות על השימוש בסיסמא ועל השמירה שלה. אם תשתמשו באותה סיסמא בהרבה אתרים, מספיק שלאחד מהם יפרצו, והסיסמא שלכם כבר מסתובבת לה באופן חופשי אי שם ברשת, לכן יש חשיבות לכמות המידע שנותנים לכל אתר.
אפשר לכתוב ספר שלם על איך לבקש, להגדיר, לשמור, לאחזר סיסמאות מזוית המוצר, והרבה אכן כבר נכתב על כך. אני רוצה לסקור היום שלוש פנים שונות של ניהול ענין הסיסמאות באתרים שונים.
1. הכי פשוט – הגדרה של שם משתמש וסיסמא ייחודים לאתר – באתרים רבים אין יותר מדי אפשרויות בחירה. המשתמש מתבקש להגדיר לעצמו שם משתמש יחודי, וסיסמא. שם המשתמש יכול הרבה פעמים להיות כתובת המייל של המשתמש (בהנחה שהיא בדרך כלל מוצדקת, שכתובת אימייל היא נתון חד חד ערכי), או שאפשר לשמור גם שם משתמש וגם כתובת מייל. לבוני האתר יש כאן התלבטות קלה, כי מצד אחד – אנחנו רוצים שתהליך ההרשמה יהיה קל ופשוט, ויאפשר כמה שיותר מהר להתחיל להשתמש באתר. אם נדרוש סיסמא מורכבת, ונקשה על המשתמש ליצור שם משתמש בצורה מהירה, אנחנו מסתכנים שהוא פשוט יקום וילך – למה הוא צריך את כל הבלגן הזה?
סימנים לאתר שלוקח ברצינות (או לא) את ניהול המידע והסיסמאות:
- האם יש דרישה למספר תוים מינימלי? ברב האתרים יש דרישה כזו, מתוך הנחה שסיסמא יותר ארוכה היא מטבעה יותר בטוחה ויותר קשה לשחזור.
- האם יש דרישה להחלפה/שינוי של הסיסמא מדי תקופת זמן? ברב האתרים (שאינם בנקים) כיום אין דרישה כזו.
- אחרי ההרשמה – אם האתר שולח לך מייל עם שם המשתמש והסיסמא מודפסים בו זה סימן שאין שם שום התיחסות לאבטחה או לשמירה על פרטיות. קחו את זה בחשבון!
- אם שכחתי את הסיסמא איך אפשר לשחזר אותה? אם האתר פשוט שולח לך את הסיסמא במייל, יש כאן בעית אבטחה. הדרך הנכונה היא לשלוח לך למייל לינק ייחודי וחד פעמי, שיאפשר לך לאפס את הסיסמא, ולבחור סיסמא חדשה.
2. שימוש בשם משתמש וסיסמא שהגדרת במקום אחר – אתרים רבים מאפשרים היום להרשם אליהם תוך שימוש בשם משתמש וסיסמא שהגדרת במקום אחר. היישום השכיח ביותר (אני חושבת) הוא שימוש בהגדרות של פייסבוק. אתה לא צריך להגדיר שם משתמש וסיסמא חדשים לאתר חדש שמענין אותך (למשל אתר ביקורות סרטים), אתה פשוט יכול להיכנס תוך שימוש בפרטי המשתמש שלך בפייסבוק. איך הם עושים את זה? האתר מתחבר לפייסבוק דרך ממשק ייעודי שפותח על ידי פייסבוק (API), מאשר את הפרטים שלך, ומקבל עוד כמה פרטים – כמו למשל את רשימת החברים שלך.
היתרון למשתמש ברור – הוא לא צריך ליצור עוד שם משתמש, ועוד סיסמא שצריך אחר כך לזכור ולנהל. הוא גם לא חושף בפני האתר יותר מדי מידע על עצמו. פייסבוק למשל, לא תעביר לאתר את כתובת המייל של המשתמש (לא בהכרח כי היא שומרת על הפרטיות של המשתמש, יותר כי היא רוצה לשמור על הכח שלה).
פייסבוק היתה מאוד מאוד רוצה להיות “מאגר המשתמשים” של האינטרנט. שכולנו נהיה רשומים אצלה, ונשתמש בכל אתר אחר, דרכה. כמות המידע שזה יתן לה, היא עצומה. הרבה שרותים נוספים מספקים ממשק דומה (החל מלינקדאין, דרך יאהו!, מייספייס, ועוד), ויש גם יוזמה לבנות מאגר כזה שהוא “ללא כוונות רווח” ומבוסס על קוד פתוח – openID.
3. שימוש בחלקי סיסמא – יישום שנתקלתי בו רק בבנקים בחו”ל אבל מצא חן בעיני, הוא כשהאתר אף פעם לא מבקש ממך להכניס את כל הסיסמא שלך, אלא רק חלקים ממנה. מדובר בפתרון לבעיה שנשמעת נדירה אבל קוראת כל הזמן – “האזנה” לקו האינטרנט שלך. אם מישהו מצליח לחדור לתעבורת הרשת בין המחשב שלך לבין האתר אליו אתה מנסה להרשם, הוא יכול מהר מאוד למצוא את הסיסמאות שאתה שולח. אתרים רציניים היום מצפינים את המידע הזה, והוא לא עובר בצורה ישירה וחשופה ברשת, אבל גם הצפנה היא לא ערובה לפרטיות ובטיחות. השימוש בחלקי סיסמא מאפשר שכבה נוספת של בטיחות, כך שגם אם מישהו “מאזין” לתעבורה שלך – לעולם הוא לא יקבל את הסיסמא כולה. הוא יצטרך להאזין לקו לאורך זמן, ולחבר המון פיסות מידע כדי לשחזר את סיסמא – מטלה הרבה יותר מורכבת.
איך זה עובד? פשוט מאוד. למשתמש יש שם משתמש, קוד סודי, וסיסמא. בכל פעם שהמשתמש מנסה להתחבר למערכת, המערכת מבקשת ממנו את הפרטים הבאים: שם משתמש מלא, כמה ספרות מתוך הקוד, וכמה אותיות מתוך הסיסמא. למשל – הספרה הראשונה והרביעית מתוך הקוד, והאות השניה, החמישית והשישית מתוך הסיסמא. זה אולי נשמע מורכב, אבל זה ממש לא, מתרגלים מהר.
בקיצור – נדמה שלרובנו יש היום הרבה יותר מדי “פרסונות” ברשת. בכל מקום מבקשים מאתנו שם משתמש וסיסמא. האחריות היא שלנו, המשתמשים להגן על המידע שלנו, והאתרים יכולים לעזור לנו או להקשות. לפני שאתם יוצרים משתמש באתר חדש, שווה להסתכל מסביב על האתר ולראות עד כמה הוא לוקח ברצינות את עצמו ואת המשתמשים שלו.
4 Responses
השימוש בחלקי סיסמא מיועד להגן נגד Keystroke Loggers. אלו תוכנות ריגול שיושבות על המחשב שלך ומקליטות את כל לחיצות המקשים. כך הן מקבלות גם את פרטי המשתמש. זו בעיה נפוצה במחשבים משותפים, במיוחד באינטרנט קפה למיניהם, שהם חממה לכל המזיקים הדיגיטליים שאפשר לחשוב עליהם.
את פתרון הסיסמא החלקית מיישמים גם ב LogMeIn.
אני אוהב במיוחד את הממשק שלהם מכיוון שהוא מורכב משורה של Combo Box שמאלצים את המשתמש להזין את חלקי הסיסמא בעזרת עכבר ולא מקלדת