בחירת סיסמה

איך בוחרים סיסמה שלא יפצחו אותה?

סיפור:
בשבוע האחרון הגיעו למכונת הסינון שלנו כ-1000 מיילים וכולם נשלחו מאותו מקור (כתובת אצל yahoo יפן).
הכותרת המייל הייתה:  "הסיסמה שלך היא XXXXX"  (ובמקום ה-XXXX הופיעה הסיסמה האמתית של המקבל).

תוכן המייל אמר:

"צילמתי אותך דרך מצלמת האינטרנט, כשאתה מסתכל על סרטי פורנו,

אם לא תשלם לי סכום של (בין 1000$ לבין 5000$) אז אני אשלח לכל אנשי הקשר שלך וידאו שמראה אותך ואת סרט הפורנו "

כמובן שאסור להגיב על מייל כזה, כי כל תגובה רק תמקד את ההאקר "לטפל" בך באופן מיוחד בתקווה להוציא ממך כסף.

הסיסמה שההאקר ציין, היא אכן סיסמה נכונה שנמצאת בשימוש אצל אלה שקיבלו את המייל.

 

איך ההאקר הצליח להגיע אל הסיסמאות?

נראה שההאקר הפעיל תוכנה שעברה באופן שיטתי על אפשרויות שונות עד שהגיע לפיצוח.

 

המאפיינים של הסיסמאות שפוצחו:

  1. פוצחו סיסמאות הבנויות מספרות ואותיות רגילות באנגלית (בלי סימנים, בלי אותיות גדולות) עד אורך של 20 סימנים אפילו.
  2. סיסמאות הבנויות מספרות פלוס סימנים או אותיות גדולות פוצחו רק עד אורך של 10 סימנים.
  3. סיסמאות שהיו בנויות מאותיות גדולות, קטנות ומספרים או סימנים פוצחו רק עד 8 אותיות.
  4. לא פוצחה אפילו סיסמא אחת שהכילה אפילו אות אחת בעברית.

המתמטיקה של הסיסמאות

החיים של ההאקר לא קלים, כל תו שמוסיפים לאורך הסיסמה מכפיל את מספר האפשרויות שהוא צריך לבדוק וכל סימן מסבך אותו קשות.

אותיות באנגלית יש 26 וספרות שונות יש 10, כלומר המפצח צריך לבדוק 36 אפשרויות עבור התו הראשון בסיסמה.

אלא שמספר האפשרויות שהמפצח צריך לבדוק  עולה בטור הנדסי. כל תו נוסף מכפיל את מספר האפשרויות שצריך לבדוק ב-36:

  • עבור תו אחד הוא צריך לבדוק 36 אפשרויות,
  • 2 תוים צריך לבדוק 36X36 אפשרויות כלומר 1,296 אפשרויות.
  • 3 תוים צריך לבדוק 46,656 אפשרויות.
  • 4 תוים צריך לבדוק 1,679,616 (מיליון וחצי) אפשרויות.
  • 8 תוים צריך לבדוק 2,821,109,907,456 (2 טריליון אפשרויות).
  • 10 תוים צריך לבדוק 3,656,158,440,062,980 (המספר 36 ועוד-15 אפסים, שאני לא יודע איך לקרוא לזה ).

הוספת אותיות גדולות באנגלית מגדילה את המספר הבסיסי מ-36 ל-62 כלומר כל תו נוסף מכפיל את מספר האפשרויות ב-62.

הוספת סימנים   !@#$%^&*)(-_]}[{"?.<~;+=/| מגדילה את המספר הבסיסי בעוד 26 סימנים מה שמגדיל את המספר הבסיסי ל-88.

כלומר מספר האפשרויות שהמפצח צריך לבדוק בסיסמה בת 10 תוים המורכבת מאותיות קטנות, גדולות, סימנים וספרות עולה ממספר עם 15 ספרות למספר בן 19 ספרות.

הכנסת אותיות בעברית (בסיסמה בת 10 תוים) שוברת את הקופה ומגדילה את כמות האפשרויות למספרים אסטרונומיים.

 

מסקנות לבחירת סיסמה חדשה:

  1. להכניס אותיות עבריות בתוך הסיסמה זה אחלה, ההאקרים אפילו לא מתחילים לבדוק סיסמאות בשפות אחרות מכיוון שזה מגדיל את מספר האפשרויות שהם צריכים לבדוק בצורה אסטרונומית.
  2. כדאי לבחור סיסמה עם היגיון פנימי, כך קל לזכור וזה לא משנה מבחינת הסיבוכיות של הפיצוח.
    (לדוגמה רצף האותיות הזה בעברית "סיסמהטובה!!" הוא סיסמה מצוינת aכמעט בלתי ניתנת לפיצוח).
  3. אם כותבים סיסמה באותיות באנגלית אז זה חשוב לגוון באותיות גדולות קטנות מספרים וסימנים.
  4. על הסיסמה להיות לפחות באורך 12 אותיות.

 

דוגמאות לסיסמאות אמתיות שאנשים רשמו וההאקרים כן הצליח לפצח.

(בשינויים קטנים כדי למנוע זיהוי של בעל הסיסמא)

123
Iw341q
Amiral
123456
ttt222
171245
ASz123
121273
avsh69
Bokser
Idanga
5sobak
id1609
111111
Glidot
CUKSUD
111111
Gggggg
dejavu1
gnrs411
6091974
1111980
9899573
Goushka
lamer01
tsurdat
vv91394
yhacarod
xxnvyucv
gywobode
P@ssw0rd
13572468
bettynew
w34h$x8$
46375268
saponera
15091981
s1g2f3c4
46368006
Newnham77
gonzila57
suchzuch1
stmaurice
obady1234
2139yoori
!q2w3e4r5t
gv88908890
yoazreta72
1234567890
784401015768455
272521806420654
759984888775893
610291913856817
58q2m6salanthetony2005