הסיסמאות המסובכות - לא באמת נדרשות

(צילום: שאטרסטוק)

במשך שנים אמרו לנו שצריך לבחור ססמה מורכבת כשאנחנו נרשמים לחשבון כלשהו באינטרנט - מייל, רשת חברתית או בנק. גם דרשו מאיתנו שהססמה תכלול תווים, סימנים ומספרים, אותיות קטנות וגדולות באנגלית. באתרי הבנקים, חברות האשראי וגם במקום העבודה רוצים שנחליף את הססמה בכל 3 או 6 חודשים מה שגורם לשכחה רבה יותר של הססמאות. כעת מסתבר שייתכן וסתם הציקו לנו.

המכון הלאומי לתקנים וטכנולוגיה בארה"ב טוען כי ססמאות עם תווים וסימנים, והצורך להחליפן בכל 3 חודשים - לא רק שמקשים מאוד על המשתמשים לזכור אותן - אלא הן כלל לא נחשבות למאובטחות יותר או קשות לפיצוח. להפך.

המכון האמריקאי המקביל למכון התקנים הישראלי, פרסם הנחיות ועצות חדשות המגדירות לגופים פדרליים אילו ססמאות לדרוש מהמשתמשים ומהעובדים שלהם. כך לפי דיווח ב"וול־סטריט ג'ורנל".

ההנחיות החדשות, שפורסמו ביוני האחרון, כבר לא כוללות דרישה לססמאות עם סימנים מיוחדים (מספרים, אותיות גדולות וקטנות באנגלית, שילוב של תווים כמו סימן קריאה ושאלה, למשל Pa$$w0rd). גם אין צורך לחייב החלפת ססמה בכל 6 חודשים, אלא רק כאשר יש חשש מהותי שהססמאות נגנבו.

ההנחיות המקוריות שהכילו את הדרישות הללו פורסמו בשנת 2003 על ידי איש אבטחת המידע הוותיק ביל בר, שכבר יצא מאז לפנסיה, והפכו עם הזמן למובנות מאליהן עבור ארגונים, מוסדות אקדמיים, גופים ממשלתיים - בכל העולם וגם בישראל. כעת, בראיון לוול־סטריט ג'ורנל, בר חזר בו והתוודה: "העצות לססמאות עם תווים מיוחדים והדרישה להחליפן אינן נכונות. אני מתחרט על הרבה ממה שעשיתי".

במכון האמריקאי אומרים כעת כי להנחיות המקוריות הללו הייתה "השפעה שלילית על השימושיות והן תרמו מעט לאבטחה". הסיבה? ססמאות קצרות עם תווים שונים נחשבות קלות יחסית לפיצוח עבור האקרים המצוידים בתוכנות מתקדמות. אלא שלאנשים דווקא קשה מאוד לזכור אותן בגלל המורכבות שלהן. וכאשר אנו צריכים להחליף ססמה בכל 3 חודשים - זה רק מכביד ומעצבן, גורם לנו לשכוח את הססמה שוב ושוב - ומעודד אותנו לחזור על אותה ססמה בדיוק עם שינוי קל (למשל, שינוי של אות או מספר אחד בכל פעם). התוצאה הבלתי רצויה, גם כאן: קושי למשתמש, קלי קלות להאקר.

ישראלים רבים מכירים את הדרישה המתישה באתרי בנקים ובאתרי חברות כרטיסי האשראי - לקבוע ססמה מסובכת ואז להחליפה בכל חצי שנה, שוב ושוב. מדוע בכלל אנו חייבים לעשות זאת?

ייתכן שאין לכך כבר סיבה. אמנם בעבר דרש המפקח על הבנקים מבנקים ומגופי אשראי ליזום החלפת ססמה לפחות אחת לחצי שנה. אך בבנק ישראל מבהירים כעת כי כבר אין דרישה כזו, וכי הבנקים יכולים להחליט בעצמם מה יידרש מלקוח בקביעת ססמה. במסמך 367 של המפקח על הבנקים, המעודכן לשנת 2017, נכתב ש"התאגיד הבנקאי הוא שיקבע כללים לאופן קביעת הססמה, מבחינת אורך והרכב ותדירות החלפתה".

כך או כך, בבנקים ובחברות האשראי לא בטוח שימהרו לבטל את הדרישה מלקוחות לקבוע ססמאות מורכבות עם תווים מיוחדים שיש צורך להחליף בכל שישה חודשים. אך הם כן מאמינים שצריך להקל על הלקוחות ולכן עושים שימוש גם בשיטות אימות נוספות, כמו ססמאות חד־פעמיות שנשלחות ללקוחות בהודעת סמס דבר בעייתי עבור לקוחות חרדים שפעמים רבות אינם משתמשים במכשיר התומך בקבלת הודעות למרות רצונם להשתמש בשירותי הבנק המקוונים באמצעות המחשב.