על ארונית הפכסמים בחדר האוכל בכלא הוצב מנעול. זה היה מנעול כבד וגדול שנועד להתמודד עם הצריכה המופרזת, בעיני מפקד הכלא החלקלק, של פכסמי הכוסמת הטעימים שחולקו לאסירים בכלא של המשטר.

בלעם, חבר המחתרת הכלוא, התרעם מאוד על צמצום הגישה שלו לפכסמים החביבים עליו, והחליט להתגנב לחדר האוכל בשעת אימוני הבוקר ולפרוץ את המנעול. המנעול היה כסוף ועליו שלושה גלגלי שיניים עם ספרות, שהיה צריך לסובב כדי להגיע לקוד מסוים שרק הוא איפשר את פתיחת המנעול. שלוש ספרות, חשב בלעם, מגיעות לאלף אפשרויות: מ-000 ועד 999.

אחת ושתיים פשט ידיים, והחל לנסות קודים שונים. ניסה 000, משך בידית - לא עבד. ניסה 001, משך בידית - לא עבד. ניסה 002, משך בידית - לא עבד. ככה ישב, שעתיים בערך, ולבסוף כשהגיע ל-666, הוא משך בידית, והארונית נפתחה. הפכסמים היו שלו.

שיטת פריצת הסיסמאות הזו נקראת “תקיפת כח גס”, או בלעז Brute Force Attack. בשיטה הזו פשוט מנסים את כל הסיסמאות, עד שמצליחים למצוא את הסיסמה הנכונה. במקרה של בלעם היה מדובר על אלף אפשרויות, אבל כשמדובר בסיסמאות מורכבות יותר מספר האפשרויות מזנק באופן משמעותי.

ניקח למשל סיסמה שמורכבת רק מאותיות קטנות (lowercase) באנגלית. סיסמה בעלת חמישה תווים תדרוש 11,881,376 נסיונות כדי לכסות את כל האפשרויות, וכדי לעשות את אותו דבר על סיסמה בעלת שמונה תווים ידרשו 208,827,064,576 נסיונות. אם נוסיף לסיסמה שלנו גם אותיות ראשיות (Uppercase) סיסמה בעלת חמישה תווים תדרוש 60,466,176 נסיונות, וסיסמה בעלת שמונה תווים תצטרך כבר 2,821,109,907,456. נוסיף גם ספרות ונצטרך 916,132,832 נסיונות לחמישה תווים ו-218,340,105,584,896 נסיונות לשמונה תווים.

זה אולי נשמע הרבה, אבל מחשב ביתי מודרני יכול “לנחש” מליונים רבים של סיסמאות בכל שניה, כך שסיסמה בעלת חמישה תווים, למשל, תנוחש בתוך שניות, וכזו עם שמונה תווים תוך שעות. אם אנחנו מדברים על מערכות רציניות יותר, ואפשר “להשכיר” כאלה במחירים מגוחכים (כ-$5 לשעה יאפשרו כח ניחוש סיסמאות אדיר שיכול להגיע לכמה מיליארדי סיסמאות בשניה), סיסמה של 8 תווים, גם עם שילוב של אותיות קטנות, גדולות, מספרים, ותווים מיוחדים, תיפרץ תוך זמן קצר יחסית.

מפקד הכלא, שלא היה מרוצה מהפריצה המוצלחת של בלעם, מיהר להחליף את המנעול במערכת אבטחה חדשה. עכשיו במקום שלוש ספרות היתה מקלדת ומי שביקש לכרסם פכסמים נדרש להקיש סיסמה.

בלעם ישב וחישב וגילה שאם יצטרך לנחש ידנית את הסיסמה, בהנחה שהוא מצליח להקליד במהירות של סיסמה בשניה במשך 24 שעות ביממה, ושיש רק חמישה תווים באותיות לועזיות קטנות, זה עדיין יקח לו 137 ימים. ומי יכול להסתדר בלי פכסמי הכוסמת הנהדרים במשך 137 ימים? לא בלעם. נדרשה לו אסטרטגיה חדשה.

במקום לנחש תווים בצורה אקראית, הוא השאיל בנימוס את המילון מספריית הכלא והחל להקליד את המילה הראשונה בו, “אב”, ותכנן להגיע עד “תתרן”. בסך הכל, על פי האקדמיה העברית, הוא היה צפוי להקליד כ-75,000 מילים, שבקצב שהציב לעצמו היה מקסימום 20 שעות. קשה, אבל אפשרי. למרבה שמחתו, כשהגיע למילה “אשמדאי” נשמעה נקישה, דלת הארונית נפתחה, והפכסמים, שוב, היו בידו.

מתקפה כזו נקראת “מתקפת מילון”, Dictionary attack. אנשים אינם פתותי שלג יחודיים, והפורצים מנצלים את זה. הם מחזיקים מילונים גדולים שמורכבים ממיליארדי סיסמאות, מסודרות על ידי הפופולריות שלהן, ומנסים אותן אחת אחת. נכון להיום הסיסמה הפופולרית ביותר ברשת היא “123456”, זו שאחריה היא “123456789”, ומספר 4 ברשימה הוא “password”. הרשימות האלה נבנו בין השאר ממסדי נתונים אמיתיים שהכילו סיסמאות שדלפו לרשת, ושימוש ברשימות האלה, שמופצות באופן חופשי לחלוטין, מקצר באופן משמעותי את הזמן הדרוש לניחוש הסיסמה המבוקשת.

לאחר שהתגלתה גם הסיסמה הזו של מפקד הכלא החלקלק, הוא החליף אותה שוב, והפעם למשהו מסובך במיוחד. בלעם, מונע על ידי התאווה לפכסם הנכסף, עבר על כל המילון ולא הצליח לנחש את הסיסמה של מפקד הכלא. מורעב ומאוכזב, הוא ביקש את עזרתה של לודה. “אל חשש”, אמרה לו לודה בקולה הבוטח, ויצאה למסדרון להשתמש בטלפון.

“שלום”, אמרה לודה לתוך השפופרת. “מדברת רבקה ממחלקת אבטחת המידע בשב”ס, אנחנו עושים ביקורת אבטחת מידע על חוזק סיסמאות. על פי רישומינו הסיסמה לארונית הפכסמים אינה בטוחה”. “אינה בטוחה?!” נזעק מפקד הכלא מצידו השני של הקו. “איך זה יכול להיות? השתמשתי בשם הנעורים של אימי, בשם הכלב הראשון שלי, ובמספר הפעמים שזכיתי באליפות בית הספר בדוקים!”. “יתכן שמדובר בטעות ברישומים שלנו”, ענתה לודה, “נחזור אליך עם ממצאינו”.

עכשיו, שהיה ברשות לודה המידע על הסיסמה, היא פנתה לרישומים שלה, והיה לה כל מה שנדרש. “בוא אחרי”, אמרה לבלעם, והחלה לצעוד לעבר חדר האוכל. היא נעמדה מול ארונית הפכסמים, הקישה “סגלקאיה0”, והקליק הנכסף נשמע. לודה הושיטה את ידה, הוציאה כמה חבילות, והגישה לבלעם את פכסמי הכוסמת האהובים.

המתקפה הזו מכונה בשם “הנדסה חברתית”, והיא משתמשת בחוליה החלשה ביותר בשרשרת האבטחה: בני אדם. עם מספיק ביטחון, ובהעדר נהלים מסודרים, אפשר להוציא מאנשים בארגונים גדולים כמעט הכל. בין השיטות המקובלות אפשר למצוא שיחות טלפון בהן מתחזים המתקשרים לעובדים בארגון המבקשים מידע או גישה למידע; פיזור כונני USB בסביבת העבודה כדי שהעובדים יכניסו אותם למחשביהם ובכך ידביקו אותם ברושעות שיאפשרו לפורצים גישה מרחוק; מיפוי העובדים ברשתות החברתיות ופניה אליהם שם כדי להוציא מידע על הארגון, ועוד ועוד.

ארגונים שונים שולחים דוא”לים שמתחזים להודעות רשמיות מכל מיני גופים ומודיעים בטון רציני לנמענים על שקרכלשהו שדורש מהם להתחבר לחשבונם בדחיפות. בדוא”ל מכניסים הארגונים קישור לאתר שנראה בדיוק כמו השירות אליו הם מנסים לפרוץ, נניח עמוד ההתחברות של ג’ימייל, והקורבן התמים מקיש את פרטי ההתחברות שלו שעוברים מיד לידי הפורצים. הפרקטיקה הזו נקראת פישינג (Phishing).

ארגוני ביון ופשע שמכבדים את עצמם הולכים צעד אחד קדימה, ובמקום לשלוח דוא”ל כללי להמון משתמשים, הם מזהים את האנשים שיש להם גישה למערכת אליה הם מבקשים להיכנס, דוגמת מנהלים או אנשי מחלקת המחשוב, ואז “דגים” אותם באופן פרטני, פונים אליהם בצורה ובזמן שתמקסם את הסיכוי שלהם ליפול בפח. זה מה שעשה ה-FSB, ארגון הביון הרוסי לבכירים במפלגה הדמוקרטית בארה”ב, ולאנשי מחלקת המחשוב ב”יאהו”. המתקפה הזו נקראת “Spear Phishing”, כי במקום לפרוש רשת רחבה בתקווה לדוג כמה דגים קטנים, משתמשים בחנית על מנת לשפד קורבן ספציפי.

אז מה הדרך הנכונה להשתמש בסיסמאות?

1. סיסמה ארוכה תמיד עדיפה על סיסמה קצרה. כיוון שכמו שראינו שימוש ב-Brute force נעשה קשה עם הוספה של כל תו נוסף. למשל, הסיסמה Gagarin, המכילה 7 תווים של אותיות קטנות וגדולות, תדרוש 1,028,071,702,528 ניחושים (52 אותיות אפשריות, גדולות וקטנות, בחזקת 7). בהינתן 2 מיליארד ניחושים בשניה, הסיסמה הזו תיפרץ תוך 9 דקות, וסביר שהרבה קודם. לעומת זאת, סיסמה באורך 12 תווים כמו למשל Gag4r1nIS*@! תיקח באותו קצב חישוב 7.5 מיליון שנים כדי לנחש אותה. החישוב הוא 94 תווים אפשריים (26 אותיות גדולות, 26 אותיות קטנות, 10 ספרות, ו-32 תווים מיוחדים) בחזקת 12. מדובר בלא פחות מ-475,920,314,814,253,376,475,136 אפשרויות שונות. כל הוספה של תו אחד מקשה באופן משמעותי על ניחוש הסיסמה. לקומיקס המשובח xkcd יש פרק מצוין על זה:

1. שימוש באותה סיסמה ביותר משירות אחד הוא חולשה משמעותית. נניח והשתמשתם בסיסמה המשוכללת מהסעיף הקודם גם בחשבון הדוא”ל שלכם וגם בחנות למכשירי חשמל בחולון. אם (וכאשר) יפרץ מסד הנתונים של החנות למכשירי חשמל, הדוא”ל שלכם והסיסמה שלכם יהיו חשופים לפורצים, והם ינסו אותם במערכות אחרות תוך זמן קצר (לפעמים תוך שעות ספורות מרגע הפריצה). לצורך כך מומלץ מאוד להשתמש במנהל סיסמאות כמו keepass למשל, שידרוש מכם לזכור רק סיסמה אחת והוא יזכור בשבילכם את כל השאר.

2. גם סיסמאות “מתוחכמות” כמו “משה1” באתר אחד ו”משה2” באתר אחר הן אינן בטוחות. בדארק-ווב וגם בקליר-ווב יש מסדי נתונים שאוספים את כל “דליפות” המידע ממאות שירותים שונים, ולארגוני ביון ופשיעה ברחבי העולם יש מסדי נתונים נוספים שנפלו ממשאית שעברה לא רחוק משם. באמצעות ריבוי מסדי הנתונים מצליבים את הסיסמאות, וכך אפשר למצוא חוקיות אפילו באלגוריתם המתוחכם שהמצאתם לפיו בגוגל הסיסמה היא “משהגוגל” ובפייסבוק היא “משהפייסבוק”. מנהל סיסמאות שיוצר סיסמאות אקראיות יפתור לכם גם את הבעיה הזו.

3. החלפה של סיסמאות כל מספר שבועות או חודשים תבטיח שגם אם גרסה ישנה של מסד הנתונים תפציע ברשת, או שמישהו ימצא את הסיסמה שלכם במחברת הסודית במגירת השולחן, זה לא יעזור.

4. הפעלה של אימות דו שלבי תבטיח שגם אם קרה ומישהו הצליח לגלות את הסיסמה שלכם, הוא עדיין לא יוכל להיכנס.

5. לזכור שהכל פריץ, בסופו של דבר. סיסמה שבשנת 2000 נחשבה “בטוחה” ושנדרשו לא פחות מ-3 שנים לפצח, היום תפוצח תוך ימים ספורים לכל היותר.

אם יש נושאים שהייתם רוצים שלודה ובלעם יעסקו בהם, כמו למשל חוזים חכמים, סוגי מטבעות, צורות שונות של הצפנה, פרוטוקולים של תקשורת ברשת, וכל סוג של ירק שתרצו, תרגישו חופשיים להשאיר תגובות כאן למטה, והם ישקלו את העניין בחיוב.