23.2.2010

מדיניות סיסמאות של חשבונות גוגל - גן עדן להאקרים

מחקר חדש בתחום בחירת סיסמאות באינטרנט מגלה אמת מרה: רוב הגולשים בוחרים סיסמאות פשוטות מדי, שכל האקר יכול לפרוץ; ומה עושה גוגל בעניין? עוזר להם לאבד את החשבונות שלהם. טוב שיש אימות סלולרי

יש לכם ג'ימייל? יש סיכוי שתאבדו אותו בקרוב, לנצח.

פתחתם חשבון ב"גוגל"? הסטטיסטיקה אומרת שהסיסמה שלכם מועמדת לפריצה.

משתמשים בשירותי הפרסום של גוגל (אדוורדס) או בחשבון יוטיוב? תהיו מוכנים, נפשית, לאבד את החשבון.

אלא אם כן תפעילו את האימות הסלולרי עבור החשבון שלכם, גוגל לא יעזור לכם להתגונן מפני האקרים רודפי-סיסמאות, שהופכים מהירים, מתוחכמים וקטלניים מתמיד.

המחקר האחרון של חברת "אימפרבה" (Imperva) מינואר 2010 מבוסס על רשימה עדכנית, המכילה 32 מליון סיסמאות, כאלו שנפרצו ע"י האקרים [הסיסמאות שייכות למשתמשי אפליקצייה המכונה RockYou].

הרשימה פורסמה באינטרנט בשלמותה ע"י ההאקרים, אך ללא פרטים מזהים נוספים (בלי שמות משתמשים).

הנה המסקנות שאתם חייבים לדעת (תיכף נדבר על גוגל):

1) בערך 30% מהגולשים בוחרים סיסמאות קצרות מדי (פחות מ-8 תווים)
2) כמעט 50% מהגולשים משתמשים בסיסמאות המבוססות על מילים המופיעות במילון, שמות או סלנג
3) הרוב המוחלט של הגולשים (כ-96%) אינו מוסיף סימנים מיוחדים (כמו ! או @) לסיסמאות שלו
4) כ-20% מן הגולשים משתמשים במאגר מוגבל מאוד של כ-5,000 סיסמאות החוזרות על עצמן
5) האקר יכול לפרוץ 1,000 חשבונות ב-17 דקות, תוך התבססות על מאגר סיסמאות חלשות/מוכרות
6) גולשים רבים מדי משתמשים באותן סיסמאות עבור חשבונות שונים

זו לא בדיחה: מאות אלפי גולשים בוחרים סיסמאות כמו 123456, או password, או iloveyou, או daniel, או monkey, או jessica, או michael, או qwerty, או sunshine, או chocolate. אכן, אלו סיסמאות מטופשות, והן בדיוק מה שההאקרים אוהבים. ההסתייגות היחידה מן המחקר היא, שמאגר הנתונים עליו הוא התבסס לא נלקח מתוך שירות דוא"ל או שירות פיננסי מקוון, אלא מתוך שירות קליל ובלתי-מחייב המיועד לרשתות חברתיות, והפונה בעיקר לצעירים ובני-נוער.


אז איך בדיוק גוגל חושף אתכם?
כל פתיחת ג'ימייל או שירות אחר של גוגל כרוכה בהקמת חשבון גוגל (Google Account).
מדיניות הסיסמאות של גוגל מאוד ליברלית, והסיבה לכך איננה עניינית: גוגל היא תאגיד למטרות רווח, וגוגל רוצה שיהיה קל למשתמשי גוגל להירשם בהמוניהם. אם יהיה קשה להירשם לאתר, גוגל תפסיד סכומי-עתק, וערך המניה שלה יירד.

אז במקום לבחור סיסמה חזקה וטובה שתגן על המשתמש (לדוגמה: G3w%2osVmX), גוגל נותן לכל משתמש לבחור לעצמו את הסיסמה. התוצאה ידועה: חלק גדול מן המשתמשים חושפים עצמם להאקרים, כי הם בוחרים סיסמאות חלשות, ולא מבינים את הסיכון הכרוך בכך.


כאן יש לנו הפתעה מיוחדת בשבילכם: בדיקה קצרה של רשימת 100 הסיסמאות החלשות ביותר ברשימת 32 מליון הסיסמאות שנחשפו, מגלה שמסנן הסיסמאות של גוגל נכשל בצורה חמורה.

הסיסמאות הבאות, שאמורות להיפסל על ידי גוגל בגלל שהן חלשות מדי, זוכות לאישור מצד גוגל:
  • babygirl
  • liverpool
  • basketball
  • tinkerbell
  • samantha
  • whatever
  • spongebob
  • softball
כאמור, הסיסמאות הנ"ל נמצאות ברשימת "100 החלשות ביותר" מתוך הרשימה שנחשפה לאחרונה ע"י המחקר של אימפרבה. נמדדו לפחות 68 אלף מקרים של שימוש בסיסמאות אלו. הן לא אמורות להיות מאושרות על ידי מסנן הסיסמאות של גוגל. אבל הן זוכות לציון "סביר" (Fair), ומאושרות ע"י גוגל למרות שהן אמורות להיות מסווגות בתור "חלש" (Weak) ואז להיפסל.

בדיקה נוספת שנעשתה עבורכם כאן ב"חופש החיפוש" מול מסנן הסיסמאות האוטומטי של גוגל, מגלה שגם סיסמאות פשוטות לניחוש אנושי, המשלבות את שם המשתמש בצורה קלה לזיהוי, או כאלו שמוסיפות מספר פשוט לשם המשתמש, עוברות את המבחן הלא-מחמיר של גוגל. כל מה שצריך זה משתמש שמזלזל בתבונה של אויביו, והסיסמה תיפרץ תוך כמה עשרות נסיונות.

השוואה עם בודק הסיסמאות של מיקרוסופט מגלה כי סיסמאות שמוגדרות כ"חזקות" על ידי גוגל, מוגדרות כ"חלשות" על ידי מיקרוסופט. זה לא אומר שמיקרוסופט אוסרת על משתמשיה לבחור סיסמאות חלשות עבור חשבונות ה"לייב-מייל" (Live Mail) שלה. גם מיקרוסופט לא תמיד שומרת על אבטחת המידע של משתמשיה הרשומים. אבל לפחות מיקרוסופט לא אומרת שהסיסמאות החלשות הן חזקות.


"לי זה לא יקרה"
מאז שהוקם בלוג "חופש החיפוש", קיבלתי עשרות שיחות טלפון היסטריות של ישראלים שחשבונותיהם נפרצו.

אלו אנשים רגילים, בכל הגילאים, שבחרו סיסמה חלשה - והפכו לקורבנות של פושעים הממוקמים, רובם ככולם, בחו"ל (רוסיה, סין, ניגריה וכו'). כשפתחו את החשבון, הם היו אדישים לאבטחת מידע. עכשיו הם בוכים.

ידה הקצרה של משטרת ישראל לא תושיע אותם, ובמרבית המקרים הם מגלים שגם אף אחד ב"גוגל" לא יוכל לסייע להם: לך תוכיח שהחשבון באמת שייך לך. רק אם המשתמש ביצע אימות כפול (דרך קוד שנשלח כ'סמס' בסלולרי), הוא יוכל להציל את החשבון.

לאף נציג "גוגל" אין עניין לצאת מגדרו כדי לשפוט בין שני צדדים - ההאקר שהשתלט על החשבון, והמשתמש המקורי שאיבד את הגישה שלו לחשבון עקב שינוי סיסמה ממקור לא-ידוע. צריך לזכור: ג'ימייל הוא שירות חינמי, ולגוגל אין אפשרות כלכלית לתמוך במשתמשים חינמיים.

כאשר מדובר בחשבון דוא"ל בעל נפח ענק כמו ג'ימייל, כל פריצה לחשבון יוצרת נזק אדיר למשתמש. גרוע מכך: ג'ימייל אוצר בתוכו הודעות רבות ובהן סיסמאות לאתרים כמו פייסבוק. במקרים רבים, אם המשתמש בחר סיסמה זהה לג'ימייל ולפייסבוק, הנזק האישי והחברתי המצטבר יכול להיות עצום. ועוד לא דיברנו על חדירה להיסטוריית האינטרנט של הגולש, שלמעשה חושפת אותו לסחיטה בגלל שימוש באתרים אינטימיים.

אז קודם כל - זה קורה לכולם. אנשים שצברו מאות ואלפי הודעות דוא"ל חשובות, מאבדים את חייהם הוירטואליים ברגע אחד, בגלל בחירת סיסמה חלשה; הטיעונים הנפוצים של הקורבנות הם "קשה לי לזכור סיסמאות מסובכות", "לא חשבתי שהסיסמה כל כך גרועה", או "למה שמישהו בכלל ירצה לפרוץ לי לחשבון?" (התשובה, אגב, היא כסף: איתור סיסמאות נוספות לחשבונות בנק, אשראי, פייפאל וכדומה).

אבל אי אפשר להאשים רק את המשתמשים בכל דבר רע שקורה להם: גוגל בכבודו ובעצמו "אישר" להם את הסיסמה, ובמקרים רבים אף אמר שהיא "חזקה" (כולל אישור בצבע ירוק מרגיע). אם גוגל היה מכריח את משתמשי ג'ימייל, אדוורדס, אנליטיקס או בלוגספוט להשתמש בסיסמאות קשות לפיצוח, האסונות הללו לא היו קורים.


ניגוד האינטרסים בינך ובין גוגל
חייבים להיות ערים להבדל משמעותי בין גוגל והגולשים שלו: גוגל רוצה כמה שיותר משתמשים, ולא איכפת לו יותר מדי אם חשבונותיהם ייפרצו בגלל בחירת סיסמאות חלשות. גוגל תמיד יכול להאשים את המשתמשים שלו באי-ציות ל"המלצות" שלו (ויש המלצות כאלה, אפילו פוסטים שלמים, שמעטים טורחים לקרוא אותם).

מאמרי האזהרה של גוגל בנושא בחירת סיסמאות הם דוגמה קלאסית של כיסוי-ישבן משפטי. חברות-ענק כמו גוגל אמורות כבר לדעת שיש כאן כשל-שוק קולוסאלי, שאי אפשר לתקן אותו בעזרת "הסברה". אז במקום להעמיד פנים שניתן "לחנך את העם" כיצד לבחור סיסמה חזקה, אפשר להקל עליו ולבחור סיסמה חזקה עבורו.

אנשים שאיבדו תיבת ג'ימייל, או שהאקר מזרח-אירופאי פרץ לחשבון ה"אדוורדס" שלהם, נוטים שלא לספר לאף אחד מה קרה להם. הם מחרישים כיוון שעברו טראומה מביכה, והם לא רוצים להיתפס בתור אדיוטים. אבל האמת היא הרבה יותר מורכבת: צריך שניים לטנגו בכל מה שנוגע למדיניות סיסמאות, והנהלת גוגל חייבת להבין שג'ימייל זה לא צחוק. בכל תיבה יש כמה ג'יגות של מכתבים ומסמכים, ואי אפשר להגן על כספת בעזרת מנעול מפלסטיק.

החוקים הידועים של בחירת סיסמאות: 
  • 8 אותיות ומעלה
  • צירופים מקריים בלבד (בחירה אקראית של אותיות)
  • לא להשתמש במילים ידועות (כאלו שמופיעות במילון)
  • לשלב אותיות גדולות וקטנות (lowercase & uppercase)
  • להוסיף מספרים
  • להוסיף וסימנים מיוחדים (כמו $ או !)
  • לא להשתמש באותן סיסמאות לחשבונות שונים ואתרים שונים

אבל ניסוח חוקים והטפות מוסרים אינם עוזרים, כיוון שכל המחקרים מוכיחים שרוב הגולשים לא מסוגלים להפנים את השיטה, וגם לא רוצים להפנים אותה. יותר מכך: אי אפשר לסמוך על ילדים בני 10 שיבחרו סיסמה ראויה, כאשר כישורי ההקלדה שלהם לוקים בחסר.


"אז מה אתה מציע?
"

לאור הנתונים שהתפרסמו במחקר האחרון של אימפרבה, בהחלט הגיע הזמן שמנוע החיפוש הגדול בעולם (גוגל), שמציע עשרות שירותי-אינטרנט רגישים וחשובים, יקשיח את מדיניות בחירת הסיסמאות שלו.

גוגל חייב לשמור על פרטיותם של הגולשים, ולא לתת להם לאבד את מסמכיהם האישיים, כולל החיפושים שלהם והיסטוריית הגלישה שלהם.

החזון של גוגל הוא "לארגן את המידע בעולם, ולהפוך אותו לנגיש ושימושי". החזון מעולם לא היה "לחשוף את כל המידע בעולם ולהפוך את פרטיהם האישיים של המשתמשים נגישים וזמינים עבור האקרים, פושעים ומרגלים".

אנחנו נמצאים במלחמה דיגיטלית קשה נגד האקרים עתירי-ידע, הנעזרים בתוכנות פריצה מהירות להחריד. פער המידע בין הגולש הממוצע ובין ההאקר המקצועי הוא בלתי ניתן לגישור.

לכן, השורה התחתונה היא: גוגל חייב לבחור סיסמאות חזקות עבור כל הלקוחות והמשתמשים שלו, ולא לאפשר להם לשנות אותן לסיסמאות קלות לפריצה, שהן פחות מסובכות ממשהו שנקרא כך: Gt&2aZ987Cx. מדיניות הסיסמאות הנוכחית של חשבונות גוגל היא גן-עדן להאקרים, והמצב הקיים דורש תיקון דחוף ביותר.


אימות סלולרי
עדכון 29 נובמבר 2011: גוגל החל להעלות הודעות אזהרה בג'ימייל ובחשבונות ג'ימייל, לפיהן "אלפי חשבונות נחטפים מדי יום". ההודעות מעודדות את משתמשי ג'ימייל וגוגל להחליף סיסמה (אם היא נמצאת בשימוש באתרים אחרים), או להפעיל את תהליך האימות הדו-שלבי, הכולל קוד מיוחד הנשלח למכשיר הסלולרי, כדי למנוע איבוד חשבון. 

אימות סלולרי (קוד נשלח למכשיר הנייד) מאפשר להגן על החשבון באמצעות קישורו למכשיר טלפון, שאותו הרבה יותר קשה לגנוב, אם אתה האקר שיושב במדינה אחרת. לרוע המזל, אימות סלולרי (דו-שלבי) אינו חובה במסגרת תהליך ההרשמה לחשבונות גוגל. יותר מכך: משתמשים רבים חוששים למסור את מספר הטלפון שלהם לגוגל, מסיבות מובנות.

כך נוצר מצב, שדווקא כלי אבטחה יעיל וקל לשימוש - אימות סלולרי - מפחיד את המשתמשים מפגיעה בפרטיותם, יותר מאשר גניבת חשבון יקר-ערך, בו מאוחסנים פרטים אישיים חשובים שאינם ניתנים לשיחזור במקרה של אובדן החשבון לידי האקר.

כמובן ש"חופש החיפוש" ממליץ על אימות סלולרי. ניתן לקבל קוד הפעלת אימות באמצעות סמס או הודעה קולית. התהליך פשוט, ונמשך לכל היותר כמה דקות. במקרה של כניסה ממחשב לא מזוהה, ניתן לקבל הודעת התראה. גם במקרה של החלפת סיסמה, מקבלים הודעת סמס לנייד. 

אבל עדיין לא הגענו לרמת הביטחון הרצויה: במציאות שבה יותר מדי אנשים מסרבים להפעיל אימות סלולרי בגלל פחדים עמוקים מחדירה לפרטיותם, חשבונות גוגל עדיין פרוצים בחלקם. להאקרים יש עוד הרבה עבודה, וגוגל מוכנה להתפשר על בטחונכם כדי להגדיל את כוחה באמצעות כמות המשתמשים שלה.

הוסף רשומת תגובה
כל הזכויות שמורות לבלוג חופש החיפוש 2007-2012