tools
store

עצור סיסמה!

כאשר הייתי צעיר ופרנואידי, האמנתי בסיסמאות ארוכות ומורכבות, ושיש להכריח את המשתמשים לשנותם כל שלושה חודשים.

כיום אני זקן ופראנואידי, אבל אולי מעט חכם יותר:

  • לאנשים יש יותר סיסמאות מסינפסות1. אין סיכוי שהם יזכרו את כל הסיסמאות שלהם.
  • פורצים אינם משתמשים ב-Brute force נגד סיסמאות, זהו בזבוז זמן ומשאבים. רוגלות והנדסה חברתית הם הכלים להשגת סיסמאות.

התוצאות ידועות:

  • פתקיות דביקות צמודות למסך עם הסיסמה
  • גליונות אלקטרונים
  • גילגול סיסמאות (שינוי של תו אחד בסיסמה)
  • שיחות חוזרות ונשנות לתמיכה הטכנית

אז מה לעשות? כמה כללי אצבע:

  1. להגביל מראש את יכולות המשתמש במערכת (הרשאות על ספריות, תוכנות או מחשבים).
  2. להשתמש רק בפרוטוקולים מאובטחים (SSL לאתרי אינטרנט, SSH להעברת נתונים).
  3. להסיר מהמערכות כל רכיב שאינו חיוני (סרגלי כלים תמוהים למיניהם על הדפדפן).
  4. לחסום את גישת המשתמש כאשר אין לו צורך בגישה (כאשר עובד עוזב את החברה).
  5. ודאו כי מנגנון ניהול הסיסמאות שלכם בטוח (ראיתי מספיק מנגנונים ניהול סיסמאות מבוססי MS-SQL,שסיסמת ברירת המחדל של מנהל המערכת לא שונתה….)

אם אתם עדיין סבורים ששינוי הסיסמא מהווה נדבך נוסף של אבטחה, ניחא. ישום כללי האצבע הללו יכול לאפשר לכם להגדיל את מרווח הזמן ולהקטין את הכללים הדראקוניים של שינוי הסיסמא. המתשמשים שלכם רק ישמחו.

  1. ואני מתיחס גם לאנשים חכמים []

8 תגובות ל-“עצור סיסמה!

  1. רוב מה שכתבת נכון, אבל בגלל שההתייחסות שלך כוללנית מדי – קשה לי מאד אתה.
    ואני אסביר – אם אתה אחראי על אבטחת המידע של ארגון שהמתחרה שלו משקיע מיליונים (ואתה יודע את זה בוודאות כי המתחרה פנה גם אלייך) בניסיון לחדור למערכות שלו. גם אז תמליץ על סיסמאות פשוטות ולא להחליף אותן?
    או אם אתה תומך בחברה בעלת 5 משתמשים ושרת קבצים, גם אז תמליץ להגביל את המשתמשים למקסימום?
    התיאור שלך מתאים לפלח שוק מסויים, אמנם די נרחב אבל לא כול השוק.

    • האמת, כן. סיסמה משולה לשומר בכניסה למרכול השואל "יש לך נשק?"
      סיסמה חזקה משולה לשומר, שלאחר שענית "לא", שואל: "אתה בטוח?" (סיפור אמיתי)

      מאחורי הסיסמה נמצאים אנשים. מאותה שניה שבה אדם נתן (ביודעין או שלא ביודעין) את הסיסמה לאחר, כל מנגנוני בדיקת חוזק הסיסמאות והחלפתן חסרות משמעות.

      כרטיסים הכוללים סיסמאות חד פעמיות או כלים ביומטריים יכולים להוות תחליף, אך אז סוגיית הסיסמה הופכת להיות חסרת משמעות.

  2. הבעיה היא — איפה יושב הגבול הדק בין הרשאות המשתמש לבין יעילות של משתמש.

    דוגמה פשוטה: התקנת תכנה ע"י משתמשים.

    – אני עובד בסביבה שבה כווולם עובדים עם מסוף telnet של חברה מסויימת. לספר שהוא גרוע זה לא לספר כלום. התקנתי PuTTy שעובד הרבה יותר מהר, הרבה יותר נוח לתפעול, ובעל יותר אפשרויות. בנוסף להכל הוא גם אמור להיות מספיק בטח מכיוון שזו תכנה חופשית וידועה. אז האם להגביל אותי?
    – במקום שאני עובד בו, מעט מכירים מה זה cygwin כי הם רגילים לסביבת MS נקיה עם VS ושאר הדברים. האם אפשר להגביל אותי בהתקנה של cygwin שיכולה לשפר את יעילות העובד פלאים?
    – במקום עבודה שלי אני עובד הרבה עם VMS. אין שם כלים להשוואה ומיזוג קבצים (נורא ואיום). באתי, התאמצתי התקנתי vim עם אפשרות vimdiff והעבודה שהייתה אמורה לקחת לי 2-3 שבועות (מיזוג שינויים מאוד גדולים ממערכת אחת לשניה) לקחה לי שבוע בזכות כלים שאף אחד לא עובד איתם אבל הם מייעלים את התהליך.

    יש משמעות גדולה בנוחות העובדה, כלים זמינים, גמישות שמשפיעה על יעילות העובד.

    נכון שאפשר להגביל הרשאות, לדורש שכל פיפס קטן יעבוד דרך איש אבטחת מידע או טכנאי, אבל… ביזבוז זמן העובדים יהיה הרבה יותר יקר. הראיה של מנהל IT וראיה של עובדים שונה לחלוטין. לכן צריך לחפש דרכים לאבטח סביבה בלי לפגוע ביעילות של העובד.

    דוגמה פשוטה – לא צריך לוותר על סיסמאות, אבל כל הגישות המאובטחות צריכות לעבוד דרך אותה מערכת עם אותה סיסמה. ככה אני אוכל לזכור גם סיסמאות מורכבות ביותר. כי יש רק אחת כזו. (זו הגישה שנוקטים באוניברסיטת ת"א והיא מאוד יעילה ונוחה).

    my $0.02

    • לא היה בכוונתי לומר כי יש לבטל את הסיסמאות בכלל. טענתי היא כי מערכות סיסמאות קשיחות ומסורבלות מדי (ראה אתרי הבנקים) או שימוש מוגזם בקפצ'ות (ראה אתר בזק) אינן משפרות את אבטחת המידע.

      האם על המנמ"ר לאפשר למשתמש מתוחכם להתקין תכנות? שאלה טובה. (גם אני מסתובב עם Putty ו-Vim על זכרון נתיק). אני אישית מאמין כי ניתן ליצור מדיניות המאפשרת למפתחים (או למשתמשים מתוחכמים) לשפר את סביבת העבודה שלהם.

      אם הראיה של מנהל ה-IT והעובדים שונה, הבעיה אינה טכנולוגית אלא ניהולית.

      • הראיה של מנהל ה IT והמשתמשים היא שונה בהגדרתה.
        מה יעשה מנהל IT בחברה שיש בה 10K משתמשים ומתוכם 500 מפתחים? יעבור שם שם לראות מי "משתמש מתוחכם"? מה הקריטריונים? פה דווקא יצירת סביבות עבודה מנותקות יכולות לעזור.
        לגבי סיסמה – יש תמיד את הדילמה הזו – סיסמה חזקה מדי תגרום למנהל/ת החשבונות לרשום אותה בתחתית המקלדת ו/או בפתק על לוח המודעות (המתוחכמים/ות ישמרו את הפתק במגירה). מצד שני סיסמה חלשה (ואני הכרתי לא מעט שהשתמשו , באופן מפתיע, בתאריך הלידה שלהם) לא תצריך brute force ואפילו לא force בכלל… רק ניחוש בסיסי…
        בין שתי הגישות – אני בעד הגישה של סיסמה חזקה אבל בצורה הגיונית (נגיד 8 תווים ו3 קומפלקס) יחד עם חינוך והסברה תמידיים.

        לגבי איחוד סיסמאות – זו המגמה בעולם, בארץ משומה עדין לא רואים את זה מספיק. אבל זה ייכנס.

        • לענין הסיסמאות: הסיסמאות באירגון הן רק חלק מכלל הסיסמאות שהמשתמש צובר לו. Single Sign On יחסוך כצת כאבר ראש אירגוני, אבל עדיין לא פותר את בעית המשתמש.

          לעניין ניהול וגודל: כאמור, הסוגיה הראשונית היא לא טכנית אלא ניהולית. מנהל IT אינו שונה ממנהל כספים, תפעול או רכש.

  3. הבעיה היא לא באירגונים קטנים אלא דווקא באירגונים גדולים. מפתח למשל, אינו שקול לאיש שיווק או איש תוכן – אבל, ברוב המקומות בוחרים להגדיר את כולם בתור user בסיסי ולהגדיר מדיניות קשיחה – כמו למשל – איסור על חיבור USB.
    ואז מגיע איש המכירות, עובד על מצגת ומנסה להעלות אותה על הזיכרון הנייד שלו – ויוק, הוא לא מסוגל. המפתח, מגלה שהוא לא יכול להתקין (או לעדכן) כלי פיתוח חיוני, או יתרה מכך – אפילו לא יכול להריץ את התוכנה עליה הוא עובד בגלל בעיות הרשאות.

    הבעיה היא לא סיסמא, הבעיה היא אנשי IT לא מבריקים במיוחד שבוחרים בפתרונות ה"קלים" מבלי להבין את הנזק שזה גורם לאירגון.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

news
Privatenotice