בית דעות ג'ון דבוראק טועה לחלוטין בנוגע לסיסמאות | ניל ג'. שפשוף

ג'ון דבוראק טועה לחלוטין בנוגע לסיסמאות | ניל ג'. שפשוף

Anonim

בחודש שעבר ג 'ון דווורק, בעל טור PCMag ותיק והכריז על עצמו "חנון מצועצע", תיאר את הדיווחים על תהליך איפוס הסיסמה. הייתי עסוק ברצינות בסיקור ועידת RSA בסן פרנסיסקו, כך שלא הקדשתי לזה תשומת לב רבה. כעת, לאחר שהתבוננתי, אוכל לומר כי עמדתו של ג'ון שגויה לחלוטין. כדי לשאול ביטוי מ"משחק הכס ", אתה לא יודע כלום, ג'ון דוווראק!

דבוראק אמר, "מה קרה לרעיון לשלוח למישהו את הסיסמה ולא קישור לאיפוס? אהבתי את הסיסמה הישנה." הוא המשיך לזלזל בשימוש בקישור לאיפוס במקום, ואמר "כל זה לא מגן עלי או על מישהו אחר מכלום. זו מצודה. איך זה מגן על משהו?" ובכן, ג'ון, אני אגיד לך.

אין להם את זה

הסיבה הגדולה ביותר שאתר מאובטח לא ישלח לך סיסמא שנשכחה היא פשוטה מאוד: אין להם את זה. הם לא מאחסנים אותו בשום מקום. וטוב שכך. אם הם לא מאחסנים את הסיסמה שלך, אז לא ניתן לגנוב את הסיסמא על ידי האקרים או לפרסם אותם בפסטבין על ידי עובד ממורמר. למען האמת, אתר שמאחסן למעשה את הסיסמא שלך מסכן את פרטיותך.

אז אם הם לא מאחסנים את הסיסמה שלך, איך הם יכולים לדעת שהזנת את הסיסמה הנכונה? התשובה נעוצה במושג שנקרא hashing. Hashing דומה מאוד להצפנה, אך זהו תהליך חד כיווני. אותה קלט לאלגוריתם hashing תמיד מניבה את אותו פלט, אך אין דרך לקחת את הפלט הזה ולגלות מחדש את המקור.

נניח שאתה נרשם לחשבון מקוון חדש באמצעות הסיסמה המועדפת עליך, שהיא במקרה "סיסמה". האתר מכניס את מה שהזנת דרך אלגוריתם hashing ומחזיר קצת ג'יבריש כמו 991CEFz & Nw36, אותו הוא מאחסן. כשאתה נכנס לאתר האתר מריץ את הסיסמה שהזנת באמצעות אותו אלגוריתם. אם התוצאה תואמת, אתה נמצא.

הם לא צריכים לשלוח את זה

גם אם אתר מאובטח אוחסן את הסיסמה שלך בפועל, אסור להם לשלוח אותה אליך בדוא"ל. הדוא"ל אינו מטבעו. ההודעות שלך מקפצות משרת לשרת בדרך לתיבת הדואר הנכנס שלך. אלא אם כן השתמשת באיזו הצפנת דוא"ל, הסיסמה שלך פשוט לא בטוחה במהלך נסיעותיה.

דבוז'אק טוען שקישור לאיפוס סיסמה פגיע באותה מידה. הוא טועה. ראשית, קישורי איפוס הם בדרך כלל קצרי מועד. זמן קצר לאחר שתבקש את הקישור, הוא יהפוך לחוק. לאחר שתשתמש בקישור, שוב הוא יהפוך לא חוקי. כמו כן, השימוש בקישור מגדיר חיבור SSL מאובטח בין הדפדפן שלך לשרתי האתר. אתה מזין את הסיסמה החדשה שלך, האתר ממהר לאחסן את התוצאה ואתה שוב בעסק.

אבל אני לא זוכר!

דבוז'אק מעלה את הבעיה של חשבון ה- Dropbox שלו, בו הוא משתמש רק כמה פעמים בשנה. באופן טבעי כאשר הוא נאלץ להשתמש בו, הוא לא זוכר את הסיסמה. למעשה, סיסמה שתוכלו לזכור בקלות היא סבירה מאוד שמישהו אחר יכול לנחש. מה שהוא באמת צריך לעשות זה להתחיל להשתמש במנהל סיסמאות, ולשנות את כל הסיסמאות הקיימות שלו לסיסמאות חדשות, חזקות וייחודיות.

  • כיצד לבצע סיסמאות מאובטחות בצורה בטוחה כיצד לבצע סיסמאות בטוחות בטעות
  • מנהלי הסיסמאות הטובים ביותר לשנת 2019 מנהלי הסיסמאות הטובים ביותר לשנת 2019
  • דילמת איפוס הסיסמה דילמת איפוס סיסמה

כן, ישנה עבודה מסוימת במעבר לסיסמאות חזקות, אך בהחלט שווה את המאמץ. ג'יל דאפי משלנו מסביר איך היא עשתה את זה במשך חמישה שבועות. וזה לא צריך להיות יקר. חלק ממנהלי הסיסמאות החינמיים הזמינים עושים עבודה מצוינת.

"אבל אני עדיין צריך לזכור את סיסמת המאסטר החזקה ההיא", אני כמעט יכול לשמוע את ג'ון אומר. אכן כן. אבל זו רק סיסמא אחת, ויש דרכים להפוך אותה לבלתי נשכחת. בנוסף, תשתמש בזה בכל יום ולא פעם בשנה. אז, ג'ון, שקול את שיחת ההשכמה שלך; הגיע הזמן להצטרף לעולם המודרני ולקבל מנהל סיסמאות.

ג'ון דבוראק טועה לחלוטין בנוגע לסיסמאות | ניל ג'. שפשוף