יומן אבטחה

אני חושב שאין מנגנון אבטחה מושמץ יותר מסיסמאות. מה לא נאמר על סיסמאות? ששוכחים אותן בקלות, הן מציקות לעובדים, הן פוגעות באבטחה וכדומה.

מיתוס ראשון: קל לנחש סיסמאות. סיסמאות הנן חלק ממנגנון אבטחה כולל ואינן עומדות בפני עצמן. נכון, קל לכאורה לנחש סיסמאות אם מסתכלים על הסיסמא בלבד. אלא שסיסמאות אמורות להיות מוטמעות ביחד עם אורך מינימלי, גיל מקסימלי, הסטורית סיסמאות והכי חשוב - נעילה לאחר מספר נסיונות כושלים. ניחוש סיסמא של משתמש במסגרת חמישה נסיונות זה דבר לא פשוט, בטח אם יש תחלופה תקופתית ונמנעת הסטוריית סיסמאות למשך לא פחות מ-12 דורות.

מיתוס שני: קל לפרוץ סיסמאות עם תוכנות מדף. זה נכון אם יש לך את קובץ הסיסמאות. אך מדוע שלפורץ תהיה גישה לקובץ הסיסמאות? (בהנחה ואין בארגון תחנות 9x). אם יש לפורץ גישה לקובץ הסיסמאות יש לו גישה לשרת המרכזי ואז פריצת הסיסמאות היא הבעיה הכי קטנה ופחות חשובה של הארגון.

מיתוס שלישי: יותר סיסמא זה יותר חזק. הנה מיתוס שמצליח לפגוע באבטחה באמת. מורכבות סיסמאות, החלפה כל חודש ומינימום של 10 תוים זה בהחלט מה שצריך כדי לשגע את המשתמש ולגרום לו לרשום סיסמאות על פתק. סיסמאות צריכות להיות חזקות דיין ולא עמידות בפענוח על ידי ה-NSA.

זה לבינתיים.