פעם, בשחר האינטרנט, הסיסמה הנפוצה ביותר ברשת היתה 12345. היום, הסיסמה הנפוצה ביותר ארוכה בסיפרה, אך היא לא ממש בטוחה יותר: 123456. למרות כל הדיווחים על האקרים ופריצות לאורך השנים, כולל המתקפות האחרונות על המייל של גוגל, אנשים רבים ממשיכים להתעלם מכך.

לפי דו"ח חדש, אחד מתוך כל חמישה משתמשי אינטרנט יחליט להשאיר את המקבילה הדיגיטלית של מפתח מתחת לשטיח הכניסה: הם בוחרים סיסמאות פשוטות לניחוש כמו abc123, iloveyou או אפילו password.

"אני מניח שזה פשוט פגם גנטי בבני אדם" אומר עמיחי שולמן, ראש תחום טכנולוגיה ב-Imperva, יצרנית תוכנת אבטחה, "אנחנו שומרים על אותם דפוסים מאז שנות ה-90".

שולמן והחברה שלו בדקו רשימה של 32 מיליון סיסמאות, אותן גנב האקר משירות RockYou, שיוצרת תוכנות לפייסבוק ומייספייס. הרשימה הועלתה לרשת לזמן קצר והאקרים וחוקרי אבטחה הורידו אותה. RockYou, שכבר ספגה ביקורת חריפה על האבטחה הגרועה שלה, המליצה למשתמשיה לשנות את הסיסמאות שלהם, מאחר שההאקר השיג מידע על חשבונות המייל שלהם.

נסיכות ומקלדות

האוצר הזה סיפק הצצה נדירה למנהגי ניהול סיסמאות של משתמשי מחשבים. בדרך כלל, רק סוכנויות ממשל כמו האף-בי-איי או ה-NSA זוכות לגישה לכזה מאגר סיסמאות. מט ווייר, דוקטורנט במעבדה לחקר פשע אלקטרוני באוניברסיטת פלורידה, סיפר שמדובר בכמות אדירה של נתונים.

אימפרבה גילתה שכמעט 1% מהסיסמאות היו 123456, כאשר הססמא השנייה בפופולריות שלה היתה 12345. סיסמאות פופולריות אחרות היו qwerty, abc123 ו-princess.

שולמן עלה על תגלית יותר מדאיגה - 20% מהסיסמאות של האנשים ב-RockYou השתמשו במאגר קטן יחסית של אותן 5,000 סיסמאות. מכך עולה שהאקרים יוכלו לפרוץ בקלות להמוני חשבונות בעזרת שימוש בסיסמאות הנפוצות ביותר. מאחר שהמחשבים והרשתות מאפשרים להם זאת, הם יוכלו לנסות אלפי ניחושי סיסמאות בשנייה.

ההקפאה לא תעזור

"אנחנו נוטים לחשוב על ניסיון לנחש סיסמה כהתקפה שגוזלת המון זמן, ושבמהלכה אני לוקח כל חשבון מנסה מספר רב של שילובי שם וסיסמה", אמר שולמן. "אבל במציאות אתה יכול להיות מאוד אפקטיווי באמצעות בחירה ממבחר קטן מאוד של סיסמאות נפוצות".

כמה אתרים מנסים לסכל תוקפים על ידי הקפאה של חשבון לזמן מה אם ניסו להיכנס אליו עם מספר רב של סיסמאות שגויות. אבל חוקרים אומרים שהאקרים פשוט למדו לעבוד על המערכת על ידי ניחושים בקצב שלא מעלה התרעות במערכת.

כדי לשפר את מצב האבטחה יש אתרים שדורשים לשלב אותיות, מספרים ואפילו סמלים בסיסמאות. אחרים, כמו טוויטר, מונעים מאנשים לבחוק בסיסמאות נפוצות. ועדיין, חוקרים אומרים כי אתרי רשתות חברתיות ואתרי בידור משתדלים שלא להקשות על חיי המשתמשים והם לא מוכנים להכניס יותר מדי אמצעי הגנה. אפילו אתרים מסחריים כמו eBay חייבים לשקול את ההשלכות של הקפאת חשבונות , מאחר שהאקר יוכל לנסות למשל לזכות במכירה פומבית על ידי הקפאת חשבונות של מציעים אחרים.

למה כל כך הרבה אנשים משתמשים בכאלה סיסמאות פשוטות? חוקרי אבטחה מסבירים כי אנחנו פשוט מוצפים בכמות הדברים שאנחנו צריכים לזכור בעידן הדיגיטלי. "היום אנחנו צריכים לשמור בוודאי פי 10 סיסמאות בראשינו ממה שהיינו צריכים לזכור לפני 10 שנים", אומר ג'ף מוס, שייסד ועידת האקרים פופולרית ונמצא כיום בפאנל היועצים של המועצה לביטחון לאומי בארה"ב. "סיסמאות לדואר קולי, מספרי כרטיסי אשראי, סיסמאות באינטרנט - קשה לזכור את כל אלה".

חוקרי אבטחה רוצים שתהיה לנו סיסמה שונה לכל אתר, אבל גם הם יודעים שספק אם זה יקרה, אז הם ממליצים שלכל אחד יהיו לפחות שתי סיסמאות - אחת מסובכת לאתרים בהם האבטחה חיונית כמו בנקים ואימייל, ואחת פשוטה לאתרים בהם האבטחה פחות קריטית.