שירותים ויישומים שונים, הן בבית והן בעבודה, דורשים מאיתנו שימוש בסיסמה לצורך וידוא זהותינו. למרות שהדבר מנוגד לכללי אבטחת המידע הבסיסיים ביותר, לא נדיר היום. . .
גם למסודרים ביותר שבינינו, אלה שטרחו גם לתעד את הסיסמאות השונות שלהם, הריבוי הזה יוצר מטרד. בכל כמה ימים אחד השירותים יבקש מאתנו לשנות סיסמה, אם כאמצעי אבטחה שגרתי ואם בגלל התקפה שבוצעה על שרתיו. לפעמים נדמה שנגמרו לנו כבר כל הסיסמאות, והדרישות שהאתרים מציבים לבחירה בסיסמה רק הולכות ונעשות מורכבות יותר. אם פעם היתה מספיקה להם סיסמה באורך חמישה תווים, חלק מהאתרים ידרשו כיום סיסמה של שמונה תווים, חלקם אותיות וחלקם מספרים, וגם שימוש באותיות גדולות.
לא מדובר רק בחוסר נוחות - במקרים רבים מדובר בסכנה חמורה של אבטחת מידע. במחקר שפירסמה בשבוע שעבר חברת האבטחה Trustwave נמצא כי 50% מהמשתמשים, בהם עובדים בארגונים, עדיין משתמשים בסיסמאות שניתנות לניחוש בקלות. בנוסף, קבעה החברה כי שימוש חוזר בסיסמאות ישנות נהפך לבעיה משמעותית: ריבוי השירותים המקוונים מעודד אנשים להשתמש שוב ושוב באותה סיסמה לכניסה למערכות שונות - בין אם במערכות מחשב במקום העבודה, או ברשתות חברתיות ובלוגים. רק בימים האחרונים קיבלנו תזכורת נוספת לכך, כאשר פורסם כי תיבת הדוא"ל של נשיא ארה"ב לשעבר, ג'ורג' בוש הבן, נפרצה כתוצאה משימוש בסיסמה קלה לפיצוח.
הסופר וחוקר האבטחה מארק ברנט, שהתפרסם בזכות פרסומיו על בחירת סיסמאות, הסביר בפוסט שפירסם ב-2011 כי בדיקה שערך העלתה כי 9.8% מהמשתמשים ישתמשו באחת משלוש הסיסמאות הפופולריות בעולם: 12345678, 123456 ו-password. 40% מהמשתמשים יבחרו בסיסמה מבין 100 הסיסמאות הפופולריות. 91% בוחרים בסיסמאות שנכללות ברשימת אלף הסיסמאות הפופולריות ברשת.
במסגרת מבדקי חדירה חיצוניים ופנימיים שבוצעו על ידי חברתנו אצל עשרות מלקוחותינו, מומחינו משיגים גישה למערכות השונות הודות למשתמשים (ומספיק אחד מכל הארגון) הבוחרים בסיסמה קלה לפיצוח. בנוסף, החברה מבצעת מבדקים בתצורת White box אשר בהם נבחנים מדיניות הסיסמאות והיישום שלהם, הן כחלק ממבדקי החדירה והן כחלק ממבדק בסיסי נתונים. פעמים רבות, משתמשים בוחרים סיסמאות זהות למערכות שונות בארגון כמו גם לשירותים ברשת האינטרנט, דבר העומד בניגוד לכללי אבטחת המידע הבסיסיים ביותר.
למחקר המלא- כאן