שירותים רבים באינטרנט החלו בתקופה האחרונה להציג מד חוזק סיסמאות, תוצאה ויזואלית בצבעים המראה האם הסיסמה בה בחר המשתמש היא חזקה או חלשה. יעילות. . .
מחקר שהתבצע באוניברסיטאות מובילות בארה"ב, בהן ברקלי, מביא נתונים אודות תוצאות שני ניסויים שבוצעו על מנת לבחון את ההשפעה של אותם מדי חוזק סיסמאות בעת יצירת סיסמאות לחשבונות רגישים ולחשבונות לא חשובים.
מהניסוי הראשון עולה כי למרות שלל הפרסומים אודות הסכנות שבנתוני הזדהות (credentials) גנובים, משתמשים יעשו שימוש חוזק בסיסמאות, בעיקר בעת פתיחת חשבון, וזאת ללא קשר להימצאותו או אי-הימצאותו של מד חוזק סיסמה. במידה וההקשר משתנה, והמשתמשים מתבקשים לשנות סיסמאות קיימות בחשבונות רגישים, הימצאות מד חוזק סיסמה הינה בעלת השפעה מסויימת.
הניסוי השני נערך בקרב 541 משתמשים, רובם ככולם משתמשים בסיסמאות ממוחזרות וחלשות לצורך גישה לחשבונות פחות חשובים. החוקרים מצאו כי רק 13% מהם זכרו כי ראו מד שבדק את חוזק הסיסמה שלהם, ואילו אחרים ציינו כי מד החוזק תייג את סיסמתם כחלשה. כמו כן, החוקרים מצאו כי הנוכחות של מדי חוזק בעת ההרשמה לאתר, אינה יעילה כמו נוכחותם בעת שלבים שאינם קשורים להרשמה, וכי סביר כי במידה ואין מד חוזק סיסמאות באתר, אז משתמשים יבחרו סיסמאות חלשות וקלות לזכירה בהן השתמש קודם לכן.
במבדקי חדירה חיצוניים ופנימיים שבוצעו על ידי אצל עשרות מלקוחותינו, הצליחו מומחינו להשיג גישה למערכות השונות הודות למשתמשים (ומספיק אחד מכל הארגון) הבוחרים בסיסמה קלה לפיצוח. פעמים רבות, משתמשים בוחרים סיסמאות זהות למערכות שונות בארגון כמו גם לשירותים ברשת האינטרנט, דבר העומד בניגוד לכללי אבטחת המידע הבסיסיים ביותר. בנוסף, מדיניות סיסמאות ארגונית שאינה מוקשחת מספיק מהווה נקודת חולשה מהותית במערך האבטחה הארגוני. פרצות אלו ניתנות לסגירה באופן יעיל וכולל תוך יישום מספר צעדים מתקנים, הכוללים גם כתיבת נהלי אבטחה ייעודיים. נשמח לשתף אותך בניסיוננו בתחום.
למחקר המלא- כאן