מאגר נתונים המכיל 1.4 מיליארד פרטי משתמשים התגלה ברשת האפלה

מאגר נתונים המכיל 1.4 מיליארד פרטי משתמשים התגלה ברשת האפלה

נתוני המאגר מעידים כי רוב האנשים עדיין משתמשים בסיסמאות חלשות שניתן לנחשן בקלות

שנים רבות של חינוך והטפות לבחור בסיסמאות מורכבות, ובדיקה דקדקנית של החוזק של כל סיסמא שמקליד המשתמש, לא הועילו במיוחד לרוב האנשים. כך מסתבר מהתגלית שחשף לאחרונה צוות 4iQ, העוקב אחר פעילות בלתי חוקית, בעיקר ברשת האפילה: מאגר נתונים המכיל 1.4 מיליארד פרטי זיהוי (login credentials) גלויים לחלוטין, ללא כל הצפנה (ב-cleartext).
אף סיסמא לא הייתה מוצפנת, ובבדיקה של מרבית פרטי הזיהוי עלה כי הם נמצאים בשימוש. חמור מכך: רבים מהמשתמשים בחרו בסיסמאות הפשוטות ביותר, שקל מאוד לנחשן: 1234, 123456, password, qwerty ו-iloveyou, למשל. בנוסף, רבים מבעלי החשבונות משתמשים באותה סיסמא לכל חשבונותיהם, ובעת החלפת סיסמאות לאותו חשבון הם מחליפים או מוסיפים רק תו אחד (למשל:oregon1967 במקום oregon1966).
בסיס הנתונים שנחשף כעת גדול כמעט פי שניים מבסיס הנתונים הגדול ביותר שנחשף עד כה, הכולל 797 מיליון רשומות, והוא למעשה מאגר מצטבר (אגרגטיבי) של מידע ממקורות קיימים וידועים לרשימות פרטי משתמש כגון Exploit.in ו-Anti Public ושל סיסמאות מפוצחות מאתרים כגון LinkedIn, שידוע כי הייתה בהם דליפת נתונים.
חושפי מסד הנתונים הדגישו אין המדובר ברשימה בלבד אלא בבסיס נתונים המאפשר חיפוש מהיר ויבוא של פרטי משתמש נוספים. מכיוון שאנשים רבים משתמשים שוב ושוב באותה סיסמא בכל המקומות המחייבים זאת, קל מאוד להגיע לכל נתוניהם מתוך ידיעת סיסמת הכניסה למקום אחד.
בסיס הנתונים הזה הוא “גן עדן להאקרים” מכיוון שהוא מאפשר למצוא סיסמאות באופן פשוט וקל יותר מאי פעם. הקלדה של סיסמאות נפוצות כגון root, admin או password מעלה מיידית מאות אלפי רשומות שקל מאוד להיכנס אליהן. אבל לבסיס הנתונים יש ערך חשוב לכל העוסקים בקריפטוגרפיה, שכן הוא מסודר אלפביתית ומאפשר זיהוי של מגמות באופן שבו אנשים מגדירים סיסמאות, משתמשים בהן שוב ויוצרים לאורך זמן דגמים החוזרים על עצמם. התמונה העגומה המשתקפת ממסד הנתונים ממחישה את הצורך להישמע להמלצות כמו אלו של המכון הלאומי לתקנים ולטכנולוגיה של ארה״ב (NIST), המופיעות ב-NIST Cybersecurity Framework . מכון התקנים האמריקאי הפתיע רבים כשהמליץ על הפסקת נוהל עדכון הסיסמאות התקופתי, המחייב עובדים להגדיר מדי חודש או פרק זמן אחר סיסמא חדשה, וכן על ביטול ההמלצה לניסוח סיסמאות מורכבות המשלבות תווים, מספרים וכו׳. הנתונים משקפים מציאות שלפיה רוב האנשים פשוט יוצאים ידי חובה ומשנים תו אחד או בוחרים סיסמה שקל מאוד לנחש ומשתמשים בה שוב ושוב.

 

 

 

 

הפתרון המומלץ הוא להשתמש בכלים לניהול סיסמאות, כגון Keypass או PasswordSafe. לכלי כזה יש להגדיר סיסמה חזקה מאוד, ואז לרשום בו את הסיסמאות שמגדירים לכל אתר. עבור כל אתר יש להגדיר סיסמה אחרת, חסרת משמעות לחלוטין – למשל: sraT.87.glaGs – ולשמור אותן בתוך קובץ Keypass, שאותו כמובן יש לגבות במיקום בטוח. יש להביא בחשבון שהאלגוריתמים של ההאקרים מכירים את כל ה״טריקים״ של שילוב טקסטים מוכרים – שם האתר, שם המשתמש, שיר של הביטלס ועוד – ולכן כל טקסט כזה, גם בשילוב של אותיות ומספרים ואותיות גדולות וקטנות – ייחשף בתוך זמן קצר.