חוזק סיסמאות

חוזק סיסמה הוא מדד ליעילותה של סיסמה בעמידה בפני ניחושים או התקפות. בדרך כלל, המדד מעריך כמה פעמים יצטרך אדם, שאין לו גישה ישירה לסיסמה, לנסות לנחש אותה. כוחה של סיסמה הוא פונקציה של אורך, מורכבות ואי-צפיות.^[1]

שימוש בסיסמה חזקה מקטין את הסיכוי לפריצה ביטחונית, אך אינו מחליף את הצורך בבקרות ביטחון אחרות. יעילותה של סיסמה בעלת חוזק מסוים מושפעת באופן ישיר מהתכנון והיישום של תוכנת מערכת האימות. עוד גורמים משפיעים הם עוצמת האבטחה של המידע (כולל סיסמאות) התלוי באופן האחסון והשידור שלו. ישנן דרכים להשיג סיסמאות ללא כל קשר לחוזקן, כמו למשל האזנות סתר, פישינג, רישום הקשות, הנדסה חברתית, חיטוט באשפה, התקפת הערוץ הצדדי וניצול נקודות תורפה בתוכנות.

קביעת חוזק הסיסמה[עריכת קוד מקור | עריכה]

ישנם שני גורמים המשפיעים על קביעת חוזק הסיסמה: הקלות בה יכול התוקף לבדוק את תוקפה של סיסמה מנוחשת, והמספר הממוצע של הפעמים שהתוקף יצטרך לנחש סיסמאות עד שימצא את הסיסמה הנכונה. אופן אחסון הסיסמה ושימושה קובע את הגורם הראשון, בעוד הגורם השני נקבע על ידי אורך הסיסמה, מספר סוגי הסמלים הקיימים בה, ואופן היווצרותה.

אימות סיסמה מנוחשת[עריכת קוד מקור | עריכה]

הדרך הברורה והישירה ביותר לבדוק סיסמה מנוחשת, היא פשוט לנסות להשתמש בה במקום הסיסמה המקורית. עם זאת, דרך זו היא איטית ורוב המערכות יחסמו את הגישה לאחר כמה ניסיונות כושלים להכנסת סיסמה באופן קבוע או זמני כאשר גם עיכוב זמני יכול להאט את כמות הניסיונות במידה שתהפוך את הבדיקה ללא רלוונטית.

מערכות שדורשות ממשתמשיהן סיסמאות, צריכות לשמור את הסיסמאות של המשתמשים במקום כלשהו על מנת שיוכלו לבדוק את אמיתותה של סיסמה שמוזנת. בדרך כלל המערכת מאחסנת רק פונקציית גיבוב קריפטוגרפית של הסיסמה ולא את הסיסמה עצמה. אם פונקציית הגיבוב חזקה מספיק, קשה מאוד לשחזר דרכה את הסיסמה ולכן גם אם תוקף יצליח לקחתה, הוא לא יצליח לשחזר את הסיסמה באופן ישיר. עם זאת, אם קובצי המידע של פונקציית הגיבוב נגנבים, התוקף ידע את ערך הפונקציה, דבר שיאפשר לו לבדוק ניחושים בצורה מהירה. (ראה פיצוח סיסמאות (Password cracking))