הכל התחיל שכשצפיתי בסרטון על האקר המתנקם בסקמרים.

לא האמנתי כמה זה יכול להיות פשוט. מתוך סקרנות, ניסיתי לראות אם אוכל לעשות דברים דומים, רק לטובה, כמובן. בתוך רגעים ספורים הצלחתי לראות אילו אתרים אבא שלי גולש בהם דרך הרשת הביתית שלנו. זה היה כל כך קל ומדהים. וגם מפחיד. כמה פשוט להשיג עוד מידע. ובקשר לאבא – הוא לא כעס.
מאז, אני לא מתחברת לרשת ציבורית, ובטח שלא לרשת לא מאובטחת. אחרי שראיתי כמה קל לשלוף מידע מאחרים, הבנתי את הסיכונים והתחלתי לנקוט באמצעי זהירות. אני לא נכנסת לאתרים שאינם מאובטחים (HTTPS), ואם אין ברירה אני משתמשת ב-VPN.עוד דבר חשוב שלמדתי הוא כמה חשוב להשתמש בסיסמאות חזקות וחדשות. תתפלאו לדעת כמה קל לפצח סיסמאות חלשות! אחת השיטות לכך היא שימוש בטבלאות קשת (Rainbow Tables).

סיפור האש: לא רק למדורות ומרשמלו!
שיטת ה-Hashing היא כמו מכונת קסמים שהופכת כל מה שאתה מכניס אליה למשהו שונה לגמרי ובלתי ניתן להכרה. תחשבו על זה כמו על מערבל מזון שמכניסים לתוכו מרכיבים ומקבל משהו שונה לחלוטין. זה נשמע נחמד כשמדובר בשייק בננה, אבל כשזה הסיסמה שלכם?

נניח שאתם משתמשים בסיסמה OpenSesame. עם Hashing (MD5), מה ששמור במסד הנתונים הוא לא הסיסמה שלכם, אלא מחרוזת נתונים מקודדת שנראית משהו כמו a7f5… (נו, אתם מבינים, המון מספרים ואותיות שנראות כאילו מישהו נפל על המקלדת).

למה זה קשה כל כך לפצח?
בואו נדמיין שיש לנו טבלת קשת של מיליון הסיסמאות הפופולריות ביותר ואת ה-Hash שלהן. אבל מה אם הסיסמה שלכם היא OpenSesame1234? ובכן, אם היא לא בטבלה, ההאקר צריך לחשב מחדש את כל הסיסמאות האפשריות עד שימצא מה שהוא מחפש. וזה משום שאחד התכונות של טבלת האש, שפונקציית המיפוי הוא לכיוון אחד בלבד. אז גם אם להאקר יש גישה לממסד הנתונים והשיג את תוצאת פונקציית המיפוי, על מנת לקבל את המקור זה יכול לקחת מיליארדי שנות אור, ואפילו לא מובטח שההאקר יחייה לראות את זה!

ואיפה זה מגיע לידי ביטוי?
מכירים את זה שכשנכנסים לאתר ולא זוכרים את הסיסמה, והאתר אומר לכם שהוא ישלח לך לינק לאיפוס? זה בגלל שהאתר עצמו לא יודע את הסיסמה שלכם! כן, נכון, המפעילים של האתר אינם יכולים לגלות את הסיסמה שלכם כי היא שמורה כ-Hash. זו גם הסיבה שכשהם שולחים לכם לינק לאיפוס סיסמה, זה לא בגלל שהם מחזיקים בה בכספת תחת המזרון, אלא כי הם פשוט צריכים לייצר עבורכם Hash חדש לגמרי.

אבל, האם יש דרך לשבור את המערכת?
ובכן, כמו כל דבר בחיים, גם ל-Hashing יש נקודות תורפה. אם השתמשתם חס וחלילה בסיסמא חלשה, ומישהו מצליח להשיג את רצף התווים שהתקבל מפונקציית ה-Hash, אם הוא ישתמש בטבלאות קשת, הוא יכול לקלות לגלות את המסתורין. אבל אם תשתמש בסיסמאות ארוכות, מורכבות, ותוסיפו גם Salt – אתם חסינים יותר לפריצות.

חידה קטנה לסיום:
אם ה-Hash של הסיסמה שלכם הוא c4ca4238a0b923820dcc509a6f75849b, מה הסיסמה? תשובה: אם תחשבו שזה 1, אתם צודקים! (זה די פשוט, אבל הרעיון הוא להבין את העקרון).

אז בפעם הבאה שאתם יושבים ותוהים למה אתם צריכים להחליף את הסיסמה 123456 למשהו כמו S3cur!tyR0ck$987, זכרו כי זה לא רק כי זה נשמע יותר מגניב, אלא כי זה באמת מגביר את האבטחה שלכם לרמות שבהן אפילו ההאקרים המוכשרים יתקשו לפרוץ. הפקידה בבנק לא בדיוק יודעת להעריך את ההומור ב-S3cur!tyR0ck$987, אבל היא בוודאי תהיה מרוצה לדעת שהחשבון שלכם בטוח כמו כספת בנק שוויצרית.