חנן כהן מתחבט האם צריך להסתיר את התווים המוקלדים בשדה הסיסמא בחלון הכניסה לאתר. מצד אחד קשה לתקן טעות הקלדה כאשר לא רואים מה מקלידים ומצד שני, מה אם עומד לידנו מישהו שאנחנו לא מעונינים שיראה את הסיסמא?. לדעתי זה יפה שיש לפחות אדם אחד שמנסה לערער על המוסכמות המושרשות.
הינה רשימה של כל הדרכים בהן אני יכול לגלות את הסיסמא למרות שהיא מוסתרת:
- בעזרת keylogger, תוכנה השומרת את כל מה שאתה מקיש, ושולחת את ההקשות לגורם זר. מאחר שהעובדה שיש לך תוכנה כזו על המחשב מעידה על כך שכל המחשב אינו מאובטח, אין טעם להיטפל לסיסמאות של אתרים כי זו הדאגה הקטנה ביותר שלך.
- צפיה על המקלדת בזמן בו אתה מקליד את הסיסמא
- התקנת מצלמה המצלמת את המיקלדת והמסך
- אם הסיסמא לא מועברת בצורה מוצפנת, קל להוסיף אמצעי האזנה (בדרך כלל פשוט מחשב שמחובר לאותה רשת) שיזהה את הסיסמא בתוך כל אוסף הנתונים שאתה שולח. אם הרשת היא אלחוטית זה עוד יותר קל מאחר שלא חייבים גישה פיזית.
- גם אם אתה שולח את הסיסמא בצורה מוצפנת בעזרת פרוטוקול SSL לא פתרת את הבעיה מאחר שקל לנהל כנגדו מתקפת האיש שבאמצע, במיוחד אם אני מנהל הרשת שלך.
- ותמיד אני יכול לנסות טכניקות פישינג ולשלוח לך דואל המבקש ממך להכנס לאתר אבל לתת לך קישור לאתר שלי.
למעשה כל מה שאמרתי בסעיפים האלו הוא שזה לא בטוח להשתמש בסיסמא אם אתה לא שולט בכל רכיבי הרשת שלך, או במילים אחרות ניתן להשתמש בסיסמא בביטחון מלא רק מהבית שלך. אבל אם אתה תשתמש בסיסמא רק מהבית זה די מוציא את העוקץ מכל הקטע של הנגישות שהאינטרנט מציע.
זו פשוט טעות להעביר את הסיסמא ברשת. סיסמא צריכה לשמש כמפתח להצפנת המידע המועבר ולעולם לא להיות מועברת בעצמה. הצד השני שאמור לדעת באיזו סיסמא אתה משתמש יוכל לפנעח את המידע לפיה, ועצם פיענוח המידע יעיד שהשולח הוא אכן מי שהוא מתימר להיות. בצורה בה משתמשים היום בסיסמאות ברשת נוצר הרושם המוטעה כאילו שהמידע המועבר מוגן, ואולי אם יפסק המנהג של הסתרת סיסמאות אנשים יהפכו להיות יותר מודעים לכך שלמעשה הם אינם מאובטחים כאשר הם לא נמצאים במרחב הפרטי שלהם.