שאלות נפוצות

מדוע עלי להשתמש ביוצר הסיסמאות? כיצד הוא פועל?

הקדמה

אם אתם כמו רוב האנשים, אתם בוודאי משתמשים באותה הסיסמא לכל החשבונות שלכם בכל האתרים. זה בהחלט נוח, אבל זה גם מסוכן: אם רק אחת מהסיסמאות שלכם נחשפת, על ידי פורץ או סתם מישהו שהצליח לנחש אותה, הם יכולים להשתמש בה כדי לקבל גישה לכל החשבונות שלכם בכל האתרים באינטרנט.

הפתרון, כמובן, הוא להשתמש בסיסמאות שונות בכל אתר אינטרנט. אבל איך? לזכור את כולם כנראה לא בא בחשבון. אפשר לכתוב אותם על חתיכת נייר, וגם תצטרכו לזכור לקחת אותה איתכם לעבודה ולטיולים, ובנוסף, הנייר יוכל ללכת לאיבוד בקלות או להיגנב. תוכלו להשתמש במנהל סיסמאות, אבל יהיה צריך להתקין אותו בכל מחשב שבו תשתמשו, וזאת לא אפשרות במחשבים ציבוריים. מנהלי סיסמאות גם פגיעים לאובדן מידע ולתוכנות מזיקות.

ברוכים הבאים ליוצר הסיסמאות. הוא נותן לכם דרך נוחה לזכור סיסמא אחת (סיסמת ה"מאסטר"), אשר בה משתמשים כדי ליצור סיסמאות מסובכות, ייחודיות, עבור כל אתר שבו אתם מבקרים.

יוצר הסיסמאות הוא סימניה.

הסימניה היא חבילה של קוד ג'אווהסקריפט, אשר מאוכסן בדפדפן שלכם בתור בוקמרק או מועדף. אין שום תוכנה שצריך להתקין, כך שניתן להשתמש ביוצר הסיסמאות בכל הפלטפורמות ובכל דפדפן אינטרנט מודרני. לכן גם מאוד קל להשתמש בו במחשבים ציבוריים, היכן שהרשאות השימוש עשויות להיות מוגבלות.

איך זה עובד

יוצר הסיסמאות משתמש בסיסמת המאסטר שלכם ובדומיין של האתר שבו אתם מבקרים בתור ה"גרעין" לאלגוריתם הצפנה חד-כיווני. הפלט של אלגוריתם זה הוא הסיסמא שנוצרת עבורכם. אם סיסמת המאסטר שלכם או שם הדומיין של האתר שלכם משתנה, אפילו באות אחת, הסיסמא שתיווצר תהיה שונה באופן דראסטי.

לדוגמא, נגיד שסיסמת המאסטר שלכם היא cornflakes. אם תשתמשו ביוצר הסיסמאות ב yahoo.com, הסיסמא שתיווצר עבורכם היא r9AQeOhBgU. אם תשתמשו ביוצר הסיסמאות ב amazon.com, הסיסמא שלכם תהפוך להיות zcbEm1t32B. יוצר הסיסמאות אינו צריך לזכור זאת או לשמור את זה באיזשהוא מקום, פשוט משום שזו בעצם רק בעייה מתמטית (מאוד מסובכת): התוצאה תמיד תהיה זהה. ובגלל שפונקציית ההצפנה היא חד כיוונית, אף אחד לא יצליח להנדס-אחורנית את סיסמת המאסטר מהסיסמא שנוצרה באמצעות סיסמת המאסטר.  [לך אחורה]

מה הם חלק מהפיצ'רים המיוחדים של יוצר סיסמאות זה?

כאשר יוצרים סיסמאות, יוצר הסיסמאות מתעלם מתת-דומיינים, ומשתמש רק בשם הדומיין הראשי של האתר. דבר זה מוודא שאותה הסיסמא תיווצר בכתובת www.domain.com, login.domain.com, ו domain.com, לא משנה היכן אתם באתר.

יוצר הסיסמאות גם נותן רמה מסויימת של הגנה נגד התקפות פישינג (Phishing). נניח שקיבלתם התקפת פישינג, לדוגמא, דואר אלקטרוני שמתיימר להיות האתר של אמאזון, אך בפועל הוא מפורץ בעל כוונות רעות, אשר מנסה לגנוב את הסיסמא שלכם. הוא שולח לכם דף שנראה כמו האתר Amazon.com ויש לו כתובת דומה (לדוגמא, www.amaz0n.com), וכולל טופס כניסה לאתר בדף. אם תשתמשו ביוצר הסיסמאות בדף זה עם סיסמת המאסטר שלכם (cornflakes), הסיסמא שתיווצר עבורכם היא uc15yrcmqI. השוו לדוגמא הקודמת: למרות שסיסמת המאסטר זהה, והדומיין רק שונה מעט, יוצר הסיסמאות יצר סיסמא שונה לחלוטין. אפילו אם הצליחו לשטות בכם בהתקפת הפישינג, וניסיתם להיכנס לאתר של המתחזה, לא שלחתם את סיסמתכם האמיתית!  [לך אחורה]

כיצד אני נכנס עם יוצר הסיסמאות?

כאשר אתם מוכנים להיכנס או ליצור חשבון באתר אינטרנט, הכניסו בטופס את סיסמת המאסטר שלכם. לאחר מכן, לכו לבוקמרקים או למועדפים שלכם ובחרו את הקישור ליוצר הסיסמאות. יוצר הסיסמאות יחליף את סיסמת המאסטר שלכם עם הסיסמא שהוא ייצור עבור האתר המסויים הזה. עכשיו אתם יכולים לשלוח את הטופס.

אם ליוצר הסיסמאות יש בעייה כלשהיא, הוא יודיע לכם בתיבה בצד הימני-עליון של הדף. במקרה הנדיר שטוען הסיסמאות נכשל בעלייה, תוכלו להשתמש בגירסא הניידת[לך אחורה]

האם אני אצטרך לשנות את כל הסיסמאות שלי?

בהחלט! תצטרכו לשנות את הסיסמאות של כל חשבונות האתרים הקיימים שלכם, כך שיתאימו לסיסמאות שיוצר הסיסמאות מייצר. בהתאם למספר החשבונות שיש לכם באתרים, משימה זו עשוייה להיות כבדה... אבל חישבו על האלטרנטיבה: להישאר עם הסיסמא הישנה שלכם, שאינה מאובטחת, ומשותפת לחשבונות רבים באינטרנט. חוץ מזה, שלא חייבים לעשות את הכל בבת אחת; למעשה, רוב האנשים עושים זאת באופן הדרגתי.

כדי לשנות סיסמא של אתר, מצאו את טופס שינוי הסיסמא שבו. התהליך אז זהה לתהליך הכללי שהוזכר לעיל, חוץ אולי מזה שפונקציית המילוי האוטומטי של יוצר הסיסמאות עלולה לדרוס את הסיסמא הישנה. אם זה קורה, תוכלו פשוט להקליד שוב את סיסמתכם הישנה בשדה הזה לפני שאתם שולחים את הטופס.  [לך אחורה]

כמה מסובכות הסיסמאות שנוצרות על ידי יוצר הסיסמאות?

כדי להמנע מהתקפות מילוניות תוך גם שמירה על דרישות מינימום של סיסמאות באתרים, כל הסיסמאות שנוצרות על ידי יוצר הסיסמאות:

[לך אחורה]

לאתר X יש דרישות שונות עבור סיסמאות!

יוצר הסיסמאות תוכנן לציית לדרישות הסיסמא של רובם המוחלט של אתרי האינטרנט. למרות זאת, תמיד יהיה מספר קטן של יוצאי דופן. הכי טוב יהיה לזכור סיסמאות חלופיות עבור יוצא דופן אחד או שניים, ולהשתמש ביוצר הסיסמאות עבור כל שאר האתרים.  [לך אחורה]

אתר Y דורש ממני לשנות את הסיסמא שלי כל חודש!

כאן יוצר הסיסמאות דווקא יכול להיות לעזר רב. רוב האתרים כמו אלה, משווים את סיסמתך החדשה עם סיסמאותך הישנות, כל ששימוש בסיסמא (לדוגמא password1 ו password2) לא יעבדו. אבל עם יוצר הסיסמאות, סיומת מונה לסיסמת המאסטר תעבוד נהדר.

לדוגמא, נניח שבחרתם בסיסמא cornflakes בתור סיסמת המאסטר שלכם, ושהאתר mybank.com דורש שתשנו את הסיסמא שלכם באופן תקופתי. באתר המסויים של mybank.com, תוכלו להשתמש ב cornflakes ולהוסיף לה סיומת מונה בתור סיסמת המאסטר שלכם, ואז להגדיל ב 1 בכל פעם שאתם צריכים לשנות סיסמא (לדוגמא: cornflakes1 ובפעם הבאה cornflakes2). שינוי קטן זה בסיסמת המאסטר שלכם ייצור סיסמאות שונות באופן דראסטי שינצחו כל מבחן השוואת סיסמאות. סיסמת המאסטר שלכם לא השתנתה, ואתם רק צריכים לזכור את סיומת המונה כשאתם נכנסים ל mybank.com.  [לך אחורה]

האם יוצר הסיסמאות מוגן מפני מאזיני-הקלדה (keyloggers) ?

אף פתרון סיסמא אינו מוגן לחלוטין מפני מאזיני הקלדה, אשר נעשים מתוחכמים מיום ליום. אפילו לוח-מקשים וירטואלי על המסך הוא חסר ערך נגד תוכנות הריגול המודרניות. מסיבה זו חשוב באופן קריטי לסרוק את המחשב שלכם באופן תכוף עבור מזיקים, ולהמנע משימוש במחשבים שאין לבטוח בהם.

למרות זאת, שימוש ביוצר הסיסמאות הוא בטוח באופן יחסי מול מאזיני הקלדה מסורתיים, כיוון שסיסמאות נוצרות ואינן מוקלדות. למרות שאין זה הופך את זה לחסין-כדורים, זה עדיין יותר טוב מלהקליד את הסיסמא שלכם על המקלדת.  [לך אחורה]

מדוע הגירסא של אינטרנט אקספלורר דורשת להוריד קובץ מהאתר שלך?

מספר דפדפנים, ובייחוד, אינטרנט אקספלורר ומספר גירסאות של ספארי ואופרה, מגבילות את האורך של סימניות ומועדפים. כיוון שהקוד של יוצר הסיסמאות עובר את ההגבלה, גירסאות של דפדפנים אלה מורידים את קובץ הג'אווהסקריפט הזה בכל פעם שאתם משתמשים ביוצר הסיסמאות. רק קוד ג'אווהסקריפט גנרי יורד, ושום מידע לא נשלח לאתר זה או לכל אתר אחר.  [לך אחורה]

האם יוצר הסיסמאות יפעל בדפדפן שלי? מה לגבי iPhone?

יוצר הסיסמאות פועל בכמעט כל דפדפן מודרני. במונחים טכניים, הוא דורש דפדפן שתומך בג'אווהסקריפט ובמודל ה DOM. יש בדיקה קלה מאוד עבור זה: אם אתם יכולים לבנות את הסימניה שלכם (על ידי שימוש בטופס בדף הבית), אזי הדפדפן שלכם תומך בדרישות.

יוצר הסיסמאות פועל על רוב הטלפונים החכמים, כולל ה iPhone. לרוב הם מגבילים את אורך הסימניות, לכן יתכן ותצטרכו להשתמש בגירסא עבור אינטרנט אקספלורר.

אם אתם מריצים דפדפן ישן מאוד ומתקשים להפעיל את יוצר הסיסמאות, תוכלו לנסות את GenPass, אשר אינו דורש תמיכה במודל-DOM.  [לך אחורה]

מה קורה אם האתר הזה נופל?

למרות שבדרך כלל שירות האירוח מאוד אמין, לעתים ישנן נפילות. אם אתם משתמשים בגירסא של אינטרנט אקספלורר ואתם מודאגים ממצב זה, יוצר הסימניה מאפשר לכם לציין מיקום אחר עבור קובץ הג'אווהסקריפט המאורח. השרת שלכם, או המטמון של Coral, למשל.

במקרה של מצב שבו בעל האתר לא יוכל לשלם על חשבון האירוח שלו, אחרים התנדבו לשמור על יוצר הסיסמאות זמין. כמו כן מומלץ שתשמרו העתק של הגירסא הניידת על ההרד דיסק שלכם, למקרה ותרצו לייצר סיסמא בזמן שאתם מנותקים מהרשת.  [לך אחורה]

האם יוצר הסיסמאות קיים בשפות אחרות? האם באפשרותי לתרגמו?

יוצר הסיסמאות תורגם לצרפתית על ידי Ãric Desfonds וגם לספרדית על ידי Fernando P. NÃjera Cano. הערכה רבה להם על מאמציהם.

אם ברצונך לתרגם את יוצר הסיסמאות לשפה אחרת, היוצר יותר מישמח לשים הכל ביחד ולאחר את זה באתר שלו. הורד את מונחי המפתח והעתק והחזר אותם אל היוצר כאשר העיצוב והמספרים בשלמותם.  [לך אחורה]

האם יוצר הסיסמאות חינמי? האם אני יכול לתרום?

יוצר הסיסמאות הוא ללא תשלום לחלוטין. תרומות לא יתקבלו, אך תרומות ל AIDS Research Alliance הן אמצעי מצויין לתודה. אנא שלחו מכתב ליוצר אם אתם בוחרים לתרום, כדי שאוכל להודות לכם באופן אישי.  [לך אחורה]

מה עוד אני צריך לדעת לגבי יוצר הסיסמאות?

[לך אחורה]

מה עודכן בין הגירסאות?

יוצר הסיסמאות 1.3: נוספה מעט פונקציונליות

יוצר הסיסמאות 1.2 עודכן ב 5 וב 7 במרץ 2008 כדי לתקן מעט באגים קטנים:

יוצר הסיסמאות 1.2 תיקן כמה עניינים קטנים:

יוצר הסיסמאות 1.1 הוסיף מספר פיצ'רים חדשים:

[לך אחורה]

האם גירסאות ישנות יותר של יוצר הסיסמאות עדיין זמינות? מה לגבי GenPass?

גירסאות ישנות של יוצר הסיסמאות זמינות בארכיון. GenPass זמינה בדף משל עצמה[לך אחורה]

האם יש את קוד המקור / פסבדו-קוד של יוצר הסיסמאות?

קוד מקור זה קל. כיוון שזה רק ג'אווהסקריפט, או שתסתכלו על התוכן של הסימניה שלכם, או עבור גירסא קריאה יותר, קראו את קובץ הג'אווהסקריפט שהגירסא של אינטרנט אקספלורר טוענת.

מטה, תוכלו למצוא פסבדו-קוד לאלגוריתם בלבד. אנו מניחים שממשק המשתמש מסביר את עצמו.

function SuperGenPass (MasterPass, Domain, Length):

   PasswdSeed = MasterPass + ":" + Domain

   repeat 10 times:
      PasswdSeed = Base64MD5(PasswdSeed)
   end repeat

   PasswdCand = Substring(PasswdSeed, 1, Length)

#  Check for password requirements; if it fails, 
#  keep iterating until it passes.

   while FailsRequirements(PasswdCand)
      PasswdSeed = Base64MD5(PasswdSeed)
      PasswdCand = Substring(PasswdSeed, 1, Length)
   end while

   return PasswdCand

end function

[לך אחורה]

תורגם לעברית על ידי שימי