סיסמה ואנטרופיה: המדע מאחורי האבטחה שלך

« הסיסמה שלך חייבת להכיל 8 תווים, אות גדולה, אות קטנה, ספרה ותו מיוחד. »

כולנו מכירים את הכלל הזה. ועדיין, באבטחת סייבר, זה מה שאנו מכנים “תיאטרון אבטחה”. סיסמה כמו P@ssw0rd1! מכבדת את כל הכללים הללו, אך תיפרץ כהרף עין על ידי כל תוכנת פריצה מודרנית.

אבטחה אמיתית אינה מבוססת על כללים חזותיים שרירותיים, אלא על מציאות מתמטית בלתי מתפשרת: אנטרופיה.

אנטרופיה לפי קלוד שאנון

כדי להבין את חוזקה של סיסמה, יש לפנות לקלוד שאנון, אבי תורת המידע. האנטרופיה מודדת את מידת חוסר הוודאות או חוסר יכולת הניבוי של המידע.

כשהיא מיושמת על סיסמאות, האנטרופיה מחושבת בביטים (bits). ככל שמספר הביטים גבוה יותר, כך הסיסמה פחות ניתנת לחיזוי עבור מחשב. הנוסחה הפשוטה לאנטרופיה (E) של סיסמה שנוצרה באקראי היא:

E = L × log2(R)

• L הוא אורך הסיסמה.
• R הוא גודל המאגר (26 לאותיות קטנות, 62 עם אותיות גדולות וספרות, 94 עם סמלים).

הגדלת גודל המאגר (הוספת סמלים) מעלה את האנטרופיה, אך הגדלת האורך (הוספת תווים) מעלה אותה בצורה דרסטית בהרבה. עם זאת, האורך מנצח את המורכבות רק בתנאי אחד: שהסיסמה נוצרת באופן אקראי לחלוטין.

כוח גס (Brute Force) מול התקפת מילון

אם אתה משתמש במילים או במבנים צפויים, הכלל של אורך טהור קורס.

תוכנות פריצה לא מנסות את כל צירופי האותיות אחד אחד (לזה קוראים כוח גס). הן משתמשות במסדי נתונים עצומים המכילים מיליארדי מילים קיימות, ביטויים נפוצים ודליפות נתונים מהעבר. זוהי התקפת מילון.

אם הסיסמה שלך ארוכה, אך מורכבת ממילות מילון או מהחלפות צפויות, האנטרופיה האמיתית שלה נמוכה באופן דרמטי מהאנטרופיה המתמטית התיאורטית שלה.

להלן זמני הפריצה המשוערים מול אשכול של כרטיסים גרפיים מודרניים (GPU), תוך הדגשה מודגשת של המסלול המהיר ביותר שנמצא על ידי ניצול חולשות מבניות:

האשליה של Leetspeak וכללי מוטציה

קחו לדוגמה את S3cr3t!99. מבחינה חזותית, היא נראית מורכבת וחסונה. ובכל זאת, זו פשוט מילת המילון “secret”, שבה ה-’e’ הוחלפו ב-‘3’, ואליה התווספה סיומת נפוצה מאוד (!99). לזה קוראים leetspeak.

מול התקפת מילון, סיסמה זו תחזיק מעמד רק כמה שעות, או אפילו דקות. תוכנות פריצה מודרניות (כמו Hashcat) לא מסתפקות בבדיקת רשימות מילים סטטיות; הן מפעילות באופן אוטומטי כללי מוטציה. הן ייקחו כל מילה במילון שלהן, יבדקו את כל צירופי ה-leetspeak האפשריים, יהפכו אותיות גדולות ויוסיפו שנים או סמלים. Leetspeak מספק תחושת ביטחון מזויפת.

טריק הזזת המקלדת (Keyboard Shift)

כדי לסבך ביטוי שקל לזכור, חלקם משתמשים בטריק של הזזת פריסת המקלדת. לדוגמה, אתה משנן ביטוי כמו my-cat. אך ברגע ההקלדה, אתה מניח את האצבעות על מקלדת QWERTY פיזית בזמן שמערכת ההפעלה שלך מוגדרת ל-AZERTY (צרפתית).

• המילה במחשבה: my-cat
• התוצאה שהוקלדה: ,y)cqt (המקש ’m’ הופך ל-’,’; ה-’-’ הופך ל-’)’; ה-‘a’ הופך ל-‘q’).

האם זה רעיון טוב ב-OPSEC? לא, שיטה זו אינה מספקת אם משתמשים בה לבד. בדיוק כמו עם leetspeak, תוכנות פריצה מתקדמות משלבות כללי מוטציה של חומרה הבודקים באופן אוטומטי הזזות מקלדת בינלאומיות (QWERTY, AZERTY, QWERTZ, Dvorak). ב-OPSEC, זו אבטחה באמצעות אלמוניות: זה מעכב תוקף חובב, אך לא יעצור התקפה ממוקדת ומצוידת.

עם זאת, אם טכניקה זו משולבת עם סיסמה שכבר חזקה בבסיסה (כמו משפט סיסמה ארוך מאוד שקל לזכור), היא מגדילה שוב משמעותית את האנטרופיה על ידי החדרת תווים מיוחדים לא צפויים בתוך מבנה שהוא כבר חזק.

בניית הסיסמה האידיאלית (~250 ביט)

אם לרשימות מילים, leetspeak וטריקים של הקלדה יש גבולות, כיצד אנו בונים את סיסמת המאסטר המושלמת? כדי להשיג אבטחה אופטימלית ולעמוד בפני כלי מחשוב מהדור הבא, המטרה הנוכחית היא לכוון לכ-250 ביט של אנטרופיה.

ישנן שתי דרכים להשיג זאת בהתאם לצרכים שלך:

1. האפשרות האקראית הטהורה (אידיאלי עבור מנהל סיסמאות)

מחרוזת תווים שנוצרה באופן אקראי לחלוטין, מה שהופך אותה לקשה ביותר לניחוש עבור מכונה: k9$Yz2!pL#8vQx5@mN7*jW4&hC1%bF3^tR9(dZ6 39 תווים אקראיים המשתמשים בכל מאגר הסמלים.

2. אפשרות משפט הסיסמה ההיברידי (אידיאלי עבור סיסמת מאסטר שקל לזכור)

רצף של מילות מילון שנוצרו באקראי, משולבות בקפדנות עם ספרות וסמלים: Sovereign_Crypto_99_Privacy_Zero_Knowledge_Secure_2026_Key_Lock_Cloud_Act_Grover שיטה זו מאפשרת לאדם לשנן מבנה מבחינה חזותית או שרירית, תוך שמירה על מחסום מתמטי ענק.

האיום הקוונטי: האלגוריתם של גרובר

למה לכוון ל-250 ביט כשה-128 ביט כבר חוסמים את מחשבי העל של היום? התשובה נעוצה בהופעתו של המחשוב הקוונטי.

בקריפטוגרפיה, האלגוריתם של גרובר (Grover) מאפשר למחשב קוונטי לחפש במסד נתונים לא ממוין הרבה יותר מהר מאשר מחשב קלאסי. באופן קונקרטי, גרובר חותך בחצי את רמת האבטחה האפקטיבית של מפתח סימטרי או סיסמה.

מול מחשב קוונטי המפעיל את האלגוריתם של גרובר, סיסמה עם אנטרופיה של 128 ביט תציע רק התנגדות שוות ערך ל-64 ביט (מה שהופך לניתן לפריצה).

כתוצאה מכך, כדי לשמור על אבטחה אמיתית של 128 ביט בעולם פוסט-קוונטי, יש צורך להכפיל את האנטרופיה ההתחלתית. זהו אחד מעמודי התווך של תפיסת Harvest Now, Decrypt Later (HNDL): תוקפים מדינתיים שואבים נתונים מוצפנים היום כדי לשבור אותם מחר. כיוון ל-250 ביט אנטרופיה הוא התקן המינימלי להגנה על מפתחות המאסטר שלך לטווח ארוך.

מחולל הסיסמאות של Arpokrat: בדוק בעצמך

אל תשאיר את אבטחת הגישה שלך ליד המקרה. פיתחנו כלי פנימי המאפשר לך ליצור סיסמאות חזקות מבחינה קריפטוגרפית (כולל פוסט-קוונטיות), ובעיקר להעריך את האנטרופיה האמיתית של הסיסמאות שלך.

👉 Arpokrat Password Generator

בדוק את הסיסמאות הנוכחיות שלך כדי לראות אם הן יעמדו בכוח המחשוב המודרני. הכלי עובד 100% מקומית בדפדפן שלך, שום נתונים אינם מסתובבים ברשת.

החוליה החלשה הסופית: מיחזור וניהול גישה

אנטרופיה מתמטית אינה מגנה מפני טעות אנוש. סיסמה של 250 ביט היא חסרת תועלת אם משתמשים בה שוב במספר אתרים (התקפה הנקראת Credential Stuffing) או אם אינה מוגנת על ידי גורם אימות שני (2FA).

כלל הזהב של היגיינה דיגיטלית הוא שתצטרך לזכור רק סיסמה אחת: סיסמת המאסטר שלך בת 250 הביט (בצורה של משפט סיסמה היברידי). כל הגישות האחרות שלך (בנק, רשתות חברתיות, שרתים) חייבות להשתמש בסיסמאות ייחודיות של 250 ביט של אנטרופיה טהורה (מחרוזות התווים האקראיות) שנוצרו במיוחד עבורן.

כדי לאחסן ולנהל נפח זה של מפתחות שאי אפשר לזכור בראש, השימוש במנהל סיסמאות Zero-Knowledge הוא הכרחי. אחד התקנים הנוכחיים הטובים ביותר הוא Proton Pass. הוא מבוסס בשוויץ, בקוד פתוח ומוצפן מקצה לקצה, ומבטיח שאפילו המהנדסים שלו לא יוכלו לקרוא את תוכן הכספת שלך. זהו בן הלוויה האידיאלי לאחסון המפתחות החזקים במיוחד שנוצרו על ידי Arpokrat, ולנעול את כל חייך הדיגיטליים מאחורי מחסום מתמטי אמיתי.