איך חווית משתמש גרועה פוגעת באבטחת המידע שלכם.
בשבוע שעבר פתחתי חשבון בבנק דיסקונט וכמובן שהדבר הראשון שעשיתי היה להתחבר לאתר האינטרנט של הבנק. חמושה בקוד מזהה וסיסמה זמנית הזדהיתי לאתר ומיד נדרשתי להחליף לסיסמה קבועה.
לא בעיה! בחודשים האחרונים אני משתמשת במנהל סיסמאות - אפליקציה שמאפשרת לשמור את כל הסיסמאות שלי ולהשתמש בהן בהתאם לצורך, גם במחשב וגם באפליקציות ואתרים בנייד. אני בחרתי להשתמש במנהל הסיסמאות LastPass ומאוד מרוצה ממנו. מאוד נוח, מונע ממני את הצורך לזכור בע"פ סיסמאות או להחזיק קובץ של סיסמאות עבור כל השירותים והאתרים שמחייבים כאלו, ולא פחות חשוב - מציע בעצמו סיסמאות חזקות שקשה יותר לפצח.
ביקשתי מהאפליקציה שתפיק לי סיסמה חדשה אבל האתר של הבנק הודיע לי שהיא לא תקינה. אחרי כמה כשלונות כאלו החלטתי להשמע לעצה של הבנק ולהיעזר בהנחיות שלהם לקביעת סיסמה חדשה:
לפחות שישה תווים (ספרות ואותיות באנגלית)
לפחות שתי אותיות ולפחות שתי ספרות
אין להשתמש ברצף תווים זהים כגון 111 או AAA
אין להשתמש בתווים עוקבים כגון 123 או ABC
אין להשתמש בתווים סמוכים במקלדת כגון QAZ או SDF
אין להשתמש בסיסמאות שהיו בשימוש בעבר
מומלץ להימנע משימוש בסיסמאות קלות לניחוש
אין להשתמש בקוד מזהה וסיסמה שוים
ועכשיו למשימה המפרכת של להבין מה לא תקין בסיסמה החזקה האוטומטית שניסיתי (fA%hvJWVY858). האיסור על שימוש בתווים סמוכים במקלדת עיצבן אותי במיוחד.
לבסוף הרמתי ידיים והתקשרתי לנציגת התמיכה הטכנית בבנק, כדי לגלות שלא הבנתי נכון את ההנחיה ולמעשה אסור להשתמש בתווים מיוחדים כמו # או %. למה? לא ברור. לאט ובקושי רב, עם הנציגה על הקו, הגדרתי את הסיסמה הכי פשוטה שהצלחתי, שעדיין עמדה בכל הדרישות של אבטחת המידע. כששמרתי אותה במנהל הסיסמאות הוא הגיב בבוז וטען שמדובר בסיסמה חלשלושה לגמרי.
ומה הלאה? הנסיון שלי מראה שאתרים של בנקים עושים כל מאמץ כדי למנוע שימוש במנהלי סיסמאות, מאובטחים ככל שיהיו, והאתר של דיסקונט לא הפתיע לטובה. כבר פגשתי את התופעה הזו בעבר, כשניסיתי להבין איך להשתמש במנהל סיסמאות באתר של בנק אגוד.
השיחה שלי עם נציגת התמיכה הטכנית של בנק אגוד הלכה בערך ככה:
אני: "שלום, האם האתר שלכם חוסם שימוש בשירות ניהול סיסמאות מאובטח?"
נציגה: "אני לא יודעת לענות לך, אבל אנחנו לא ממליצים להשתמש בשירותים ששומרים שם וסיסמה."
אני: "אז איך אני אמורה לזכור סיסמה שתהיה מספיק מאובטחת?"
נציגה: "פשוט תרשמי את זה איפשהו."
הבנתם? "פשוט תרשמי את זה איפשהו", זה הפתרון שהבנק יודע להציע לי, כדי לשמור על סיסמה שאמורה להגן על החשבון שלי, כי אין שום תשובה אחרת בנסיבות שהם יצרו.
אבטחת מידע זה דבר מאוד חשוב. בטח ובטח כשמדובר במידע פיננסי, רפואי, אישי. אבל אי אפשר לנתק את אבטחת המידע מחווית הלקוח וממסע הלקוח. אם נותני השירותים לא חושבים על נוחות השימוש ומחייבים את המשתמשים להתאמץ מאוד כדי להשתמש בשירותים שלהם, אין להתפלא שהמשמשים מוצאים דרכי התמודדות שלבסוף סותרות את הכוונה (הטובה) המקורית.
ונקנח בקומיקס האלמותי של רנדל מונרו, שאמר: "דרך 20 שנים של מאמץ, אימנו בהצלחה את כולם להשתמש בסיסמאות שלבני אדם קשה לזכור, אבל למחשבים קל לנחש."
Photo credit: Marco Verch (CC BY 2.0)
Comments