ניהול סיסמאות

סדרת מאמרי סייבר

סיסמאות הן קו ההגנה הראשון לשמירה על זהותך המקוונת, אך הן גם הפגיעות ביותר. נתחיל מהסוף להתחלה בכמה המלצות לשמירה על סיסמאות חזקות, בהמשך נבין את ההיגיון לכך.

המלצות לניהול סיסמה חזקה

  • השתמש בסיסמאות המורכבות מאותיות גדולות וקטנות, מספרים וסמלים ליצירת סיסמאות מורכבות.
  • הימנע משימוש בשם שלך או במידע אישי אחר בסיסמה שלך.
  • שנה את הסיסמה שלך לעתים קרובות.
  • בחר סיסמאות שקל לזכור אך קשה לנחש.
  • אל תשתמש באותה סיסמה ליותר מחשבון אחד! לכל חשבון תבחר את הסיסמה שלו, אין בעיה לשמור על קו אחיד שיעזור לך לזכור את הסיסמאות אבל לא להשתמש בססמה זהה
  • השתמש באימות דו-שלבי (2FA)
  • השתמש בתוכנת סיסמאות מוכרת (ראה המלצות מטה)
  • השתמש בסיסמה באורך של מינימום 8 תווים, רצוי גם יותר
  • תזכור סיסמאות הן המפתח לחיים המקוונים שלך ואתה צריך להגן עליהן בכל מחיר.

תוכנות לניהול סיסמאות

מכיוון שאבטחה היא נושא כה חשוב, חשוב להשתמש במנהל סיסמאות אם אתה רוצה להישאר בטוח בעידן הדיגיטלי הזה. הם לא רק יגינו על פרטי החשבון שלך מפני האקרים, הם גם הופכים את החיים לקלים יותר כשזה מגיע לזכור איזה שם משתמש מתאים לאיזו סיסמה. הם חובה לכל מי שרוצה חיים מקוונים יותר מאורגנים!

מנהלי סיסמאות הם כלים המאחסנים סיסמאות למספר אתרים רב במסד נתונים מוצפן ומאובטח. זוהי דרך הרבה יותר בטוחה לאחסון מידע אישי, אך יש לה גם חסרונות.

שני סוגים עיקריים לניהול הסיסמאות הם מנהלי סיסמאות מבוססי ענן ומנהלי סיסמאות מקומיים. מנהלי סיסמאות מקומיים מאחסנים את הסיסמאות שלך במכשיר שלך ואינם דורשים חיבור לאינטרנט כדי לעבוד, מה שאומר שסבירות נמוכה יותר שהסיסמאות שלך ייגנבו ללא סיבה הקשורה אליך ו\או למכשיר שלך, כלומר אם יפרצו לספק התוכנה לא יוכלו לגנוב ממנו את הסיסמאות שלך בניגוד לסיטואציה של שימוש בספק ענן. מצד שני אם החשב שלך ייגנב או ייפרץ כן יוכלו לגנוב ממנו את הסיסמאות, כמו כן לא תוכל לסנכרן את הסיסמאות בין מכשירים שונים. מנהלי סיסמאות מבוססי ענן מסונכרנים בין מכשירים שונים אך כמובן שבמקרה זה עלינו לסמוך על ספק התוכנה, במידה ויפרצו לספק התוכנה, קיים סיכוי לגניבת הסיסמאות שלך וכבר היו מקרים כאלה בעבר.

כיום גם הדפדפנים הנופצים (FirefoxGoogle Chrome) כבר התחילו לספק שירות ניהול סיסמאות ואף בחינם, כמובן שזה ניהול סיסמאות במודל ענן.

לגבי תוכנה מומלצת לשמירת סיסמאות מקומית במכשיר שלך, יש תוכנה חינמית ומאוד מוכרת הנקראת KeePass. התוכנה מכילה מגוון אופציות ותכונות מתקדמות.

אימות דו-שלבי

חשוב להבין שכיום רמת האבטחה המבוססת על סיסמה בלבד כבר אינה מספקת ויש לאבטח את החשבונות שלנו עם אימות דו-שלבי (2FA או Two Factor Authentication), זהו אמצעי אבטחה שמוסיף שכבת הגנה נוספת לחשבון. מכיוון שאימות דו-שלבי דורש משהו נוסף שיש לך, שהוא בדרך כלל הטלפון שלך, ומשהו שאתה יודע, שהוא הסיסמה שלך, קשה יותר להיכנס או לגנוב חשבון (אבל זה עדיין לא אומר שזה לא אפשרי, בהמשך נבין למה).

אפליקציית אימות דו-שלבי (2FA) מייצרת עבורך קוד זמני נוסף לסיסמה שעליך להזין כדי להיכנס. במהותה, זהו שכבת הגנה נוספת עבור חשבונך כפי שציינו.

אחד הפתרונות הנפוצים ביותר שתומכים בהרבה אפליקציות ואתרים זה אימות דו-שלבי עם תוכנה הנקראת Google Authenticator. השימוש הוא מאוד פשוט עם כמה שלבים בסיסיים:

  1. הורד את אפליקציית המאמת של Google לטלפון שלך (Google Authenticator)
  2. הירשם ל- 2FA באתר שבו ברצונך להפעיל אותו
  3. סרוק את קוד ה- QR באמצעות הטלפון שלך דרך תוכנת ה- Google Authenticator או הזן את המפתח המסופק באופן ידני.

המלצה חשובה ביותר: כיום תוכנת ה- Google Authenticator מאפשרת לייצר גיבוי והעברת המידע ממכשיר ישן לחדש, חשוב מאוד לדאוג מראש לעשות גיבוי לפני החלפת מכשיר ובכלל מבעוד מועד, אחרת תצטרכו להגדיר את כל החשבונות מחדש וזה לא דבר פשוט.

יש הרבה אפליקציות 2fa זמינות בשוק, אך לא כולן מציעות תכונות אבטחה ופרטיות חזקות. חברות כמו Authy ו- Google Authenticator מציעות רמות אבטחה גבוהות בשל השימוש בקריפטוגרפיה וסיסמאות חד פעמיות המבוססות על זמן.

מה לגבי SMS

גם הודעות SMS משמשות לא מעט כאימות דו-שלבי (2FA), אך מה יותר מאובטח שימוש בהודעת SMS או שימוש בתוכנות אימות כגון Google Authenticator.

הודעת SMS אינה השיטה הבטוחה ביותר לשימוש, באופן כללי הודעות SMS עובדות בשיטה לא בטוחה ולא מוצפת מה שמאפשר לתוקפים ליירט הודעות בכל מיני שיטות, אך מעבר ניתן בקלות לזייף הודעות ורמת האמינות שלהן נמוכה. מכיוון שרוב האנשים משתמשים בטלפונים שלהם כדי לגשת לדוא"ל, מדיה חברתית, רשומות בנק וכל דבר אחר שהם עושים באינטרנט, חשוב להם לדעת שהודעות הטקסט שלהם אינן מאובטחות.

אבל שלא תטעו כמובן ששימוש בהודעות SMS כאימות דו-שלבי עדיף והרבה יותר מאובטח מאשר לא להפעיל אימות דו-שלבי! ההמלצה היא תמיד להעדיף תוכנות אימות כגון Google Authenticator.

פריצת סיסמאות

חלק מסוגי הסיסמאות הנפוצות ביותר שאנשים משתמשים בהן הן מחרוזות מספרים, מילים מתוך רשימה ומידע אישי כגון שמות וימי הולדת. בחלק זה נבחן מדוע סוגים אלה של סיסמאות אינם יעילים כפי שאנו חושבים ומדוע אינם בהכרח עוזרים להגן על החשבונות היקרים שלנו מפני פריצה.

אחת הדרכים לעקוף את הסיסמה היא שימוש במתקפה של ניחוש סיסמאות (Brute Force). התקפה זו מנסה את כל המחזורות האפשריות של אותיות, מספרים וסמלים כדי לנחש את הסיסמה או לחלופין מבוססת על רשימת מילון של סיסמאות ידועות מראש. התקפה מסוג זה נפוצה מאוד.

אחת מרשימות הסיסמאות הנפוצה ביותר שבה תוקפים משתמשים לניחוש סיסמאות נקראת Rockyou.

קיימת תפיסה קצת מוטעית כי סיסמאות ארוכות יותר מספקות הגנה רבה יותר מאשר סיסמאות קצרות יותר מכיוון שלוקח יותר זמן עד שהאקרים יפרצו אותן באמצעות התקפות ניחוש סיסמאות (Brute Force). זה נכון האורך של הסיסמה מאוד משפיע אך למעשה האורך אינו החלק היחידי שחשוב, אלא המורכבות והשימוש במחרוזת שאינה קלה לניחוש, למשל אורך של סיסמה בת 10 תווים נשמע מספיק חזק אך אם הסיסמה תהיה “1234567890” אז מדובר בסיסמה מאוד חלש וקלה לניחוש.

רובד נוסף בנושא פריצת סיסמאות מדבר על הדלפת מידע מאתרים בהם נרשמנו עם הסיסמא שלנו, למעשה מדי יום אתרים נפרצים בעולם וכן גם לטובים ולגדולים ביותר זה קורה, פייסבוקטוויטר ועוד רבים וטובים כבר נפרצו וסיסמאות של משתמשים הודלפו ברשת. תוקפים לוקחים את הסיסמאות שלכם ואפילו לא צריכים לפרוץ אותן, הן פשוט אצלהם.

לכן, הדבר החשוב ביותר הוא להחליף סיסמאות אחת לכמה זמן, לא להשתמש באותה סיסמה לכמה חשבונות ואם שומעים שאתר שנרשמנו אליו נפרץ אז ישר מחליפים סיסמה + תמיד מומלץ להפעיל אימות דו שלבי

קשה להעריך את הזמן שלוקח לפצח סיסמה. זה יכול להיות תלוי בגורמים רבים, כולל סוג ההצפנה איתה היא מוצפנת, המורכבות של הסיסמה וכוח העיבוד של המחשב המבצע את הפיצוח.

הנדסה חברתית

התחזות או דיוג (phishing) היא סוג של הנדסה חברתית שבה התוקף מנסה לחשוף מידע רגיש מהקורבן על ידי התחזות כישות מהימנה בתקשורת אלקטרונית. ההתחזות מגיעה בדרך כלל בדואר אלקטרוני או הודעת SMS שנראה שמקורם אמין. ההודעה עשויה להכיל קישור או קובץ מצורף המוביל לאתר מזויף שנראה בדיוק כמו האתר המקורי, המיועד ושם התוקף יבקש ממכם להזין את פרטיכם לרבות סיסמתכם.

בחלק זה נדבר כיצד ניתן להשתמש בדיוג כדי לעקוף אימות דו-גורמי.

התוקפים כבר הספיקו להשתכלל ולמדו שגם אימות דו-שלבי ניתן לעקוף באמצעות הנדסה חברתית, מה שבעצם הם עושים זה שלאחר ששלחו לכם קישור לאתר המתחזה ונפלתם קורבן והזנתם את שם המשתמש והסיסמה לאותו אתר או שירות, התוקף לוקח את הפרטים האלה, מנסה להתחבר בשמכם לאותו אתר ואז בשלב הבא התוקף יבקש ממכם קוד אימות שנשלח אליכם באמצעות הודעת SMS, ניקח למשל את חשבון הבנק שלכם, לאחר שהזנתם שם משתמש והסיסמה אתם מקבלים הודעת SMS למכשירכם שבה יש קוד אימות זמני, את הקוד הזה אתם מזינים לאתר הבנק וכך מתחברים, הקוד הזה הוא למעשה האימת הדו-שלבי לחשבון הבנק שלכם. מה שיקרה בהתקפת הדיוג הוא שלאחר שהתוקף "דג" את שם המשתמש והסיסמה שלכם, הוא משאיר אותכם באתר המתחזה ואומר לכם שאתם תקבלו קוד אימות ומבקש ממכם את הקוד, מאחורי הקלעים מה שקרה הוא, שהתוקף נכנס בשמכם לחשבון הבנק, הבנק שלח לכם קוד אימות הרי הטלפון שלכם כבר מוגדר שם, אתם קיבלתם את הקוד אך במקום להזין אותו באתר המקורי הזנתם אותו ישירות לתוקף שפשוט לקח את הקוד ועקף את האימות הדו שלבי שלכם!.

לסיכום טיפ: לא לפתוח קישורים מהודעות לא מוכרות, לא להזין פרטים היכן שלא צריך, חושדים? לא בטוחים? אל תכנסו לחשבון דרך הקישור ששלחו לכם אלא תגלשו בצורה יזומה לאתר שאליו אתם רוצים להתחבר כך שאתם שולטים בכתובת האתר וכך תמנעו מעצמכם גלישה לאתרים מתחזים!