מססמאות לכל האתרים החשובים, עבור למידע אישי שאין לכם עניין שהציבור יכיר בו ועד תמונות וסרטונים שהשתיקה יפה להם: תופעות של פישינג ופריצות לחשבונות ברשתות החברתיות הפכו למכת מדינה. מלבד הסכנה לפגיעה פיננסית חלקן מייצרות פגיעה אנושה בפרטיות שלנו.
הבשורה הטובה: יש דרכים מצויינות להימנע מכך, או לכל הפחות - לגרום לאותם האקרים לעבוד כל כך קשה שהם יוותרו על החשבונות שלכם ויעברו לבא בתור. וזה תלוי רק בנו ובבחירות שנעשה בססמאות שלנו. הבשורה הרעה: כבר לא תוכלו להישען על הססמה מלפני 20 שנה או על תאריך הנישואים שלכם. תצטרכו לעבוד קשה יותר. פנינו לענר יזרעאלי, מנהל תחום אבטחה ב-TORQ, שמתמודד עם איומי סייבר על בסיס יומי שסיפר לנו קצת על הטעויות המסוכנות שכולנו עושים עם הסיסמאות שלנו ברשת וגם העניק כמה כללי הזהב לבחירת סיסמא שתוכל הקשות על ההאקרים.
מה האקר עושה?
ראשית, נגלה לכם שכדי שהאקר יצליח לפצח את הסיסמא שלכם לפייסבוק, גוגל או נטפליקס הוא לא באמת צריך לשבת עם קפוצ׳ון בחדר חשוך עם שומר מסך של המטריקס ברקע, כשהוא מנסה לפצח ידנית את סיסמתכם. אבל הוא בהחלט צריך מחשב על ותוכנה שנקראת ״העמסת סיסמאות״ (Credential Stuffing). "במתקפה מסוג זה, התוכנה האוטומטית מכניסה כמויות גדולות של קומבינציות שם משתמש וסיסמא, מתוך המטרה למצוא התאמה. באם לא הצליחה, ממשיכה לקומבינציה הבאה", אומר יזרעאלי. "הכול קורה במהירות שיא של מאיות השנייה ואנחנו מצדנו יכולים לעשות לא מעט כדי למנוע פגישה אנושה בפרטיות שלנו ובעזרת כמה כללי זהב אפשר לייצר סיסמא חזקה ולהקשות משמעותית על מלאכת הפיצוח".
מה נחשבת ססמה חזקה?
- סיסמא חזקה הינה באורך מינימלי של 10 תווים.
- סיסמא חזקה מורכבת מאותיות גדולות וקטנות, מספרים ותווים מיוחדים (כגון $)
כך נראית סיסמא מורכבת: q*CfRDxkPK7p69iHfvdk
מה הופך סיסמא חזקה ליעילה?
המדד ליעילותה של סיסמא נמדד באופן עמידותה אל מול ניסיונות ניחוש.
פיצוח סיסמא היא שאלה של זמן, מוטיבציה ומשאבים.
- ככל שחומרת המחשב של התוקף הינה איכותית, כך זמן הפיצוח קטן.
- ככל שהסיסמא מורכבת, כך ידרשו יותר משאבים לפיצוחה. יותר זמן, יותר חשמל, יותר אנרגיה.
- ככל שהמוטיבציה לפצח ולחדור לחשבון גדולה, זמן ומשאבים מקבלים משנה תוקף.
כיצד נייצר סיסמא חזקה?
אני ממליץ לאמץ אחת משלושת האפשרויות \ השיטות הנ״ל:
- שיטת המחרוזת ה״דימיונית״
- שיטת היבריש (hebrish)
- מנהל סיסמאות
שיטת המחרוזת הדימיונית
מייצרים באנגלית משפט זכיר, אך דמיוני. למשל:
This horse has 3 humps
Desert is full of water
The ball is squared
כעת הופכים כמה מן האותיות לתווים מיוחדים ומשלבים אותיות גדולות, ומקבילים סיסמא מושלמת.
Th!s h0r$e H@$ 3 huMp$
de$ert i$ fuLL 0f w@t3r
Th3 b@LL !$ Squ@r3d
שיטת ההיבריש
חישבו על משפט בעברית וכיתבו אותו באותיות לועזיות.
״נולדתי בשנת 1982 ביום רביעי״: Buks,h cab, 1982 chuo rchgh
נעשה שימוש במנהל סיסמאות המאפשר לנו לייצר ולשמור סיסמאות בלחיצת כפתור.
חשבתם שבזאת פתרתם את הבעיה. אז פחות. אמנם שימוש בסיסמה חזקה מקטין את הסיכוי לפריצה, אך אינו מחליף את הצורך בשכבות אבטחה נוספות. מהן, ואיך לפעול?
- פיזור סיכונים
הימנעו משימוש חוזר באותן סיסמאות בחשבונות שונים. צריכים לזכור יותר מידי סיסמאות? עשו שימוש במנהל סיסמאות מובנה בדפדפן או במנהל סיסמאות מסחרי דוגמת 1password, bitwarden. - הוסיפו אימות דו שלבי (2fa) לכל החשבונות שלכם
אימות דו שלבי מהווה אלמנט התחברות לחשבון בעזרת שני רכיבים - רכיב ראשון סיסמא (משהו שהמשתמש יודע), רכיב שני - משהו פיזי שברשות המשתמש כגון טלפון, תג או טביעת אצבע.
הרעיון הוא שאם סיסמתכם ידוע להאקר, הוא יתקל בקושי להמשיך הלאה כיוון שצריך את האלמנט הפיזי שנמצא ברשותכם בלבד. - החליפו את סיסמתכם לחשבונות השונים כל 3 חודשים
הנחת העבודה היא - אם האקר החליט לנסות ולפצח את הסיסמא, מאמציו יעלו בתוהו אם איפסתם.
(מזכיר שאם הסיסמא מורכבת, זמן פיצוחה יכול לארוך ימים, שבועות ואף חודשים). - מלבד שכבות אבטחה, סגלו מספר הרגלים
אל תלחצו על קישורים שאינם מכירים או שבידכם ספק מסויים לגבי מהימנותם. - אל תתחברו לאף חשבון אם התחברתם לרשת wifi ציבורית.
אם בכל זאת יש צורך, השתמשו בשירות vpn. - השתמשו רק באתרי https לגלישה והתחברות