ניהול סיסמאות- איך לשמור על הסיסמאות שלנו מוגנות
הגיע הזמן לשנות את איך שאנחנו חושבים על הסיסמאות שלנו. פעם סיסמא של מינימום 6 תווים הכוללת אותיות גדולות וקטנות, ותווים מיוחדים הספיקה.
כעת, עם התקדמות עולם ההאקינג, וההסתמכות ההולכת וגוברת שלנו בטכנולוגיה לביצוע פעולות פשוטות כמו העברות בנקאיות או תשלום בנייד, פריצה לחשבון יכולה להיות מכת מוות לאנשים ועסקים.
פיצוח סיסמאות- טכניקות נפוצות
מתקפת כוח- Brute Force
מתקפה פשוטה ורב עוצמתית, שכל מה שההאקר צריך לעשות זה לגלות את הסיסמא של שם המשתמש של המערכת על ידי מעבר שיטתי של כל הסיסמאות האפשריות- כמו שעושים במנעולים פיזיים.
כדי לבצע מתקפת brute force מריצים קוד שמנסה להתחבר לאתר באמצעות כל הסיסמאות האפשריות. כשלא יודעים על דפוס סיסמאות, כלומר ניחוש מוחלט, מתחילים מהסיסמאות הקצרות וכאשר כל האפשרויות עבור סיסמה באורך מסוים מוצו עוברים לסיסמאות באורך גדול ב-1. כאשר כן ידוע משהו על הסיסמה, למשל שהיא תאריך, אפשר להריץ את כל התאריכים האפשריים באופן סדרתי.
אפשר גם להריץ את כל הסיסמאות הכי נפוצות.
לעיתים אפילו לא צריך לנחש את הסיסמא, ומספיק לדעת את התשובה לשאלת האבטחה. בכל חשבון יש אופציה על "שכחתי סיסמא" שמוביל בדרך פשוטה לאיפוס הסיסמא.
בנוסף, מתקפה זו יכולה ליצור עומס על שירותי ה-API, ולהקריס לאור כמות התנועה העצומה. לקריאה נוספת על מה זה API, עברו למאמר המלא.
בנוסף, האקרים יכול לעקוף את ההגנה של Windows על ידי שימוש בגרסת אתחול של לינוקס (מערכת הפעלה Open source), ומעלים קבצי NTFS המכילים כלים ותוכנות זדוניות שעוזרות למצוא סיסמאות מנהל.
פישינג
דרך פופלרית נוספת לפיצוח סיסמאות היא פישינג. מדובר בניסיון לגנוב מידע רגיש ע"י התחזות ברשת האינטרנט. מדובר בשיטת הטעיה שמטרתה לגרום למשתמש לבצע פעולה אשר תסכן את המחשב שלו, בין אם על ידי התקנת Malware או גניבה של מידע רגיש. סוגי הפישינג הנפוצים:
- אימייל פישינג- אימיילים הנראים כאילו הגיעו ממקור אמין כמו ארגונים, מוסדות ונותני שירות אמיתיים, אך בעצם נשלחו מהאקר שעשה עבודה מאוד טובה בניסיון להתחזות. השימוש בשפה הארגונית, בלוגו החברה, אפילו בטיפוגרפיה המקורית- כל אלה משדרגים את רמת האמינות של מיילים אלה וגורמים לנו להאמין שאכן מדובר בארגון המדובר, לרוב חברות כמו פייסבוק, ebay וכדומה.
- Spear Phishing- אם ניקח סביבה ארגונית כדוגמא, התוקף אוסף מידע על שמות עובדים במחלקה מסוימת ומתחזה לגורם מוכר, לדוגמא ספק שירות העובד איתם או צוות IT. במקרה זה האימייל מיועד לאנשים מסוימים ולכן "תפור למידותיהם".
- Whaling- פישינג למנהלים בכירים. בתוך קטגוריית ה- Spear phishing נמצא גם ה-Whailng. מדובר על פישינג המכוון כנגד בעלי תפקידים בדרג ההנהלה, מכאן שמו של סוג הפישינג, שכן לוויתן זה שם כינוי למטרה בעלת פוטנציאל כספי מאוד גדול.
- Vishing- שימוש בטקטיקות של הנדסה חברתית דרך הטלפון, על ידי התחזות לגורם מוסמך כמו פקיד בנק, איש תחזוקה טכנית או נציג חברת כרטיסי אשראי. המתחזה לעיתים יודיע על פריצה לחשבון הבנק וינסה להשיג פרטים אישיים כמו סיסמא, או במקרה של התחזות לאנשי IT ישכנע לאפשר השתלטות מרחוק על המכשיר כדי לתקן את הפגיעות. בעצם מדובר בתחבולה שמטרתה לתת להאקר גישה בלתי מוגבלת למכשיר ולמידע הנמצא בו, בין אם עלי ידי נוהל השתלטות מרחוק או על ידי החדרת תוכנת Malware.
- פישינג במנועי חיפוש- מדובר בניסיון למקם אתרים מזויפים וזדוניים בראש רשימת החיפוש שמופיע בדפדפן, בין אם מדובר במודעות פרסום או באתרים הממוקמים במיקום אורגני, אתרים אלה לעיתים נראים כמו אתרי קניות אהובים עלינו, רק עם שינוי בכתובת ה-URL.
הגנה על סיסמאות- טיפים
- מבחינת מבנה הסיסמא, חשוב לעקוב אחרי הטבלה למעלה ולייצר סיסמא בין 12-16 תווים מינימום, הכוללים אותיות גדולות, קטנות ותווים מיוחדים. אפשר לבדוק את חוזק הסיסמא בכלי של Kaspersky.
- שימוש בסיסמאות שונות לחשבונות שונים- רובנו משתמשים באותה סיסמא, או בווריאציה שונה של אותה סיסמא למספר חשבונות רגישים. מנהג זה יוצר סכנה ממשית לפריצה מרובה ומעמיד אנשים וארגונים רבים פגיעים.
- שימוש באימות רב שלבי- השתמשו באימות רב-שלבי. כאשר משתמשים ביותר מרק סיסמה להגן על חשבונות מקוונים, הסיכויים לפריצה קטנים. אימות רב-שלבי מוסיף שכבות נוספות כדי לאמת את זהות בעל החשבון בעת הכניסה לחשבון. "גורמים" אלה יכולים לכלול ביומטריה כמו טביעת אצבע או זיהוי פנים, או קוד סיסמה זמני שנשלח באמצעות הודעת טקסט.
- הימנעו משיתוף פרטים אישיים כמו בתי הספר שלמדתם בהם, חיות המחמד, מקום הלידה או פרטים אישיים אחרים.
- היזהרו מאוד בבניית חברויות מקוונות בלבד.
- השתמשו במנהל סיסמאות- מדובר בתוכנה לניהול את כל הסיסמאות במקום מרכזי ומאובטח. השימשו במנהל סיסמאות מאפשר למשתמשים לזכור רק סיסמא אחת. חברות רבות מציעות מנהלי סיסמאות בחינם, כמו Bitwarden או Keepass. אולם התוכנות המומלצות ביותר הן בתשלום מועט של כמה דולקים בודדים בחודש, כמו LastPass המפורסמת, או 1Password הוותיקה.
- הגבילו כניסה- אם אתם בעלי יישום אפליקטיבי ומאפשרים ללקוחותיכם גישה לחשבון, הגבילו את כמות נסיונות הכניסה. לפרוטוקול קרואים Rate limiting ומדובר במנהג שיכול למנוע את הפריצה לא רק לחשבון פרטי ויחיד אלא גם למערכת כולה.
מבדקי פישינג לארגונים הם דרך טובה לעורר את מודעות העובדים בארגונים לחשיבות של סיסמאות חזקות. מלמדים את העובדים אמצעי זהירות ונותנים למנהל אינדיקציה על רמת האבטחה בחברתו. בדיקת פישינג מתבצעת ע"י צוות בודקים המתמחה בזיהוי המתקפות ויישומן במרחב העבודה.מטרת צוות החוקרים היא ליצור הדמיה למתקפת פישינג אמיתית, וכך עובדי הארגון נתונים תחת מבחן פישינג- האם ימסרו את פרטיהם או לא. הצוות בדרך כלל ירכוש דומיין, ולעיתים גם תעודת SSL על מנת לא לעורר חשד. לאחר מכן נשלחת הודעה לעובדי החברה (באמצעות אחת משיטות הדיוג המופיעות), מכתובת שכביכול מוכרת. להודעה לרוב מצורף קישור עם בקשה להזין פרטים אישיים (סיסמא, שם משתמש, פרטי חשבון וכדומה). ברגע שמודעות העובדים לנושא זה תגדל באמצעות מבחני הפישינג, זהירות העובדים תעלה וכך תמנעו את המתקפה הבאה.
בחירת מנהל סיסמאות
יש לא מעט מנהלי סיסמאות, חינמיות ובתשלום, אולם בבחירת מנהל סיסמאות חשוב להבין שלכל אחד צרכים אחרים, ועליכם למצוא את המנהל הנכון עבורכם.
שיקול 1- אבטחה
מנהלי סיסמאות שומרים את המידע באחד משני המקומות הבאים- או בענן של החברה או בכספת במכשיר שלכם. אופציית הענן היא יותר פופלרית משום שזה מאפשר גישה לסיסמאות מכל מכשיר, אולם יש כאלה המעדיפים להתרחק מאופציית שמירת מידע בענן.
שיקול 2- הצפנה ואמצעי אבטחה אחרים
חפשו מנהל סיסמאות בעל אמצעי אבטחה נוספים כמו אימות דו שלבי או אימות ביומטרי.
שיקול 3- התאמה לתוכנה וחומרה
וודאו שהמנהל סיסמאות מותאם לתוכנה וחומרה שאתם משתמשים- חלק ממנהלי הסיסמאות זמינים רק לתוכנות מסוימות כמו ווינדוס. אם אתם משתמשים בלינוקס, Mac, אנדרואיד או ווינדוס, וודאו כי מנהל הסיסמאות שבחרתם תואם לכל הרכיבים שלכם.
אם אתם משתמשים במספר מכישירים וודאו כי יש סנכרון. במקרה זה תצטרכו לבחור במנהל סיסמאות מבוסס ענן על מנת לגשת מכל מכשיר.
שיקול 4- נוח לשימוש
קראו ביקורות וצפו בצילומי מסך שמספקים לכם מבט לתוך התוכנה. בדקו האם התוכנה מספקת פיצרים נוספים כמו סימון סיסמאות תואמות, עדכונים על שינוי סיסמאות תקופתי או שיתופי סיסמא.
שיקול 5- מחיר
כאמור, יש גם מנהלי סיסמאות עם גרסא חינמית אולם החברות שמציעות גרסא זו מצמצמות באופן ניכר את האטרקטיביות של תוכניות אלה על ידי הגבלת סיסמאות והפחתה ברמת האבטחה. התוכניות בתשלום לרוב עולות בין 10-60 דולר בשנה, כך שמדובר בדולרים בודדים בחודש.
מנהלי סיסמאות מומלצים ל-2023
לאחר שלקחתם בחשבון את כל הגורמים הרלוונטים עבורכם, הגיע הזמן לבחור מנהל סיסמאות מתאים. ואמנם לכל אחד מאיתנו יש סדר עדיפויות שונה, עדיין ישנם כמה מנהלי סיסמאות שנחשבים על פי רוב המבקרים המקצועיים כמנהלי הסיסמאות הטובים ביותר שיש לשקול אותם:
