איך לנווט בג'ונגל הסיסמאות ומה עושים כשאי אפשר לזכור את כולן? - TechNation - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן
רק לא 123456

איך לנווט בג'ונגל הסיסמאות ומה עושים כשאי אפשר לזכור את כולן?

גניבת תמונות העירום של ידועניות בחודש שעבר חשפה את הצורך בהגנה על המידע הפרטי הטמון בסמארטפונים ובטאבלטים שלנו ■ השיטה הטובה ביותר היא שימוש בסיסמאות חזקות, אבל כמות הססמאות מסרבלת את השימוש במכשירים ■ כך תבחרו סיסמאות נכונות - ותזכרו אותן

32תגובות

העולם הדיגיטלי, מתקדם ככל שיהיה, סובל מסרבול מסוים שנקרא סיסמה. כל שירות אלקטרוני שאליו נרשמים דורש מהגולשים סיסמה. הסיסמאות נחוצות כמובן כדי שהמידע שלנו יישמר באופן פרטי, אך הן מסרבלות מאוד את אורח החיים הדיגיטלי. מדוע סיסמאות נחוצות, מהי סיסמה חזקה ואיך מנהלים את כל הבלגן הזה?

גניבת מידע לרוב מתבצעת באחד משתי דרכים: תקיפת שרתים, שניתן להקביל לפריצה לסניף הדואר, למשל, כדי לגנוב דואר, ופריצה למאגרים אישיים, הדומה לפריצה לתיבת דואר פרטית של אדם. 2014 היתה שנה סוערת בהיבט של גניבות מידע פרטי ופרטי כרטיסי אשראי. מספר רשתות ענק אמריקאיות דיווחו על התקפות סייבר שבהן נחשפו פרטי כרטיסי אשראי של מיליוני לקוחות. עם המותקפות נמנו ענקיות קמעונות כמו רשת הכלבו המוזל קיי־מארט, טארגט והום־דיפו וכן בנק ג'יי.פי מורגן.

אי־פי

בצד השני של ההתקפות, כמו במקרה הדלפת תמונות העירום של הידועניות - ובהן ג'ניפר לורנס, קירסטן דנסט, קים קרדשיאן וקייט אפטון - המתקפה היתה לא על שרתי אפל, שבהם אוחסנו התמונות, אלא התקפה "פרטית" - כלומר על נקודת הקצה. לרוב התקפות על בנקים הן מחוכמות מאוד ונעשות על ידי גופי מדינה, והתקפות מן הסוג השני מאפיינות האקרים עצמאים - לא בהכרח מאוד מחוכמים.

"שלום, כאן מחלקת המחשוב של הפועלים"

קיימות כמה פרקטיקות מקובלות של גניבת מידע דיגיטלי. המשותף לכולן הוא הניסיון לחשוף את הסיסמה של המשתמש. טקטיקה אחת קלה ומקובלת מכונה פישינג. במתקפה הזאת המשתמש מקבל פנייה במייל כמו: "שלום. כאן מחלקת המחשוב של בנק הפועלים. אתה נדרש להחליף את הסיסמה שלך בבנק. לחץ על הלינק כאן כדי לשנות אותה". אלא שהמייל לא מגיע באמת מהבנק. הלינק מוביל לעמוד שנראה בדיוק כמו דף הכניסה של הבנק, אך למעשה זהו עמוד מתחזה. המשתמש שייפול בפח יקליד את שם המשתמש והסיסמה שלו, ומהרגע הזה ההאקר מחזיק את המפתחות לחשבון הבנק של המשתמש.

הדרך הטובה ביותר להימנע ממתקפה כזו היא לא להאמין למיילים כאלה - ולא ללחוץ על הלינק. אם המייל אמיתי, בעת הכניסה הבאה לחשבון באתר הבנק תתבקשו להחליף סיסמה.

באתר Life Hacker הציעו עוד דרך לבדוק אם המייל הוא אמיתי או ניסיון לגניבת מידע: אפשר לרחף מעל הקישור במייל, ולראות איזו כתובת מוצגת. למשל, אם הסיומת היא subdomain.paypal.com זה כנראה בטוח, אך אם הסיומת היא paypal.someotherdomain.com, נראה שמישהו מנסה להתחזות. בנוסף, מומלץ להתגונן מפישינג באמצעות תוסף לדפדפן בשם Web of Trust. התוסף יודע לזהות עמודי אינטרנט בני סמכא ולהתריע בפני אתרים שאינם בטוחים.

סיסמאות שקל לנחש

טקטיקה נוספת לפריצה למאגרי מידע היא ניחוש סיסמאות ושאלות אימות. במקרה של תמונות העירום שדלפו לרשת, ההאקרים לא היו מתוחכמים במיוחד. הם לא פרצו לשרתי iCloud של אפל וגנבו משם את המידע, אלא פשוט נכנסו לחשבונות הפרטיים של הידועניות. ניתן לעשות את זה קודם כל באמצעות ניחוש סיסמאות.

חברת SplashData פירסמה נתונים על 25 הסיסמאות הנפוצות בעולם. מתברר כי הסיסמאות הנפוצות הן פשוטות מאוד, כאלה שכנראה קל לנחש. כך, במקום הראשון אפשר למצוא את הסיסמה 123456 ובמקום השני - password. גם יתר הסיסמאות ברשימה היו קלות יחסית לניחוש.

סוג נוסף של סיסמאות נפוצות הוא שמות הילדים או הכלב, תאריך יום הולדת או מספר הטלפון הנייד. זהו מידע ציבורי או כזה שקל להשיג, ולכן כדאי להימנע מסיסמאות כאלה. ביולי האחרון, בזמן המבצע הצבאי צוק איתן, הצליחו האקרים פלסיטינים לפרוץ למערכת שליחת הודעות הטקסט בחירום של המועצה האזורית בנימין בשטחים באמצעות ניחוש הסיסמה: בנימין.

ניחוש סיסמאות הוא לא רק שיטה של האקרים מתחילים. גם ארגוני מדינה עובדים בשיטה זו, אלא שהם משתמשים במחשבי־על שמסוגלים להריץ מספר אדיר של סיסמאות בזמן קצר, וכך, על דרך האלימינציה, להגיע לסיסמה הנכונה. מסיבה זו, אם לפעמים שוגים בהקשת הסיסמה, האתר מבקש לוודא שאתם לא רובוט סיסמאות באמצעות מנגנון Captcha - הקשת מילה נוספת. לפי מומחי אבטחה, גם את המנגנון הזה אפשר לעקוף.

במקרה הידועניות, כפי הנראה ההאקרים נכנסו למייל של המותקפות ובחרו באפשרות של "שכחתי סיסמה". פעמים רבות בבחירה זו ניתן לשחזר סיסמה באמצעות שאלות מזהות. במקרה של השחקנית ג'ניפר לורנס, המידע לגבי שם עיר הולדתה ושם הכלבה הראשונה שלה - שלפי ההערכות במידע זה השתמשו ההאקרים - פורסם בכלי התקשורת.

כדי לבדוק עד כמה הסיסמה חזקה או חלשה אפשר להיעזר באתר howsecureismypassword.net. האתר מציג כמה זמן ייקח למחשב ביתי לפרוץ את הסיסמה. מדובר בשירות שמפעילה חברת RoboForm, שגם היא מציעה כלי פופולרי לניהול סיסמאות.

שיטה נוספת שבה תוקפים יכולים לעשות שימוש היא לפרוץ לרשת האלחוטית הביתית, שוב, באותן השיטות של ניחוש סיסמאות. אפשר גם להתחזות לרשת אלחוטית, כמו Aroma_Free_Wifi, ולזהות את כל התעבורה שעוברת ברשת האלחוטית. בהיבט הזה, רשת הסלולר בטוחה יותר מרשת WiFi ציבורית, ולכן עדיף שלא לבצע פעילויות רגישות ברשת אלחוטית ציבורית.

עוד דרך נפוצה מאוד של האקרים לחדור לחשבונות פרטיים היא לגנוב את בנק שמות המשתמש והסיסמאות מאתר עם אבטחה חלשה, כמו אתר קופונים זניח שפעם רכשנו בו אגרטל. במקרה כזה הפורץ משתמש במאגר כדי להיכנס לשירותים מאובטחים יותר כמו Dropbox או Gmail.

אי־פי

כללים לבחירת סיסמה

בדיוק מהסיבות שתוארו, ישנם כמה כללים ברורים לבחירת סיסמאות. הראשונה היא לא להשתמש באותה סיסמה פעמיים. מי שנאלץ למחזר סיסמאות, יכול להמציא סיסמה ייחודית שתשמש לשירותים הרגישים ביותר כמו האי־מייל, הבנק ושירות הענן.

סיסמה חזקה מוגדרת לרוב כסיסמה עם שמונה תווים ומעלה, וכוללות אותיות וספרות. יש להימנע מביטויים, כמו illbeback או happybirthday. עדיף רצף אקראי של מלים כמו smiles_light_skip. בנוסף, מומלץ להחליף סיסמאות כל כמה זמן. מומחה האבטחה אמיר כרמי מחברת קומסקיור, למשל, מספר כי הוא מחליף סיסמאות בכל השירותים הדיגיטליים שלו אחת לחצי שנה.

ואולם הרצון להתגונן יוצר בעיה חדשה: ריבוי סיסמאות. איך אפשר לזכור את כולן? הדפדפן מציע לשמור סיסמאות, אך שיטה זו לא מומלצת, שכן היא אינה בטוחה מספיק ובכל מקרה לא מאפשרת גישה ממחשב מרוחק.

אי־פי

לשם כך נוצרו תוכנות המכונות מנהל סיסמאות. התוכנה המוכרת מכולן היא LastPass החינמית, שמציעה מעין כספת לכל הסיסמאות. התוכנה פועלת בכל הפלטפורמות - כתוסף לדפדפן, כתוכנה למחשב או כאפליקציה לנייד. אחרי שמקישים את הסיסמה לכספת, בכל פעם שנכנסים לשירות שדורש סיסמה, התוכנה תציע לאחסן ולזכור אותה עבורכם. בכל כניסה נוספת, היא כבר תקיש את הסיסמה עבורכם. כך, במקום עשרות סיסמאות, צריך לזכור רק את הסיסמה לכספת.

לבסוף, אסור לשכוח לנעול גם את המחשב או הסמארטפון בסיסמה טובה. בעידן שבו אנחנו מצלמים תמונות של הילדים והחברים בסמארטפון כל הזמן, זה כמעט חוסר אחריות לא לנעול את המכשיר. נעילת המכשיר יכולה למנוע גישה למכשיר במקרה של גניבה. יש לציין כי פריצה לקוד של הסמארטפון היא מורכבת מאוד. בנוסף, אם המכשיר נעול, אפשר להפעיל תוכנות השתלטות מרחוק, איתור מקום ומחיקה של המידע.

די להתגונן מפני פורצים כדאי לנעול את המחשב והסמארטפון מאחורי סיסמה חזקה, לבחור סיסמאות חזקות יחסית לשירותים הדיגיטליים הנפוצים, ובסיסמה ייחודית בשירותים רגישים. כמו כן, כדי לשלוט בכל זה - מומלץ להשתמש במנהל סיסמאות כמו LastPass או 1password או Dashlane. מנהל סיסמאות מקל מאוד את החיים בג'ונגל הסיסמאות.

הגנה למשתמשים הכבדים מבית גוגל

למי שמנהל את רוב החיים הדיגיטליים שלו משירותי גוגל - שולח מיילים מ-Gmail, שומר מסמכים ותמונות 
ב-Drive, משתמש באנדרואיד וכדומה 
- כדאי מאוד להעלות את רמת האבטחה דרגה אחת.

גוגל שיחררה שיטת אבטחה במעגל שני, בשם Two Step Verification. העיקרון פשוט: בכל פעם שמישהו (אתם או האקר) ינסה להיכנס לחשבון הגוגל שלכם, תצטרכו לבצע שלב אימות נוסף מלבד הסיסמה הרגילה. את האימות הנוסף אפשר לקבל כקוד בהודעת טקסט או בהודעה קולית. דרך נוספת היא באמצעות אפליקציה מחוללת סיסמאות מתחלפות של גוגל בשם Google Authenticator. כדי להפעיל את השירות הזה צריך להוריד את האפליקציה למכשיר, הזמינה גם ב-iOS. מי שמעוניין להוריד אותה למחשב צריך להיכנס להגדרות חשבון הגוגל, ולהגדיר את תהליך האימות הכפול בלשונית ה-Security.

מדובר בשירות מעולה, אך כדי להימנע מטרטור מיותר אפשר לקבוע רשימת מכשירים, כמו המחשב בבית או הטאבלט, שמוגדרים כבטוחים ולא מצריכים אימות כפול, אלא רק את האימות הרגיל. בשורה התחתונה, השימוש באימות כפול מקטין מאוד את האפשרות של גניבת מידע מחשבון גוגל. מומלץ מאוד.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#