3 טעויות בבחירת סיסמה שכדאי להימנע מהן
סיסמאות הן ההגנה הראשונה שלנו מפני פושעי סייבר - אז למה אנחנו עדיין מזניחים אותן?
בין אם אתם מכורים גמורים לטכנולוגיה או מתחילים באינטרנט, אתם בוודאי מכירים סיסמאות. סביר להניח שתהיו מודעים לכך שייתכן שהסיסמאות שלכם אינן חזקות כפי שהן צריכות להיות.
מחקר של חברת NordPass, מנהלת הסיסמאות, מצא כי מתוך 200 הסיסמאות הנפוצות ביותר, 70% מהן ניתנות לפיצוח תוך פחות משנייה. באופן דומה, חברת אבטחת הסייבר Keeper Security מצאה כי שלושה רבעים מהאנשים אינם פועלים לפי הנחיות הסיסמאות, כאשר שני שלישים משתמשים בסיסמאות חלשות או זהות בחשבונות מרובים.
למרות שלא כל הסיסמאות נוצרו שוות, המחקר של נורד מצא שהסיסמאות החזקות ביותר שמורות לחשבונות פיננסיים בעוד שלחשבונות סטרימינג יש את החלשות ביותר – הראיות ברורות; באופן כללי, אנשים מזניחים לפחות חלק מבטיחות הסיסמאות שלהם.
אתם אולי חושבים שהסיסמה לחשבון סטרימינג היא בטטה ושההאקרים פשוט לא יתעניינו בגישה לחשבונכם, אבל שימוש בסיסמאות חלשות יכול להיות בעל השלכות מרחיקות לכת ולא מכוונות.
אני אחקור את טעויות הסיסמאות הנפוצות ביותר שאסור לכם לעשות ומדוע, ללא קשר לחשבון עליו הן מגנות.
שימוש חוזר בסיסמאות בחשבונות מרובים
בעוד שאנשים אולי יודעים שהם לא אמורים לעשות שימוש חוזר בסיסמאות בחשבונות מרובים, הרוב עדיין עושים זאת. סקר של גוגל מצא ש -65% מהאנשים עושים שימוש חוזר בסיסמאות , כאשר 13% משתמשים באותה סיסמה בכל החשבונות. באופן דומה, סקר של LastPass מצא שבעוד 91% מהנשאלים אמרו שהם מכירים בסיכונים הכרוכים בשימוש חוזר בסיסמאות, 59% אמרו שהם עושים זאת בכל מקרה.
אמנם ייתכן שאתם חושבים ששימוש חוזר בסיסמאות הוא קל ונוח – אחרי הכל, זה אומר שאתם צריכים לזכור רק סיסמה אחת במקום תריסר – אבל זה למעשה משאיר אתכם פגיעים להתקפות סייבר. על ידי שימוש חוזר בסיסמאות, אתם פותחים מספר חשבונות עבור האקרים, אם סיסמה זו נחשפת בגין פרצת נתונים.
מתקפות סייבר הכוללות פושעי סייבר המשתמשים בעשרות צירופים של פרטי התחברות שנחשפו בפריצות קודמות בניסיון לקבל גישה לחשבונות אחרים של קורבנות ידועות בשם "התקפות דחיסת פרטי התחברות", כאשר האקרים "דוחפים" פרטי התחברות לפורטלי התחברות עד שהם מקבלים גישה. למתקפות סייבר אלו יכולות להיות השלכות מרחיקות לכת.
באוקטובר 2023, נתגלה פרטי הלקוחות (כולל חשבון, מצב בריאותי ופנוטיפ, אזור מוצא ופרטי זיהוי כולל תמונות) של 13 מיליון לקוחות 23andMe למכירה ברשת האפלה. מאוחר יותר נחשף כי 23andMe שלחה מכתב לנפגעים מדליפת הנתונים, ובו הודיעה להם כי פושעי סייבר קיבלו גישה לנתוני לקוחות אלה, שכן לקוחות אלה "מחזרו ברשלנות ולא עדכנו את סיסמאותיהם בעקבות אירועי אבטחה קודמים שאינם קשורים ל-23andMe", כלומר תקרית הסייבר "לא נבעה מכישלונו לכאורה של 23andMe לשמור על אמצעי אבטחה סבירים".
בעוד שרבים חשו שזה לא הוגן מצד 23andMe להאשים את לקוחותיהם בתקרית הסייבר, כאשר אחד מעורכי הדין המייצגים את הקורבנות בתביעה ייצוגית כינה זאת "חסר היגיון" ו"חסר בושה", דליפת נתונים נרחבת זו מדגימה עד כמה מסוכן יכול להיות שימוש חוזר בפרטי התחברות.
לעתים קרובות, חברות ישלחו הודעות לחשבונות שנתוניהם נחשפו בגין פרצה. אם אתם משתמשים במנהל סיסמאות, ייתכן שתקבלו גם הודעות המתריעות על פגיעה. עם זאת, אם עדיין אינכם בטוחים האם הסיסמאות שלכם פורסמו, HaveIBeenPwnd.com הוא משאב חינמי שיכול לחשוף איזה מידע אודותיכם נחשף בגין פרצות נתונים.
אם אתם מתקשים לזכור מספר סיסמאות שונות, מנהל סיסמאות הוא פתרון נהדר. ישנן מספר אפשרויות שונות, חינמיות וגם בתשלום, אשר לא רק ישמרו עבורכם את פרטי ההתחברות שלכם, אלא גם יציעו סיסמאות חזקות שפחות נוטות לנחש על ידי האקרים.
רוצה ללמוד עוד על מנהלי סיסמאות? עיין במשאבים הבאים:
סקירת הסיכונים והיתרונות של מנהלי סיסמאות.
מנהל סיסמאות עסקי לעומת מנהל סיסמאות ארגוני לעומת מנהל סיסמאות תאגידי: מה ההבדל?
למה מנהל סיסמאות יכול להיות כלי האבטחה שמעולם לא ידעתם שאתם צריכים.
לא להשתמש בסיסמאות מורכבות
שימוש חוזר בסיסמאות אינו הטעות היחידה שניתן לעשות. שימוש בסיסמאות פשוטות שקל לנחש הוא גם אסור בגדול.
ייתכן שהטרידו אתרים שדורשים ממך להשתמש ב-8-14 תווים, תווים מיוחדים, מספרים ו/או אותיות גדולות וקטנות לפני שהסיסמה שלך נחשבת "חזקה" מספיק, אך אי הנוחות הזו מבטיחה בסופו של דבר את בטיחותך ברשת.
אם אתם משתמשים בסיסמאות חלשות, אתם משאירים את החשבון שלכם פתוח להאקרים המעוניינים לגנוב את הנתונים שלכם או של החברה שלכם. האקרים משגרים התקפות "כוח גס", תוך שימוש בניסוי וטעייה כדי לנחש סיסמאות או פרטי התחברות אחרים, ולקבל גישה לחשבונות. ניתן לעשות זאת באופן ידני או באמצעות תוכנה שמזינה את הסיסמאות עבורם. שימוש בסיסמאות חלשות מקל על ההאקרים את הניחושים, ומאפשר להם לגשת לחשבונות שלכם או של החברה שלכם ביתר קלות.
את ההשלכות של מתקפות Brute Force ניתן לראות בסגירת אחד משרתי ספקית החומרה הטייוואנית QNAP באוקטובר 2023. השרת נסגר לאחר שהחברה גילתה שהוא משמש כחלק מניסיון פריצה רחב היקף באמצעות Brute Force נגד התקני אחסון רשת (NAS) החשופים לאינטרנט. בעצותיהם לאלו המעוניינים להגן על נקודות הקצה שלהם מפני מתקפות Brute Force, QNAP המליצה בחום להשבית חשבונות מנהל, להימנע משימוש בסיסמאות חלשות, להגדיר סיסמאות חזקות עבור כל החשבונות ולוודא שהסיסמאות מתעדכנות באופן קבוע.
סיסמאות מורכבות הן באורך של לפחות אחד עשר תווים, והן מורכבות ממגוון אותיות גדולות וקטנות, מספרים ותווים מיוחדים, למשל &, * או !. אתם עשויים לטעון שזה מקשה על זכירתן, ולמרות שזה נכון, כאן מנהלי סיסמאות, עם היכולת שלהם ליצור ולשמור סיסמאות, נכנסים לתמונה. הם אפילו לא צריכים לעלות אגורה, עם הרבה מנהלי סיסמאות חינמיים נהדרים שקיימים בשוק.
אם אתם רוצים מידע נוסף על מנהלי סיסמאות בחינם, עיינו במקורות הבאים:
מנהל הסיסמאות של ספארי: כיצד לשמור, להציג ולנהל סיסמאות בדפדפן של אפל .
מנהל הסיסמאות של פיירפוקס: כיצד לשמור, להציג ולנהל סיסמאות בדפדפן מוזילה.
מנהל סיסמאות Edge: כיצד לשמור, להציג ולנהל סיסמאות בדפדפן של מיקרוסופט.
שימוש בסיסמאות המכילות מידע אישי
יש אנשים שכוללים מידע אישי, כמו תאריכי לידה ושמות של חיות מחמד, כדי לעזור להם לזכור סיסמאות. אולי אתם חושבים שהדברים האלה ייחודיים מספיק לכם כדי שלא יתנחשו אותם, אבל למרבה הצער, זה לא המקרה.
ניתן לגשת למידע אישי במהלך פרצות אבטחה אחרות. לאחר שמידע זה הופך לרשות פושעי סייבר באמצעות מכירה ברשת האפלה, הם יכולים להשתמש במידע זה כדי לגשת לחשבונות אחרים.
בינואר השנה, חברת מפעילת רשתות הסלולר Orange Spain סבלה מהפסקת חשמל משמעותית לאחר שהאקר השיג סיסמה "חלשה להפליא" עבור חשבון RIPE Network Coordination Center (RIPE NCC) של Orange Spain, אשר שולט ומנהל את תעבורת האינטרנט של רשת הסלולר.
ההאקר, תחת שם בדוי "Snow", רכש את הסיסמה, שהושגה לאחר שמכשיר של עובד Orange Spain נדבק בתוכנה זדונית, מהפושע הסייבר האחראי למתקפת הזדונית דרך הרשת האפלה. באמצעות הסיסמה ("ripeadmin"), Snow הצליח לגשת לחשבון המנהל RIPE NCC של Orange Spain. לאחר מכן הם הצליחו לבצע שינויים בניתוב הגלובלי של Orange Spain ולמנוע שירות ללקוחות הרשת הסלולרית.
זו לא הפעם היחידה שבה סיסמאות חלשות הובילו לפושעי סייבר לפרוץ לרשת חברה. בספטמבר 2023, חברת התוכנה LogicMonitor סבלה מפריצת נתונים שנגרמה לכאורה עקב שימוש בסיסמאות חלשות.
קורבן של פרצת הנתונים אמר כי הפרצת הנתונים נגרמה על ידי עובד שהשתמש בסיסמה חלשה וברורה, המשמשת בכל חשבונות המשתמש כאשר עובד חדש מצטרף לחברה. מכיוון שסיסמה זו לא שונתה, הצליחו האקרים לקבל גישה לרשת החברה.
המפתח למניעת מתקפות סייבר אלו הוא שימוש בסיסמאות שאינן מכילות מידע מזהה אישי או מידע ברור מאליו. דרך אחת לעשות זאת היא ליצור 'ביטוי סיסמה', משפט המורכב ממילים שנראות אקראיות. ביטויי סיסמה אלו יכולים להיות באורך של עד שמונה תווים, אך יכולים להגיע עד 100 תווים. בעת יצירת ביטוי סיסמה, עליכם להימנע משימוש במירכאות או בביטויים ידועים, מכיוון שאלו מקלים על פיצוח ביטוי הסיסמה.
לחלופין, השתמשו במחולל סיסמאות כדי ליצור סיסמאות חזקות שהן גם אקראיות וגם ייחודיות.
לא משנה איך תיצרו סיסמאות מורכבות, ניתן לשמור אותן באמצעות מנהל סיסמאות חינמי או בתשלום, וישמור עליכם, על החשבונות שלכם ועל הנתונים שלכם.
אם אתם מעוניינים ללמוד עוד על יצירת סיסמאות חזקות, עיינו במאמרים הבאים:
סיסמאות – לא כל מה שהן פוצחו כדי להיות.
איך להפוך את הסיסמאות שלך לבטוחות יותר.
מפתחות הם הסוף של הסיסמאות, וכן, אתם רוצים אותם.
הסיסמאות הטובות ביותר: רעיונות לסיסמאות חזקות לבטיחות רבה יותר.