גלובס - עיתון העסקים של ישראלאתר נגיש

סיסמאות / אילוסטרציה: טלי בוגדנובסקי

המלחמה מול ארגון הטרור חמאס בעזה גרמה לקבוצות רבות בעולם המזדהות עם הפלסטינים להתייצב לשירותם. קבוצות אידאולוגיות אנטי-ישראליות ביצעו מתחילת המלחמה מספר אירועי פישינג ותקיפות סייבר, כך שחשוב ביתר שאת להיות מודעים למתחולל ברשת.

הסיסמאות הן ה"מפתח" למנעול של המידע שלנו - נכס משמעותי, שמהווה מוקד מרכזי עבור האקרים. לכן חשוב להקפיד על כללי ברזל. איך דולפות סיסמאות, כיצד מרכיבים סיסמה חזקה, מהו מנהל סיסמאות ומה לעשות כשחשבון נפרץ? הנה התשובות. 

● בדיקה טכנולוגית | קופאת, לא מתריאה על הודעות וקורסת: מה קרה לוואטסאפ?
● ניתוח | יותר ישראלים משתמשים בטלגרם מתחילת המלחמה. עד כמה זה מסוכן?

הסכנה איך דולפות סיסמאות

סיסמאות הן קו ההגנה הראשון נגד מתקפות סייבר, אך לעתים מדובר גם באחת החוליות החלשות ביותר. מערך הסייבר הלאומי מפרט את השיטות ששחקנים שונים נוקטים, על מנת שניתן יהיה להתגונן.

ראשית, האקרים משתמשים בתוכנות שמנסות באופן אוטומטי כל שילוב אפשרי של תווים עד שנמצאת הסיסמה הנכונה - מדובר בבדיקה של אלפי מילים בדקה. שימוש בסיסמאות נפוצות מקל עליהם בפיצוח.

שנית, נעשה שימוש במידע שנאסף מהרשתות החברתיות. לא מעט אנשים משתמשים בשמות ילדיהם, בני זוגם, מספר טלפון, תאריכי לידה ועוד. האקרים יכולים להשתמש במידע מזהה שנמצא ברשת החברתית, ולכן לא כדאי להשתמש במידע זה בסיסמה.

שלישית, אירועי פישינג וגלישת כתף. תקבלו הודעות שיתחזו לחברה או לספק שירות, עם טענה שננעלתם מחוץ לחשבון שלכם או שהפרתם את כללי הקהילה של רשת חברתית. עליכם לבדוק בתוך האפליקציה אם יש לכך אינדיקציה, ולא דרך המייל. יתרה מכך, אם חשבון אחר שלכם נפרץ והשתמשתם באותה הסיסמה, עליכם להחליף גם אותה.

גלישת כתף משמעותה שמישהו הציץ לכם מעבר לכתף בתור, במקום פומבי או במשרד כשהכנסתם את הסיסמה, או גילה אותה באמצעות מצלמת אבטחה. היו ערים לסביבתכם כשאתם מכניסים סיסמה, והימנעו מלעשות זאת במקום פומבי.

השיטה להרכיב סיסמה חזקה

לא מעט אנשים משתמשים בסיסמאות קלות לפריצה כמו 0000, 12345678 או הסדר ההפוך - וזו, כמובן, טעות. "חשוב לבחור לכל הנכסים הדיגיטליים שלכם סיסמה חזקה, כלומר כזו שקשה לנחש או לפצח על ידי אדם או תוכנה", אומר יונתן בן חורין, מנהל קו הסיוע לאינטרנט בטוח של איגוד האינטרנט הישראלי.

"סיסמאות חזקות מורכבות מ-10 תווים ומעלה עם שילוב של מספרים, אותיות גדולות, קטנות ותווים, ועדיף שלא יהיו קשורות לשמות ותאריכי לידה של בעל החשבון. ככל שהסיסמה תהיה ארוכה יותר, כך יהיה קשה לנסות להעתיק אותה".

לצד זאת ממליץ בן חורין להשתמש בסיסמאות שונות לשירותים וחשבונות שונים, "כדי למנוע מצב שהאקרים ישתמשו בסיסמה שנחשפה כדי לפרוץ ליותר מחשבון אחד שלכם". המלצה חשובה היא לשנות סיסמאות אחת לכמה חודשים, בעיקר בחשבונות המייל והבנק.

גיל מסינג, ראש המטה של חברת אבטחת המידע צ'ק פוינט, נותן טיפ: "במקום לזכור סיסמה, אפשר לזכור שיטה. למשל, אם תבנית הסיסמאות שלי תהיה שם של אחד הילדים עם שם בית הספר שלו, אני לא אצטרך לזכור יותר מדי סיסמאות, ומספר האפשרויות מצומצם בהתאם למספר הילדים. כמובן שחשוב לא לשתף את המידע הזה ברשתות החברתיות, כך שלא ינסו להשתמש במידע נגדכם".

כלים שימושיים מנהלי הסיסמאות

מנהלי סיסמאות הם למעשה תוכנה שנועדה לשמור ולנהל את הסיסמאות לשירותים שונים. "במקום שנזכור את הסיסמה לחשבון הבנק הדיגיטלי, לחשבון ברשת החברתית ולאתר של חברת כרטיסי האשראי, אנו נכנסים לשירותים הללו דרך מנהל סיסמאות שמייצר את הסיסמה עבור כל אחת מהן, ואנו רק נדרשים לזכור סיסמה אחת - זו שמאפשרת את הגישה למנהל הסיסמאות", מסביר מסינג.

בין התוכנות הקיימות כיום בשוק נמצאות 1Password ,Dashlane Bitwarden ועוד. כמעט כל אחת מהן מגיעה בגרסה חינמית, וכן בגרסת פרימיום בתשלום. השימוש די פשוט: מתקינים את התוכנה, וברגע שנותנים אישור, היא הופכת למפתח שדרכו נכנסים לאתר או שירות.

לצד אלו, ישנם מנהלי הסיסמאות של אפל וגוגל: Apple iCloud Keychain ו-Google Password Manager. הנוחות של אפל וגוגל ברורה, כיוון שאלו שירותים שכבר נמצאים במכשיר.

מסינג מסביר כי לא כדאי להתפתות לנוחות. "האקרים הבינו את השיטה, והתחילו לפרוץ למנהלי סיסמאות, מתוך הבנה שבפריצה הם מקבלים גישה למאגרי מידע ענקיים. חשוב להבין שאם אנחנו מאשרים לגוגל לשמור את הסיסמאות שלנו, זה לשים את הביצים במקום אחד, וזה יכול להיות מסוכן". הפתרון לכך הוא לרענן את הסיסמה המרכזית של מנהל הסיסמאות.

לא כדאי להסתפק בהגנה באמצעות סיסמאות בלבד, שכן יחסית קל לפרוץ אותן. מומלץ להוסיף אימות דו-שלבי, שמוסיף עוד שכבת הגנה. למעשה הכלי הזה מאפשר לוודא שהמשתמש שרוצה להתחבר הוא אכן אנחנו, ולא גורם זר. "זאת תכונת אבטחה שמחייבת את המשתמשים לספק צורה שנייה של אימות, כגון הזנת קוד חד פעמי שנשלח לטלפון או לאפליקציית אימות ייעודית שהתקינו, לאחר הזנת הסיסמה שלהם", מסביר בן חורין. "שכבת הגנה כזו מקשה באופן משמעותי על אנשים לא מורשים לקבל גישה לחשבונות שלכם, גם אם הצליחו לשים ידיהם על סיסמתכם".

חשבון שנפרץ לדווח ולפעול מהר

במקרה של פריצה לחשבון, פעולה מהירה היא חיונית. בן חורין מסביר: "אם יש לכם עדיין גישה לחשבון, שנו את הסיסמה באופן מיידי, ובדקו אם יש פעילות חשודה, כגון עסקאות לא מורשות או תכנים זדוניים שנשלחו בשמכם. אם ננעלתם מחוץ לחשבון, פעלו לפי המלצות הפלטפורמה שבה זה קרה, ודווחו לה על כך כדי שהיא תסייע לכם".

יש לדווח על חשבון שנפרץ לגורמים רלוונטיים, כמו מערך הסייבר הלאומי ומקום העבודה. חשוב לעדכן גם את המעגלים הקרובים שהחשבונות האישיים שלכם נפרצו, כי ייתכן שהתוקפים ינסו להעביר דרככם קישורים זדוניים ופישינג לבני משפחה וחברים. יש להחליף סיסמאות בכל השירותים, ולוודא שכלל המכשירים מנותקים מהשירות. לפי מסינג, "החלפת הסיסמאות צריכה להיות במכשיר אחר נקי, שכן וירוסים מסוימים מעתיקים את המקלדת שבה אנו משתמשים, ואז להאקרים תהיה גישה גם לסיסמאות החדשות".