אתם מוגנים? הדליפה שהפכה למגפה של ממש
דליפת סיסמאות הפכה מגפה של ממש. אם רק תדעו איפה לחפש (רמז – זה לא מסובך בכלל), תוכלו לגלות אם הסיסמאות שלכם דלפו וגם כיצד להגן עליהן יותר טוב
- קובי עוזיאלי
- כ"ד סיון התשפ"ד
לאחרונה דווח על "אם כל דליפות המידע", הדלפה של מאגר נתונים אדיר שנגנב במהלך מספר מתקפות על חברות ושירותים מקוונים שונים, ביניהם LinkedIn ו-Twitter (כיום X). על פי הדיווחים, מצבור הנתונים הזה מונה כמות מעוררת פליאה של 26 מיליארד תיעודים הכוללים מידע רגיש מסוגים שונים, ביניהם נתוני ממשלות וסיסמאות גישה של משתמשים.
זו אומנם לא הפעם הראשונה בה מצבור ענק של נתוני משתמשים נחשף לעיני כל, אך המספר חסר התקדים של התיעודים שהודלפו מאפיל על הדלפות מוכרות קודמות.
אז, איפה זה פוגש אותנו? בחברת אבטחת המידע ESET מסבירים כי המסקנה העיקרית מהנתונים היא שגם אם יישמתם אמצעי בטיחות קפדניים, פרטי הגישה לחשבונות שלכם יכולים למצוא את עצמם באוספים כאלה, כשהסיבה העיקרית לכך תהיה דליפת מידע שהמקור שלה בחברה גדולה. ומכאן נובעת השאלה – כיצד תוכלו לגלות אם הסיסמאות שלכם דלפו? תמשיכו לקרוא.
דיווחים מחברות
עסקים עשויים להיות כפופים לדרישות רגולטוריות שמחייבות אותם לדווח על תקריות פריצה ועל פרצות אבטחה שעוד לא תוקנו. בארצות הברית, למשל, חברות ציבוריות נדרשות לדווח על תקריות סייבר משמעותיות לוועדת האבטחה והחליפין של ארה״ב (US SEC) בתוך 96 שעות, או 4 ימי עסקים, מרגע התרחשותן.
כיצד זה מסייע לאזרח הפשוט? שקיפות כזו עשויה לסייע לא רק לבניית אמון מול לקוחות, אלא גם מיידעת אותם אם החשבונות או הנתונים שלהם נפרצו. ברוב המקרים חברות מודיעות על דליפות מידע באמצעות הודעות דוא״ל, אך מכיוון שדיווחים ל-SEC זמינים לציבור הרחב, אתם עשויים לגלות על תקריות כאלה ממקורות אחרים, כמו דיווחי חדשות וכו׳.
Have I been pwned?
הדרך הקלה ביותר לבדיקה אם נתונים שלכם, כמו כתובת דוא״ל או סיסמה כלשהי, נחשפו כחלק מדליפות מידע, היא ביקור באתר haveibeenpwned.com. האתר כולל כלי חינמי שיכול להגיד לכם מתי והיכן הנתונים שלכם הופיעו באינטרנט.
ניתן לבדוק גם כתובות דוא״ל וגם סיסמאות באתר haveibeenpwned.com
הזינו את כתובת הדואל שלכם, לחצו על כפתור ״pwned?״ וזהו! לאחר הלחיצה תעלה הודעה שתודיע לכם על מצב האבטחה של הסיסמאות שלכם, עם מידע מדויק על ההדלפה בה הופיעו. בני המזל שבינינו יראו תוצאה בצבע ירוק, שמסמלת על כך שאף סיסמה לא דלפה, אך עבור אחרים צבע האתר יהפוך לאדום ותופיע רשימה בה יפורטו ההדלפה או ההדלפות בהן הסיסמאות שלכן הופיעו.
דפדפנים
בחלק מהדפדפנים, כמו Google Chrome ו-Firefox, תוכלו לבדוק אם הסיסמה שלכם אותרה בהדלפת נתונים כלשהי. Chrome יכול גם להמליץ על סיסמאות חזקות יותר באמצעות מודול ניהול הסיסמאות שלו או להציע אפשרויות אחרות לשיפור אבטחת הסיסמאות.
מנהל הסיסמאות של Chrome יכול להיות שימושי ולגלות לכם אם נתונים שלכם הודלפו לציבור
עם זאת, ייתכן שתרצו להשתפר עוד יותר ולהשתמש במנהל סיסמאות ייעודי שיש לו מוניטין מוכח של התייחסות רצינית לאבטחה, בין היתר באמצעות הצפנה חזקה. ברוב המקרים הכלים האלה מגיעים כחלק בלתי נפרד מתוכנות אבטחה רב-שכבתיות מוכרות.
מנהלי סיסמאות
מנהלי סיסמאות מועילים באופן יוצא דופן לשימוש באוסף גדול של סיסמאות, שכן הם יכולים לא רק לאחסן אותן באופן בטוח, אלא גם ליצור סיסמאות חזקות וייחודיות לכל אחד מהחשבונות המקוונים שלכם. עם זאת, ברור כי עליכם להשתמש בסיסמת מאסטר שתהיה חזקה מצד אחד ושיהיה קל לזכור אותה מצד שני. הסיסמא הזאת תהיה מפתח הכניסה לממלכה שלכם.
מהצד השני, גם השירותים האלה אינם חסינים לחלוטין ומהווים מטרות אטרקטיביות לגורמים זדוניים, וניתנים לפריצה באמצעות מתקפות העמסת סיסמאות (שימוש באותה הסיסמה בחשבונות שונים – Credential Stuffing) או באמצעות מתקפות המנצלות פרצות אבטחה בתוכנות. אך למרות זאת, היתרונות – שכוללים אפשרות מובנית לבדיקת סיסמאות שדלפו ואינטגרציה עם אפשרויות אימות דו-שלבי (2FA) שזמינות כיום בפלטפורמות מקוונות רבות – גוברים על הסיכונים.
כיצד למנוע (את ההשפעה של) דליפת סיסמאות?
כיצד ניתן למנוע דליפות מלכתחילה? האם המשתמש הממוצע באינטרנט יכול להגן על עצמו מפני הדלפת סיסמאות? ואם כן – כיצד? ובאופן כללי, כיצד ניתן לשמור על בטיחותם של החשבונות שלכם?
בחברת אבטחת המידע ESET מציינים כי לפני הכל, וזו הנקודה החשובה ביותר – אל תסתמכו על סיסמאות בלבד. במקום זאת, וודאו שהחשבונות שלכם מוגנים באמצעות שתי שיטות אימות שונות. מהבחינה הזאת, מומלץ להשתמש באימות דו-שלבי (2FA) בכל שירות שמאפשר זאת, ועדיף שהאפשרות תתבסס על מפתח אבטחה ייעודי לאימות דו-שלבי או על אפליקציות אימות כמו Microsoft Authenticator או Google Authenticator. כך יהיה לתוקפים הרבה יותר קשה לקבל גישה לחשבונות שלכם באופן בלתי מורשה, גם אם הם יצליחו לשים את ידיהם על הסיסמה או הסיסמאות שלכם.
בנוגע לאבטחת הסיסמאות בפני עצמן, הימנעו מכתיבה שלהן על דפי נייר או באפליקציות לניהול פתקים. בנוסף עדיף להימנע מאחסון סיסמאות החשבונות בדפדפנים, שבמרבית המקרים מאחסנים אותן כקבצי טקסט פשוטים, מה שחושף אותן לסיכון של גניבה ע״י נוזקות.
בין הטיפים הבסיסיים הנוספים להתנהלות עם סיסמאות ניתן למנות גם שימוש בסיסמאות חזקות, שמקשות על עברייני הסייבר הקטנים להשתמש במתקפות פריצה בכוח (Brute-force). הימנעו מסיסמאות קצרות ופשוטות, כמו מילה ואחריה מספר. אם אתם לא בטוחים אם הסיסמא חזקה מספיק, השתמשו בכלי הזה של ESET ליצירת סיסמאות או לבדיקת מידת החוזק של הסיסמא שבחרתם.
ככלל מומלץ גם להשתמש בביטויי סיסמאות (Passphrases), שיהיו בטוחים יותר וקל יותר לזכור אותם. ביטויים אלו מורכבים מסדרת מילים שאליהם מכניסים אותיות גדולות ותווים מיוחדים.
באותה המידה, מומלץ להשתמש בסיסמאות שונות בכל אחד מהחשבונות שלכם כדי למנוע מתקפות מסוג העמסת סיסמאות, שמנצלות הרגל מגונה של רבים מהמשתמשים – שימוש חוזר באותן סיסמאות בשירותים מקוונים שונים.
גישה חדשה יותר לאימות מתבססת על התחברויות ללא סיסמאות, בשיטות כמו מפתחות אימות (Passkeys), וישנן שיטות התחברות אחרות כמו מפתחות פיזיים, קודים חד-פעמיים או אמצעים ביומטריים כדי לוודא בעלות על החשבון במכשירים ומערכות שונים.
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות