דליפת הסיסמאות הגדולה ביותר התגלתה בימים אלה

בחודש ינואר השנה דווח על "אם כל דליפות המידע", הדלפה של מאגר נתונים אדיר שנגנב במהלך מספר מתקפות על חברות ושירותים מקוונים שונים, ביניהם LinkedIn ו-Twitter (כיום X). על פי הדיווחים, מצבור הנתונים הזה מונה כמות מעוררת פליאה של 26 מיליארד תיעודים הכוללים מידע רגיש מסוגים שונים, ביניהם נתוני ממשלות וסיסמאות גישה של משתמשים.

כעת לאחר האמא של דליפות המידע, בימים האחרונים אתר CYBERNEWS פרסם כתבה על דליפת הסיסמאות הגדולה ביותר שהתגלתה עד כה, תחת השם "RockYou2024". חוקרים מצאו קובץ המכיל כמעט 10 מיליארד סיסמאות טקסט פשוטות שנגנבו משילוב של התקפות ישנות וחדשות. הקובץ, שנקרא 'rockyou2024.txt', מהווה מקור עצום לתוקפים המשתמשים בטכניקות כמו brute force ו-credential stuffing כדי לפרוץ לחשבונות מקוונים.

הדליפה כוללת סיסמאות שנגנבו ממגוון מתקפות נתונים במהלך שני העשורים האחרונים, כאשר כ-1.5 מיליארד סיסמאות נוספו לקובץ בשנים האחרונות (2021-2024).

אילוסטרציה. למצולם אין קשר לכתבהצילום: pixabay

חוקרים מזהירים כי השימוש בקובץ זה עלול להוביל לגל של פריצות לחשבונות, גניבת זהויות והונאות פיננסיות. את מכירת הנתונים שלנו אמנם לא נוכל למנוע במידה וכבר דלפו, אבל ישנם צעדים שניתן לעשות על מנת להגן על עצמנו.

בחברת אבטחת המידע ESET מסבירים כי גם אם יישמתם אמצעי בטיחות קפדניים, פרטי הגישה לחשבונות שלכם יכולים למצוא את עצמם באוספים כאלה, כשהסיבה העיקרית לכך תהיה דליפת מידע שהמקור שלה בחברה גדולה. ומכאן נובעת השאלה – כיצד תוכלו לגלות אם הסיסמאות שלכם דלפו? תמשיכו לקרוא.

Have I been pwned?

הדרך הקלה ביותר לבדיקה אם נתונים שלכם, כמו כתובת דוא״ל או סיסמה כלשהי, נחשפו כחלק מדליפות מידע, היא ביקור באתר haveibeenpwned.com. האתר כולל כלי חינמי שיכול להגיד לכם מתי והיכן הנתונים שלכם הופיעו באינטרנט.

ניתן לבדוק גם כתובות דוא״ל וגם סיסמאות באתר haveibeenpwned.com

אילוסטרציהצילום: pixabay

הזינו את כתובת הדואל שלכם, לחצו על כפתור ״pwned?״ וזהו! לאחר הלחיצה תעלה הודעה שתודיע לכם על מצב האבטחה של הסיסמאות שלכם, עם מידע מדויק על ההדלפה בה הופיעו. בני המזל שבינינו יראו תוצאה בצבע ירוק, שמסמלת על כך שאף סיסמה לא דלפה, אך עבור אחרים צבע האתר יהפוך לאדום ותופיע רשימה בה יפורטו ההדלפה או ההדלפות בהן הסיסמאות שלכן הופיעו.

דפדפנים

בחלק מהדפדפנים, כמו Google Chrome ו-Firefox, תוכלו לבדוק אם הסיסמה שלכם אותרה בהדלפת נתונים כלשהי. Chrome יכול גם להמליץ על סיסמאות חזקות יותר באמצעות מודול ניהול הסיסמאות שלו או להציע אפשרויות אחרות לשיפור אבטחת הסיסמאות.

מנהל הסיסמאות של Chrome יכול להיות שימושי ולגלות לכם אם נתונים שלכם הודלפו לציבור.

עם זאת, ייתכן שתרצו להשתפר עוד יותר ולהשתמש במנהל סיסמאות ייעודי שיש לו מוניטין מוכח של התייחסות רצינית לאבטחה, בין היתר באמצעות הצפנה חזקה. ברוב המקרים הכלים האלה מגיעים כחלק בלתי נפרד מתוכנות אבטחה רב-שכבתיות מוכרות.

מנהלי סיסמאות

מנהלי סיסמאות מועילים באופן יוצא דופן לשימוש באוסף גדול של סיסמאות, שכן הם יכולים לא רק לאחסן אותן באופן בטוח, אלא גם ליצור סיסמאות חזקות וייחודיות לכל אחד מהחשבונות המקוונים שלכם. עם זאת, ברור כי עליכם להשתמש בסיסמת מאסטר שתהיה חזקה מצד אחד ושיהיה קל לזכור אותה מצד שני. הסיסמא הזאת תהיה מפתח הכניסה לממלכה שלכם.

אילוסטרציהצילום: unsplash

מהצד השני, גם השירותים האלה אינם חסינים לחלוטין ומהווים מטרות אטרקטיביות לגורמים זדוניים, וניתנים לפריצה באמצעות מתקפות העמסת סיסמאות (שימוש באותה הסיסמה בחשבונות שונים – Credential Stuffing) או באמצעות מתקפות המנצלות פרצות אבטחה בתוכנות. אך למרות זאת, היתרונות – שכוללים אפשרות מובנית לבדיקת סיסמאות שדלפו ואינטגרציה עם אפשרויות אימות דו-שלבי (2FA) שזמינות כיום בפלטפורמות מקוונות רבות – גוברים על הסיכונים.

כיצד למנוע (את ההשפעה של) דליפת סיסמאות?

כיצד ניתן למנוע דליפות מלכתחילה? האם המשתמש הממוצע באינטרנט יכול להגן על עצמו מפני הדלפת סיסמאות? ואם כן – כיצד? ובאופן כללי, כיצד ניתן לשמור על בטיחותם של החשבונות שלכם?

בחברת אבטחת המידע ESET מציינים כי לפני הכל, וזו הנקודה החשובה ביותר – אל תסתמכו על סיסמאות בלבד. במקום זאת, וודאו שהחשבונות שלכם מוגנים באמצעות שתי שיטות אימות שונות. מהבחינה הזאת, מומלץ להשתמש באימות דו-שלבי (2FA) בכל שירות שמאפשר זאת, ועדיף שהאפשרות תתבסס על מפתח אבטחה ייעודי לאימות דו-שלבי או על אפליקציות אימות כמו Microsoft Authenticator או Google Authenticator. כך יהיה לתוקפים הרבה יותר קשה לקבל גישה לחשבונות שלכם באופן בלתי מורשה, גם אם הם יצליחו לשים את ידיהם על הסיסמה או הסיסמאות שלכם.

בנוגע לאבטחת הסיסמאות בפני עצמן, הימנעו מכתיבה שלהן על דפי נייר או באפליקציות לניהול פתקים. בנוסף עדיף להימנע מאחסון סיסמאות החשבונות בדפדפנים, שבמרבית המקרים מאחסנים אותן כקבצי טקסט פשוטים, מה שחושף אותן לסיכון של גניבה ע״י נוזקות.

אילוסטרציהצילום: unsplash

בין הטיפים הבסיסיים הנוספים להתנהלות עם סיסמאות ניתן למנות גם שימוש בסיסמאות חזקות, שמקשות על עברייני הסייבר הקטנים להשתמש במתקפות פריצה בכוח (Brute-force). הימנעו מסיסמאות קצרות ופשוטות, כמו מילה ואחריה מספר. אם אתם לא בטוחים אם הסיסמא חזקה מספיק, השתמשו בכלי הזה של ESET ליצירת סיסמאות או לבדיקת מידת החוזק של הסיסמא שבחרתם.

ככלל מומלץ גם להשתמש בביטויי סיסמאות (Passphrases), שיהיו בטוחים יותר וקל יותר לזכור אותם. ביטויים אלו מורכבים מסדרת מילים שאליהם מכניסים אותיות גדולות ותווים מיוחדים.

באותה המידה, מומלץ להשתמש בסיסמאות שונות בכל אחד מהחשבונות שלכם כדי למנוע מתקפות מסוג העמסת סיסמאות, שמנצלות הרגל מגונה של רבים מהמשתמשים – שימוש חוזר באותן סיסמאות בשירותים מקוונים שונים.

גישה חדשה יותר לאימות מתבססת על התחברויות ללא סיסמאות, בשיטות כמו מפתחות אימות (Passkeys), וישנן שיטות התחברות אחרות כמו מפתחות פיזיים, קודים חד-פעמיים או אמצעים ביומטריים כדי לוודא בעלות על החשבון במכשירים ומערכות שונים.

ועם כל הטיפים שהצענו, הטיפ הכי חשוב שלנו – אל תחכו. אל תחכו לשמוע על דליפת מידע כדי להגן על המידע שלכם. פרואקטיביות היום, תחסוך לכם את כאב הראש של מחר. מדובר במידע שלכם והכסף שלכם.

'בחדרי' גם ברשתות החברתיות - הצטרפו!