10 דברים שכדאי לחשוב עליהם לפני שבוחרים מנהל סיסמאות

למאמר הבא
ESET

אחת לתקופה מגיעה טכנולוגיה חדשה שמבטיחה לשים סוף לסיסמאות אחת ולתמיד, אך נראה שכרגע אף טכנולוגיה לא הצליחה להחליף את הסיסמה באופן מלא.

סיסמאות טומנות בחובן סיכוני אבטחה אפשריים, והאמירה הזאת הופכת למסוכנת כפליים כשנזכרים על מה הן אמורות להגן – על הכול: החל באפליקציות המסרים והרשתות החברתיות ועד לחשבונות הסטרימינג והזמנת מוניות. הוסיפו לכך את העובדה שרבים מהאנשים אינם משתמשים באימות דו-שלבי, גם בחשבונות הכי חשובים שלהם.

כתוצאה מכל אלה, אם האקרים מצליחים לשים את ידיהם על סיסמה כלשהי, הם יכולים לקבל גישה לאינספור נתונים אישיים ואמצעי תשלום שאוחסנו באמצעים שונים. למעשה, נוצר שוק שחור די גדול שעוסק בסחר בסיסמאות לחשבונות מקוונים.

החדשות הטובות הן שמנהלי סיסמאות מציעים אופן פעולה שמתגבר על רבים מהחסרונות של סיסמאות סטטיות ועל האופן הלא-בטוח שבו רבים מאיתנו משתמשים בהן. אך לא כל מנהלי הסיסמאות זהים אחד לשני.

למה סיסמאות כל כך חשובות?

מדוע שימוש בסיסמאות כולל סיכון אבטחה? בחברת אבטחת המידע ESET מסבירים כי זה מכיוון שניתן להשיג אותן באופן לא-מורשה במספר דרכים, ביניהן:

• גניבה שלהן מחברות שאתם בהתקשרות איתן, כחלק מדליפת מידע בקנה מידה גדול
• השגה שלהן באמצעות מתקפת פישינג שמופעלת ע״י רמאים שמתחזים לרשת חברתית, בנק, ספק שירותי סטרימינג וכו׳.
• ניחוש שלהן באמצעות מתקפת Brute Force אוטומטית שמנסה שילובים שונים של סיסמאות נפוצות. גם היום, אחת
  הסיסמאות הנפוצות היא password, כשהסיסמה הבאה אחריה היא 123456. מבין 10 הסיסמאות הנפוצות ביותר, הרוב
  המכריע יכול להיפרץ בתוך שנייה בודדת.

לאחר שהסיסמאות נגנבו הן נמכרות ברשת האפלה, בדרך כלל כחלק ממאגר גדול שכולל גם שמות משתמש שמתאימים לסיסמאות האלה. דוח משנת 2022 חשף 24 מיליארד צמדים כאלה (שמות משתמש וסיסמאות) שנסחרים בשווקים שחורים של עולם פשיעת הסייבר – עלייה של 65% לעומת כמות הצמדים שנסחרו בשנת 2020. ברוב המקרים, האקרים יזינו את הסיסמאות הגנובות האלה בכלים ל״העמסת סיסמאות״ (שימוש באותו שם המשתמש והסיסמה באתרים שונים) כדי לראות אם אותה הסיסמה הוגדרה גם באפליקציות או באתרים אחרים. אם זה אכן נכון, הם יוכלו לפרוץ גם את החשבונות האלה.

כל אלה הופכים את השימוש בסיסמאות ייחודיות וחזקות לחשוב יותר מתמיד, ויש לעשות זאת בכל האתרים, האפליקציות והחשבונות המקוונים. מנהל סיסמאות זו דרך מצוינת לעשות זאת.

מה צריך לחפש במנהל סיסמאות:

מנהלי סיסמאות הם אפליקציות שנועדו לאחסן את כל הסיסמאות שלכם במקום בטוח. הרעיון המרכזי הוא שהתוכנה הזאת תבקש ממכם להזין סיסמת מאסטר בודדת – זה כל מה שאתם צריכים לזכור. כל יתר הדברים ינוהלו באופן אוטומטי ע״י האפליקציה – כולל יצירת סיסמאות ארוכות וייחודיות לכל אתר בנפרד ומילוי אוטומטי שלהן בזמן כניסה לחשבון. עם זאת, ישנן מבחר אפשרויות שונות בשוק.

בחברת אבטחת המידע ESET מציעים לבחון את התכונות שצריכות להיות במנהל הסיסמאות שתבחרו, ויעזרו לכם לצמצם את החיפוש:

1. הסיסמאות מוגנות באמצעות הצפנה חזקה. זה אומר שגם אם ספק שירותי ניהול הסיסמאות חווה פריצה, עברייני הסייבר
    לא יוכלו לגשת לסיסמאות שהלקוחות אחסנו בו. הסטנדרט כיום הוא הצפנה בתקן AES 256-bit.
2. מחולל סיסמאות חזקות שנועד להציע מחרוזות ארוכות, מורכבות ואקראיות של מספרים, אותיות וסימנים מיוחדים לכל
    סיסמה וסיסמה. כך למעשה כמעט ואין סיכוי שהאקר יוכל לנחש את הסיסמה באמצעות תוכנות פריצה בכוח. כדי להבין מה
    הכוונה ב״סיסמה חזקה״, תוכלו לנסות את מחולל הסיסמאות של ESET.
3. תמיכה בפלטפורמות מרובות ודפדפנים מרובים. מנהלי סיסמאות מספקים תועלת רק אם הם זוכרים את הסיסמאות לכל
    האתרים והאפליקציות בהם אתם משתמשים. אם הם לא תומכים באתרים האלה, אתם תחזרו למצב ההתחלתי – תהיו
    מוכרחים לזכור סיסמה שקל לזכור אותה. בנוסף, לא יזיק אם מנהל הסיסמאות יידע למשוך את הסיסמאות שנשמרו בדפדפנים
    או במנהלי סיסמאות אחרים.
4. מילוי סיסמאות אוטומטי / כניסה אוטומטית. אחת מהאפשרויות החשובות יותר של מנהל סיסמאות היא היכולת למלא
    באופן אוטומטי את הסיסמה החזקה והמורכבת שהוגדרה לכל חשבון וחשבון לאחר הזנת סיסמת המאסטר. אם התוכנה לא
    מצליחה לספק אפשרות כזאת, חוויית השימוש תיפגם באופן משמעותי.
5. ניתוק מרחוק. משפר את הפרטיות והאבטחה באמצעות אפשרות לניתוק של חשבונות, מחיקת היסטוריית גלישה וסגירה של
    טאבים פתוחים – כל אלה מבלי להימצא ליד המכשיר או המחשב.
6. אינטגרציה עם אימות דו-שלבי (2FA). מנהלי סיסמאות הם אכן חשובים, תקן הזהב לניהול זהויות וגישה לחשבונות הוא
    אימות דו-שלבי, שבו נדרש ״גורם״ שני כדי להיכנס לחשבון (נוסף על שם המשתמש והסיסמה), כמו זיהוי פנים או סיסמה
    חד-פעמית.
7. אפשרות לאיפוס סיסמת המאסטר. זה שיש לכם סיסמת מאסטר זה מצוין, אבל מה יקרה אם תשכחו אותה? אם אין
    אפשרות לאיפוס, כל הסיסמאות שלכם יינעלו בכספת דיגיטלית שלא תוכלו לפתוח לעולם.
8. ספק אמין. זה לא ממש אפשרות, אלא יותר משהו שכדאי לחשוב עליו תוך כדי המחקר שלכם. אם החברה שמספקת את
    שירותי ניהול הסיסמאות חווה פריצה, זה עשוי לחשוף את כל הסיסמאות שלכם, ולכן חשוב לבחור בספק עם מוניטין טוב בכל
    הנוגע לאבטחה. אחד מהספקים הפופולריים חווה לאחרונה תקרית אבטחה חמורה שכחלק ממנה, הסיסמאות המוצפנות של
    משתמשים נחשפו – מה שהוביל לקריאה דחופה להחלפת סיסמאות שכוונה למשתמשים בשירות.
9. דוחות אבטחה יכולים לסייע לכם לשפר את הסיסמאות באופן עקבי באמצעות הצגת כל הסיסמאות החלשות במקום אחד.
10. אחסון מקומי או אחסון בענן? זה נושא מעט מסובך, ושווה לשקול אותו בהתאם לצרכים שלכם. אחסון הסיסמאות באופן
    מקומי (על גבי המחשב) ייתן לכם שליטה גדולה יותר ויהיה בטוח יותר ברוב המקרים, אבל מחשבים נגנבים, אובדים או נפרצים,
    וכוננים קשיחים עשויים להפסיק לעבוד באופן פתאומי. אפשרות שמתבססת על אחסון מרכזי מבוסס-ענן עשויה להיות הרבה
    יותר נוחה, אך יש לה חסרונות משלה – כשהעיקרי בהם הוא העובדה שאתם צריכים לסמוך על ספק השירות שלכם. ישנה
    אפשרות שלישית – אחסון שמשתמש בבסיס נתונים מקומי אך משוכפל גם לאחסון הענן שלכם, שמופעל ע״י ספק שירותי ענן
    גדול שאפשר לסמוך עליו. בסופו של דבר, הבטיחות של הסיסמאות שלכם מסתמכת על הצפנה חזקה ורמת אבטחה גבוהה.

חשוב לזכור את המגבלות של מנהלי סיסמאות – או, למעשה, את המגבלות של הסיסמאות עצמן. הסיסמה היא רק קו הגנה אחד, וייתכן שהיא לא תספיק כדי להרחיק ממכם את פושעי הסייבר. כתוצאה מכך (ואנחנו ממש מדגישים את זה) – שלבו את הסיסמאות שלכם עם אימות דו-שלבי והשאירו את פושעי הסייבר הרחק מהדלת שלכם.