10 דברים שכדאי לחשוב עליהם לפני שבוחרים מנהל סיסמאות
מאת: מערכת Telecom News, 27.4.23, 10:59
 
למה סיסמאות כל כך חשובות? מה צריך לחפש במנהל סיסמאות? מהן 10 התכונות שצריכות להיות במנהל סיסמאות?
 
אחת לתקופה מגיעה טכנולוגיה חדשה המבטיחה לשים סוף לסיסמאות אחת ולתמיד, אך נראה שכרגע אף טכנולוגיה לא הצליחה להחליף את הסיסמה באופן מלא. סיסמאות טומנות בחובן סיכוני אבטחה אפשריים, והאמירה הזאת הופכת למסוכנת כפליים כשנזכרים על מה הן אמורות להגן - על הכול: החל באפליקציות המסרים והרשתות החברתיות ועד לחשבונות הסטרימינג והזמנת מוניות. הוסיפו לכך את העובדה, שרבים מהאנשים אינם משתמשים באימות דו-שלבי, גם בחשבונות הכי חשובים שלהם.

כתוצאה מכל אלה, אם האקרים מצליחים לשים את ידיהם על סיסמה כלשהי, הם יכולים לקבל גישה לאינספור נתונים אישיים ואמצעי תשלום, שאוחסנו באמצעים שונים. למעשה, נוצר שוק שחור די גדול העוסק בסחר בסיסמאות לחשבונות מקוונים.

החדשות הטובות הן, שמנהלי סיסמאות מציעים אופן פעולה המתגבר על רבים מהחסרונות של סיסמאות סטטיות ועל האופן הלא-בטוח שבו רבים מאיתנו משתמשים בהן. אך לא כל מנהלי הסיסמאות זהים אחד לשני.
 

למה סיסמאות כל כך חשובות?

מדוע שימוש בסיסמאות כולל סיכון אבטחה? בחברת אבטחת המידע ESET מסבירים, שזה מכיוון שניתן להשיג אותן באופן לא-מורשה במספר דרכים, ביניהן:

• גניבה שלהן מחברות, שאתם בהתקשרות איתן, כחלק מדליפת מידע בקנה מידה גדול.
• השגה שלהן באמצעות מתקפת פישינג המופעלת ע״י רמאים המתחזים לרשת חברתית, בנק, ספק שירותי סטרימינג וכו׳.
• ניחוש שלהן באמצעות מתקפת Brute Force אוטומטית המנסה שילובים שונים של סיסמאות נפוצות. גם היום, אחת הסיסמאות הנפוצות היא password, כשהסיסמה הבאה אחריה היא 123456. מבין 10 הסיסמאות הנפוצות ביותר, הרוב המכריע יכול להיפרץ בתוך שנייה בודדת.

לאחר שהסיסמאות נגנבו הן נמכרות ברשת האפלה, בד"כ כחלק ממאגר גדול הכולל גם שמות משתמש המתאימים לסיסמאות האלה. דו"ח מ-2022 חשף 24 מיליארד צמדים כאלה (שמות משתמש וסיסמאות) הנסחרים בשווקים שחורים של עולם פשיעת הסייבר - עלייה של 65% לעומת כמות הצמדים שנסחרו ב-2020. ברוב המקרים, האקרים יזינו את הסיסמאות הגנובות האלה בכלים ל״העמסת סיסמאות״ (שימוש באותו שם המשתמש והסיסמה באתרים שונים) כדי לראות אם אותה הסיסמה הוגדרה גם באפליקציות או באתרים אחרים. אם זה אכן נכון, הם יוכלו לפרוץ גם את החשבונות האלה.

כל אלה הופכים את השימוש בסיסמאות ייחודיות וחזקות לחשוב יותר מתמיד, ויש לעשות זאת בכל האתרים, האפליקציות והחשבונות המקוונים. מנהל סיסמאות זו דרך מצוינת לעשות זאת.
 
מה צריך לחפש במנהל סיסמאות:
מנהלי סיסמאות הם אפליקציות, שנועדו לאחסן את כל הסיסמאות במקום בטוח. הרעיון המרכזי הוא, שהתוכנה הזאת תבקש להזין סיסמת מאסטר בודדת - זה כל מה שצריך לזכור. כל יתר הדברים ינוהלו באופן אוטומטי ע״י האפליקציה - כולל יצירת סיסמאות ארוכות וייחודיות לכל אתר בנפרד ומילוי אוטומטי שלהן בזמן כניסה לחשבון. עם זאת, ישנן מבחר אפשרויות שונות בשוק.

ב-ESET מציעים לבחון את התכונות, שצריכות להיות במנהל הסיסמאות שתבחרו, ויעזרו לכם לצמצם את החיפוש:

1) הסיסמאות מוגנות באמצעות הצפנה חזקה. זה אומר, שגם אם ספק שירותי ניהול הסיסמאות חווה פריצה, עברייני הסייבר לא יוכלו לגשת לסיסמאות, שהלקוחות אחסנו בו. הסטנדרט כיום הוא הצפנה בתקן AES 256-bit.
 
2) מחולל סיסמאות חזקות, שנועד להציע מחרוזות ארוכות, מורכבות ואקראיות של מספרים, אותיות וסימנים מיוחדים לכל סיסמה וסיסמה. כך, למעשה, כמעט ואין סיכוי שהאקר יוכל לנחש את הסיסמה באמצעות תוכנות פריצה בכוח.
 
3) תמיכה בפלטפורמות מרובות ודפדפנים מרובים. מנהלי סיסמאות מספקים תועלת רק אם הם זוכרים את הסיסמאות לכל האתרים והאפליקציות בהם משתמשים. אם הם לא תומכים באתרים האלה, חוזרים למצב ההתחלתי – ומוכרחים לזכור סיסמה שקל לזכור אותה. בנוסף, לא יזיק אם מנהל הסיסמאות יידע למשוך את הסיסמאות, שנשמרו בדפדפנים או במנהלי סיסמאות אחרים.
 
4) מילוי סיסמאות אוטומטי/כניסה אוטומטית. אחת מהאפשרויות החשובות יותר של מנהל סיסמאות היא היכולת למלא באופן אוטומטי את הסיסמה החזקה והמורכבת, שהוגדרה לכל חשבון וחשבון לאחר הזנת סיסמת המאסטר. אם התוכנה לא מצליחה לספק אפשרות כזאת, חוויית השימוש תיפגם באופן משמעותי.
 
5) ניתוק מרחוק. משפר את הפרטיות והאבטחה באמצעות אפשרות לניתוק של חשבונות, מחיקת היסטוריית גלישה וסגירה של טאבים פתוחים - כל אלה מבלי להימצא ליד המכשיר או המחשב.
 
6) אינטגרציה עם אימות דו-שלבי (2FA). תקן הזהב לניהול זהויות וגישה לחשבונות הוא אימות דו-שלבי, שבו נדרש ״גורם״ שני כדי להיכנס לחשבון (נוסף על שם המשתמש והסיסמה), כמו זיהוי פנים או סיסמה חד-פעמית.
 
7) אפשרות לאיפוס סיסמת המאסטר. זה שיש סיסמת מאסטר זה מצוין, אבל מה יקרה אם שוכחים אותה? אם אין אפשרות לאיפוס, כל הסיסמאות תינעלנה בכספת דיגיטלית שלא ניתן לפתוח לעולם.
 
8) ספק אמין. זה לא ממש אפשרות, אלא יותר משהו שכדאי לחשוב עליו תוך כדי המחקר שלכם. אם החברה, שמספקת את שירותי ניהול הסיסמאות, חווה פריצה, זה עלול לחשוף את כל הסיסמאות, ולכן חשוב לבחור בספק עם מוניטין טוב בכל הנוגע לאבטחה. אחד מהספקים הפופולריים חווה לאחרונה תקרית אבטחה חמורה שכחלק ממנה, הסיסמאות המוצפנות של משתמשים נחשפו – מה שהוביל לקריאה דחופה להחלפת סיסמאות שכוונה למשתמשים בשירות.
 
9) דו"חות אבטחה יכולים לסייע לשפר את הסיסמאות באופן עקבי באמצעות הצגת כל הסיסמאות החלשות במקום אחד.
 
10) אחסון מקומי או אחסון בענן? זה נושא מעט מסובך, ושווה לשקול אותו בהתאם לצרכים. אחסון הסיסמאות באופן מקומי (על גבי המחשב) ייתן שליטה גדולה יותר ויהיה בטוח יותר ברוב המקרים, אבל מחשבים נגנבים, אובדים או נפרצים, וכוננים קשיחים עלולים להפסיק לעבוד באופן פתאומי. אפשרות, שמתבססת על אחסון מרכזי מבוסס-ענן, עשויה להיות הרבה יותר נוחה, אך יש לה חסרונות משלה, כשהעיקרי בהם הוא העובדה, שצריך לסמוך על ספק השירות. ישנה אפשרות שלישית – אחסון שמשתמש בבסיס נתונים מקומי אך משוכפל גם לאחסון הענן, שמופעל ע״י ספק שירותי ענן גדול, שאפשר לסמוך עליו. בסופו של דבר, הבטיחות של הסיסמאות מסתמכת על הצפנה חזקה ורמת אבטחה גבוהה.
 
חשוב לזכור את המגבלות של מנהלי סיסמאות או, למעשה, את המגבלות של הסיסמאות עצמן. הסיסמה היא רק קו הגנה אחד, וייתכן שהיא לא תספיק כדי להרחיק את פושעי הסייבר. כתוצאה מכך  מומלץ לשלב את הסיסמאות עם אימות דו-שלבי ולהשאיר את פושעי הסייבר מאחור.
 
 
 
.