בשבוע האחרון סוערת הזירה הטכנולוגית ברשת, לאחר שטרוי האנט, עובד מיקרוסופט שמנהל יחד עם אשתו את מאגר המידע הגדול בעולם למעקב אחר סיסמאות שנפרצו, חשף בבלוג שלו כי הוא עצמו נפל בתרמית שהשתלטה לדקה בודדת על חשבונו בשירות הפצת המיילים Mailchimp וגנבה את כתובות המייל של כל המנויים שרשומים לעדכונים ממנו.
אמנם, התרמית המסוימת הזו בוצעה באופן שהפך את כל אמצעי האבטחה חוץ מאחד (שהשירות המדובר לא מאפשר) לכמעט לא רלוונטיים – אך אלפי הכתבות שפורסמו בנושא הזכירו לכולם את האתר של האנט, Have I Been Pwned (בתרגום חופשי: "האם הובסתי?”), שמשמש בימים רגילים תזכורת לחשיבות של בחירת סיסמאות ייחודיות וחזקות לכל אתר, מכיוון שסיסמאות כמו "12345678” או "מכביחיפהאלופה" (כן, תתפלאו – הצירוף הזה אשכרה הופיע בעבר ברשימה של הסיסמאות הנפוצות בישראל) קלות מאוד לניחוש על ידי האקרים ותוכנות פריצה.
הבעיה, כמובן, מתחילה מזה שלכל אחד מאיתנו יש היום יותר מדי חשבונות מקוונים, ומעט מאוד יכולת לזכור סיסמאות שאינן צירופים קלים לניחוש. לכן, ביקשנו מקלוד להציע לנו שיטות שמאזנות בין בטיחות לבין יכולת זכירה. זה מה שהיא הציעה:
משפטי סיסמה
במקום מילה בודדת, השתמשו במשפט שלם. למשל: "החתולהשחורהשליאוהבתחלב!" - קל לזכור, אך קשה לפצח. נזכיר שמשפטים כמו "מכביחיפהאלופה" או "יאללהביתריאללה" פחות עובדים, מפני שישראלים רבים השתמשו בהם במשך שנים ותוכנות פריצה כבר קלטו את הדבר והוסיפו אותם לניחושים שלהן.
שיטת הראשי תיבות
קחו משפט משמעותי עבורכם, והשתמשו באות הראשונה של כל מילה. למשל, "אני אוהב לאכול פיצה בימי שישי בערב" יכול להפוך ל-"אאלפבשב".
שימוש בסימנים
יותר ויותר אתרים ואפליקציות היום כלל לא מאפשרים לבחור סיסמאות המכילות אותיות בלבד, ודורשות אותיות גדולות וקטנות (באנגלית), מספרים וסימנים. אם נלך שוב על משפט הסיסמא הקודם, אפשר להחליף את חלק מהאותיות בו בסימנים ולהוסיף סימן קריאה בסוף: "א2לפב6ב!" (כלומר, את האל”ף השנייה החלפנו במספר 2 שמציין הכפלה, את יום שישי החלפנו בספרה 6 ובסוף המשפט הוספנו סימן קריאה).
כללי יסוד לסיסמאות בטוחות
כל אלה רק כללים שעוזרים לבחור סיסמא, והדוגמאות שנתנו בסיסיות וקצרות למדי – מה גם שהן בעברית, ורוב היישומים מחייבים סיסמאות באותיות לטיניות. לסיסמאות בטוחות, ההמלצה היום היא אורך של 12 תווים ומעלה, ושילוב של אותיות קטנות וגדולות עם מספרים וסימנים (שכפי שציינו, יותר ויותר אתרים כבר דורשים, ולא מאשרים סיסמאות שאינן מכילות אותן).
מעבר לכך, כמובן שמומלץ להשתמש בסיסמא ייחודית לכל שירות (אפשר, למשל, לבחור משפט שקשור לחשבון הספציפי, כמו "עיריתלינ!רהכימצחיקהבישראלהי!ם" לחשבון במערכת הטוקבקים שלנו, או להשתמש במשפט גנרי אבל להוסיף לו מילה שקשורה לשירות איך אינה השם שלו, כמו “אוףלאבאלילקרואמייליםשלהעבודהעכשיו” לאאוטלוק לעומת “אוףלאבאלילקרואמייליםשלהבנקעכשיו” למייל הפרטי).
חשוב מאוד להימנע מבחירת סיסמאות שאפשר לנחש מתוך מידע שזמין עליכם ברשת – כן, גם תאריך הלידה, מספר הטלפון, שמות של בני משפחה וימי ההולדת שלהם צריכים להיות מחוץ לתחום).
רצוי מאוד גם להחליף סיסמאות אחת לתקופה. אתרי בנקים ושירותים פיננסיים אחרים אף מחויבים לדרוש מכם להחליף אותה בכל רבעון. לאתרים אחרים הבחירה בדרך כלל בידיכם, אבל כמה שיותר – יותר טוב.
הטכנולוגיה נחלצת לעזרה
למקרה שעדיין קשה לכם להתמודד עם סיסמאות, קיימים מגוון פתרונות לזכירה ומילוי אוטומטי שלהן. המומלץ ביותר לטעמנו הוא Bitwarden, שמציע כמעט כל תכונה אפשרית גם למי שלא משלם (ועוד כמה בונוסים למי שמוכן להיפרד מ-10 דולר בשנה); 1Password נחשב למתחרה אמין מאוד; ולמי שאוהב שליטה מוחלטת – KeePass היא תוכנת קוד פתוח ותיקה מאוד שמאפשרת לשמור את הסיסמאות שלכם בקובץ שאפשר לאחסן על המחשב, הטלפון או הענן הפרטי שלכם ולהתחבר אליו ממאות אפליקציות תומכות שנוצרו במהלך השנים לכל מכשיר אפשרי.
שלב נוסף של פתרונות טכנולוגיים הוא אימות דו-שלבי – התהליך של שליחת סיסמה חד-פעמית למכשיר אחר שלכם כדי לאשר את זהותכם. בעבר זה נעשה בעיקר ב-SMS, אך הפתרון הזה איטי, מסורבל ויקר – אז היום אפשר לעשות זאת עם אפליקציות ייעודיות לשליפת קודי אימות חד-פעמיים. רק שימו לב שאסור – פשוט אסור – להשתמש באותה אפליקציה לזכירת הסיסמאות הרגילות והחד-פעמיות, מכיוון שאם היא נפרצת – אתם מאבדים את השליטה על שני שלבי אימות הזהות שלכם.
השלב הבא בעולם האבטחה הוא מפתחות אבטחה, או Passkeys. בעבר מדובר היה בעיקר על התקנים פיזיים, כמו YubiKey, שהוא מעין דיסק-און-קי שאין אפשרות לשמור עליו קבצים, אלא רק מפתחות הצפנה לאימות זהות. כיום, בהדרגה, מוטמעת טכנולוגיה של שמירת מפתחות כאלה על אפליקציות בטלפון או במחשב.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו