הסיוט של עולם הסייבר: דליפת הסיסמאות הגדולה ביותר

הדרך הקלה ביותר לבדיקה אם נתונים שלכם, כמו כתובת דוא״ל או סיסמה כלשהי, נחשפו כחלק מדליפות מידע, היא ביקור באתר haveibeenpwned.com. האתר כולל כלי ללא תשלום שיכול להגיד לכם מתי והיכן הנתונים שלכם הופיעו באינטרנט.

ניתן לבדוק גם כתובות דוא״ל וגם סיסמאות באתר haveibeenpwned.com

הזינו את כתובת הדואל שלכם, לחצו על כפתור ״pwned?״ וזהו! לאחר הלחיצה תעלה הודעה שתודיע לכם על מצב האבטחה של הסיסמאות שלכם, עם מידע מדויק על ההדלפה בה הופיעו. בני המזל שבינינו יראו תוצאה בצבע ירוק, שמסמלת על כך שאף סיסמה לא דלפה, אך עבור אחרים צבע האתר יהפוך לאדום ותופיע רשימה בה יפורטו ההדלפה או ההדלפות בהן הסיסמאות שלכם הופיעו.

בחלק מהדפדפנים, כמו Google Chrome ו-Firefox, תוכלו לבדוק אם הסיסמה שלכם אותרה בהדלפת נתונים כלשהי. Chrome יכול גם להמליץ על סיסמאות חזקות יותר באמצעות מודול ניהול הסיסמאות שלו או להציע אפשרויות אחרות לשיפור אבטחת הסיסמאות.

מנהל הסיסמאות של Chrome יכול להיות שימושי ולגלות לכם אם נתונים שלכם הודלפו לציבור.

עם זאת, ייתכן שתרצו להשתפר עוד יותר ולהשתמש במנהל סיסמאות ייעודי שיש לו מוניטין מוכח של התייחסות רצינית לאבטחה, בין היתר באמצעות הצפנה חזקה. ברוב המקרים הכלים האלה מגיעים כחלק בלתי נפרד מתוכנות אבטחה רב-שכבתיות מוכרות.

מנהלי סיסמאות מועילים באופן יוצא דופן לשימוש באוסף גדול של סיסמאות, שכן הם יכולים לא רק לאחסן אותן באופן בטוח, אלא גם ליצור סיסמאות חזקות וייחודיות לכל אחד מהחשבונות המקוונים שלכם. עם זאת, ברור כי עליכם להשתמש בסיסמת מאסטר שתהיה חזקה מצד אחד ושיהיה קל לזכור אותה מצד שני. הסיסמה הזאת תהיה מפתח הכניסה לממלכה שלכם.

מהצד השני, גם השירותים האלה אינם חסינים לחלוטין ומהווים מטרות אטרקטיביות לגורמים זדוניים, וניתנים לפריצה באמצעות מתקפות העמסת סיסמאות (שימוש באותה הסיסמה בחשבונות שונים - Credential Stuffing) או באמצעות מתקפות המנצלות פרצות אבטחה בתוכנות. אך למרות זאת, היתרונות - שכוללים אפשרות מובנית לבדיקת סיסמאות שדלפו ואינטגרציה עם אפשרויות אימות דו-שלבי (2FA) שזמינות כיום בפלטפורמות מקוונות רבות - גוברים על הסיכונים.

כיצד ניתן למנוע דליפות מלכתחילה? האם המשתמש הממוצע באינטרנט יכול להגן על עצמו מפני הדלפת סיסמאות? ואם כן - כיצד? ובאופן כללי, כיצד ניתן לשמור על בטיחותם של החשבונות שלכם?

בחברת אבטחת המידע ESET מציינים כי לפני הכל, וזו הנקודה החשובה ביותר - אל תסתמכו על סיסמאות בלבד. במקום זאת, וודאו שהחשבונות שלכם מוגנים באמצעות שתי שיטות אימות שונות. מהבחינה הזאת, מומלץ להשתמש באימות דו-שלבי (2FA) בכל שירות שמאפשר זאת, ומוטב שהאפשרות תתבסס על מפתח אבטחה ייעודי לאימות דו-שלבי או על ישומון אימות כמו Microsoft Authenticator או Google Authenticator. כך יהיה לתוקפים הרבה יותר קשה לקבל גישה לחשבונות שלכם באופן בלתי מורשה, גם אם הם יצליחו לשים את ידיהם על הסיסמה או הסיסמאות שלכם.

בנוגע לאבטחת הסיסמאות בפני עצמן, הימנעו מכתיבה שלהן על דפי נייר או ביישומונים לניהול פתקים. בנוסף רצוי להימנע מאחסון סיסמאות החשבונות בדפדפנים, שבמרבית המקרים מאחסנים אותן כקבצי טקסט פשוטים, מה שחושף אותן לסיכון של גניבה ע״י נוזקות.

בין העצות הבסיסיות הנוספות להתנהלות עם סיסמאות ניתן למנות גם שימוש בסיסמאות חזקות, שמקשות על עברייני הסייבר הקטנים להשתמש במתקפות פריצה בכוח (Brute-force). הימנעו מסיסמאות קצרות ופשוטות, כמו מילה ואחריה מספר. אם אתם לא בטוחים אם הסיסמה חזקה מספיק, השתמשו בכלי הזה של ESET ליצירת סיסמאות או לבדיקת מידת החוזק של הסיסמה שבחרתם.

ככלל מומלץ גם להשתמש בביטויי סיסמאות (Passphrases), שיהיו בטוחים יותר וקל יותר לזכור אותם. ביטויים אלו מורכבים מסדרת מילים שאליהם מכניסים אותיות גדולות ותווים מיוחדים.

באותה המידה, מומלץ להשתמש בסיסמאות שונות בכל אחד מהחשבונות שלכם כדי למנוע מתקפות מסוג העמסת סיסמאות, שמנצלות הרגל מגונה של רבים מהמשתמשים - שימוש חוזר באותן סיסמאות בשירותים מקוונים שונים.

גישה חדשה יותר לאימות מתבססת על התחברויות ללא סיסמאות, בשיטות כמו מפתחות אימות (Passkeys), וישנן שיטות התחברות אחרות כמו מפתחות פיזיים, קודים חד-פעמיים או אמצעים ביומטריים כדי לוודא בעלות על החשבון במכשירים ומערכות שונים.

ועם כל העצות, החשובה ביותר היא לא לחכות. אל תחכו לשמוע על דליפת מידע כדי להגן על המידע שלכם. הכנה מראש היום תחסוך לכם את כאב הראש של מחר. מדובר במידע שלכם ובכסף שלכם.