yed300250
הכי מטוקבקות
    |
    ממון • 20.10.2018
    המרוץ אחר הסיסמה המנצחת
    פרצות אבטחה בשירותי רשת פופולריים הפכו כבר ריטואל קבוע • אז מה עושים כדי למזער את הנזקים? • כל השיטות — מניהול סיסמאות חכם, דרך אימות נוסף והצפנה בדפדפן, ועד אחסון בענן, מפתחות USB פיזיים וזיהוי ביומטרי • מדריך
    דניס ויטצ'בסקי

    זה הופך לריטואל קבוע: כמעט מדי שבוע מתגלה עוד פרצת אבטחה גדולה בשירות פופולרי. לפעמים, לפרסומים על הפריצה מתלווה גם בשורה על גניבת תוכן — סיסמאות, מידע אישי, הרגלי שימוש. המרדף אחרי הפורצים הוא סיזיפי, ומרגע שנסתמת פרצה אחת נוצרת מיד אחרת, אבל אם יש משהו שיכול לפחות לעזור במזעור הנזקים, זה ניהול סיסמאות נכון.

     

    אם אתם משתמשים באותה סיסמה עבור כל השירותים שלכם, או אם יש לכם רק שתיים־שלוש סיסמאות קבועות, כל גניבת מידע המונית שבה נכללה הסיסמה, מעמידה בסכנה את כל הפעילות הדיגיטלית שלכם ברשת. פורצים שגונבים מאגרי משתמשים כדי לעשות מהם כסף, עובדים כיום עם כלים הבודקים אוטומטית האם שילוב שם המשתמש והסיסמה שבידיהם תקף גם לשירותים אחרים.

     

    לאחרונה נפוץ שימוש נוסף לסיסמאות גנובות — הקורבנות מקבלים מייל, שמודיע כי על המחשב שלהם הותקנה רוגלה, המאפשרת להקליט אותם כשהם גולשים לאתרים פורנוגרפיים ומענגים את עצמם. כדי להוכיח שלא מדובר בשקר, מצורפת למייל סיסמה, שבה הקורבן כביכול משתמש, יחד עם דרישה לתשלום של אלפי דולרים. כמובן שאין שום הקלטה ואין שום רוגלה — והסיסמה נלקחה ממאגר של סיסמאות שנגנבו.

     

    זיהוי משני בסמס

    אז מה עושים כדי למזער את נזקי הסיסמאות הדולפות? ראשית, חשוב לומר — לרובנו אין דרך למנוע את הגניבה עצמה. כשמאגר של אתר גדול נפרץ — גם הסיסמאות הטובות ביותר ידלפו ממנו. האתר Have I been Pwned, של מומחה אבטחת המידע טרוי האנט, מתעד את הדליפות האלה ומאפשר לכל אחד לראות מאילו מאגרים נגנבה הסיסמה שלו. במקרה שלי, למשל, נפרצו לא פחות מ־18 מאגרים שונים שכללו את הסיסמה שלי. חלקם היו מוצפנים בדרך שבה אין לתוקפים סיכוי ממשי אי פעם לפענח אותה, ואילו באחרים — שבהם אבטחת המידע לא הייתה ערך עליון — הסיסמאות לא היו מוצפנות כלל.

     

    לכן, חשוב להבין איך מנהלים נכון את שלל הסיסמאות שלכם. ובלי קשר, לא כדאי לוותר על אימות זיהוי נוסף, משני, שנתמך כיום על ידי מרבית השירותים הגדולים. מדובר בפתרון שמסתמך לא רק על הסיסמה, אלא גם על סמס, מייל או מחולל קודים, כדי לוודא שמי שמכניס את הסיסמה הוא אכן האדם הנכון. אפליקציות כגון Duo ו־Authy יודעים לחולל סיסמה משנית כזו גם בלי להסתמך על מייל או קישוריות סלולריות.

     

    האופציה הידנית

    אם אתם לא רוצים להפקיד את הסיסמאות שלכם בידי שירות חיצוני, הדרך הקלה ביותר למזער את הנזק מגניבת סיסמה היא להשתמש בסיסמה שונה לכל שירות שאתם משתמשים בו. ולא, אתם לא צריכים לזכור במקרה כזה 80 סיסמאות שונות. במקום זה, מה שאתם צריכים זה "בסיס" ו"גרעין" מתחלף.

     

    ה"בסיס" שלכם יהיה סיסמה חזקה, שרק אתם זוכרים. אם אתם מייצרים סיסמה כזו לראשונה, כדאי שתתאים לדרישות של שירותים מודרניים: היא חייבת לכלול לפחות אות קטנה אחת, לפחות אות גדולה אחת, ספרה ותו מיוחד (סימן קריאה, סימן שאלה, סולמית וכו'). כל זה אמור להיות באורך של 6 תווים לכל הפחות.

     

    ה"גרעין" הוא רצף תווים מתחלף, שמשתמש בשמו של השירות אליו אתם ניגשים. כך, נגיד, אפשר להוסיף את האות השנייה והשלישית של שם השירות בסוף הבסיס. כך, מסיסמת "בסיס" כמו p2Ssw@rd אפשר ליצור את הסיסמה p2Ssw@rdma לג'ימייל, ואת p2Ssw@rdet לנטפליקס. כך, אם אחת מהן דולפת, הנזק יוגבל רק לשירות ממנו דלפה. הפורצים כנראה יהיו מודעים לכך שיש אנשים שמשתמשים בשיטה הזו, אבל לנחש את המנגנון ולנסות לעשות לו התאמות לשירותים נוספים זו כבר טרחה גדולה מדי, כשמדובר בגניבת פרטים של מאות אלפים.

     

    המקרה היחיד שבו סיסמה כזו תהיה פחות אפקטיבית הוא ניסיון מכוון לפרוץ דווקא לחשבונות שלכם, בידי אנשים עם רקע טכנולוגי מתאים ותמריץ נכון. מצד שני, עוד לא נבנתה מערכת שיכולה באמת לעצור תוקף נחוש ובעל משאבים לא מוגבלים. למזלכם, מעטים הסיכויים שכאנשים פרטיים תהוו יעד עבור קבוצות כאלה.

     

    הפתרון האוטומטי

    בשנים האחרונות הפכו תוכנות לניהול סיסמאות לפתרון פופולרי עבור אנשים שמחזיקים חשבונות בעשרות שירותים שונים ומעוניינים שכל סיסמה בכל חשבון תהיה ייחודית. תוכלו למצוא מבחר יישומים המתמחים בכך, כשגם הדפדפנים הפופולריים — כרום, ספארי, פיירפוקס ו־Edge — מסוגלים לשמור עבורכם על סיסמה. כרום וספארי אף יכולים לחולל סיסמאות, וגרסאות עדכניות שלהם יציעו לכם לעשות את זה כבר כשאתם מנסים ליצור חשבון חדש דרך הדפדפן.

     

    שירותים ייעודיים, דוגמת Keeper, Dashlane ו־1Password, בנויים כולם סביב ניהול סיסמאות ופרטים רגישים אחרים, ומציעים אפשרויות אבטחה שלא תמצאו בדפדפן, כמו אחסון קבצים מאובטח, התראות על פריצה לשירותים שאליהם יש לכם סיסמה, שיתוף סיסמאות מאובטח המאפשר לאחרים להיכנס עם הפרטים שלכם אך לא לצפות בסיסמה עצמה או לערוך אותה, וגם — הליך העברת סיסמאות לאדם קרוב במקרה אסון.

     

    מדובר בתסריט שבו אדם שהגדרתם מראש מבקש גישה לחשבון שלכם בלי לדעת את הסיסמה, ויכול לקבל אותה בנקודת זמן שהגדרתם מראש. כאשר זו תגיע, תקבלו הודעה למייל, ותוכלו לבטל את השיתוף על המקום, אם הכל בסדר ולא תיכננתם לוותר על הסיסמאות שלכם. אם קרה לכם משהו, הפתרון הזה יכול לחסוך הרבה כאב ראש וביורוקרטיה עבור האנשים הקרובים אליכם.

     

    הכספת בענן

    לכל אחד מהשירותים הללו יתרונות וחסרונות משלו, ורובם זמינים בתשלום חודשי או שנתי. אפשר גם לעשות בהם שימוש בחינם, אבל אז מוגבל היקף השימוש. החיסרון הבולט ביותר בפתרון הזה הוא שרוב השירותים מאחסנים את הסיסמאות על שרתיהם. נכון, כל עתידם והמוניטין שלהם תלוי באבטחת הסיסמאות הללו, וכולם מתהדרים בהצפנה, שתמנע חשיפת סיסמאות גם במקרים של פריצה וגניבת מאגר מידע. אבל בכל זאת, אתם נאלצים לסמוך כאן על אנשים אחרים.

     

    שירותי נישה בתחום הולכים צעד אחד קדימה, וכדי למנוע מכם את הצורך לסמוך עליהם הם מאפשרים לאחסן את הקובץ המוצפן של הסיסמה בענן לבחירתכם. Enpass הוא הבולט שבשירותים האלה, והוא מאפשר להפקיד את "הכספת" שלכם בדרופבוקס, בגוגל־דרייב, ב־iCloud או באחד משירותי האחסון הפופולריים האחרים. זה אומר, שהוא מציע פחות אפשרויות מתקדמות בתחום השיתוף והסנכרון, ושאתם עצמכם אחראים לגורלה של ה"כספת", שאולי לא תועיל לפורצים אם תיגנב אך עלולה להימחק או להיפגע בצורה אחרת.

     

    "מפתח" ב־USB

    ניהול סיסמאות ראוי לשמו לא חייב להיות תלוי רק בתוכנה. יותר ויותר שירותים תומכים כבר ב"מפתחות" פיזיים — התקני USB קטנים, שניתן לחבר למחזיק מפתחות, את אלה יש לחבר למחשב בזמן כניסה לשירות תומך, כדי להשלים את תהליך הזיהוי לאחר הקשת סיסמה, או כתחליף לה. החברה הבולטת בתחום היא Yubico, שמוכרת את המפתחות שלה בכמה עשרות דולרים. המפתחות הללו תומכים גם בתקן העברת המידע האלחוטי NFC, לצורך שימוש בטלפונים סלולריים.

     

    בגוגל החלו להשתמש במפתחות כאלה כבר בתחילת 2017, ולפני מספר חודשים טענו בשיחה עם האתר Business Insider, כי מאז החלו לחייב את עובדיהם להשתמש במפתחות אף חשבון עובד לא נפרץ בהצלחה. עם זאת, חשוב לדעת, כי שימוש במפתח כזה מגדיל את האחריות המוטלת על בעליו. אם תאבדו אותו, תיאלצו לבצע הליכי שחזור בכל אחד מהשירותים שאתם מנויים עליהם.

     

    למה דווקא סיסמה

    בשנים האחרונות עולות שוב ושוב קריאות למהלך משמעותי לאבטחת הדרך שבה אנחנו מזדהים מול שירותים מקוונים. גניבות של סיסמאות, הצורך לנהל אותן לצורך שימוש בעשרות שירותים, ושאר הסיבוכים הקשורים להליכים האלה אינם מצב אידיאלי. במכשירים ניידים, יותר ויותר שירותים תומכים כבר בזיהוי ביומטרי — אם באמצעות טביעת אצבע ואם דרך סריקת פנים. לעומת זאת, במחשבים ובמוצרים אחרים שאין בהם אופציה לזיהוי ביומטרי, אנחנו עדיין נאלצים להשתמש בסיסמאות.

     

    אבל הכל עניין של זמן. אחת ההתפתחויות המבטיחות בתחום היא תקן חדש שנקרא WebAuthn, שמטרתו לייצר נוהל תקני ומוסכם על דפדפנים ומוצרים אחרים לקבל זיהוי שאינו סיסמה. נכון לעכשיו, העברת זיהוי ביומטרי בין שירות מסוים לבין המזהה נעשית דרך מערכת ההפעלה של המכשיר, אך ההליך כולו אינו אחיד ואינו מוסכם כתקן מחייב.

     

    לא מדובר, אגב, בניסיון הראשון לייצר תקן שכזה. קדם לו תקן אחר, בשם UAF, שמעולם לא הצליח להתפתח ולזכות לתמיכה רחבה. הפעם אולי המצב יהיה שונה. הגרסה הראשונה של תקן WebAuthn פורסמה כבר בחודש מארס, והיא כבר נתמכת על ידי הדפדפנים כרום (גוגל), פיירפוקס ו־Edge (מיקרוסופט). גם שירות האחסון דרופבוקס הוא בין הראשונים שהחלו לתמוך בתקן. ובכל זאת, מדובר עדיין בחבלי לידה שלו בשוק, וקשה לנבא האם יצליח להחליף את הסיסמאות או לא.

     

    denis@vitchevsky.net

     


    פרסום ראשון: 20.10.18 , 17:34
    yed660100