חדשות לבקרים אנו שומעים על מתקפות סייבר חדשות, ופרטים רגישים שהגיעו לידיהם של האקרים. אף אחד מאיתנו כמובן לא רוצה שיגנבו לו מידע אישי, ויעשו בו שימוש לרעה, ואחד הצעדים שאמורים להגן על המידע שלנו מפני סכנות שכאלה, הוא כמובן סיסמה חזקה מספיק לכל חשבון אונליין שברשותנו.
עוד מדריכים:
אלא שחלק גדול מאיתנו בכל זאת מזניח את צעד האבטחה הבסיסי הזה. זאת, בין היתר, מאחר שפשוט קשה לנו סיסמאות מורכבות, ועל אחת כמה וכמה כשמדובר בהרבה מהן - לפי חברת אבטחת המידע ESET, למשתמש הממוצע יש נכון להיום יותר ממאה סיסמאות.
למעשה, חלק מהסיסמאות שנמצאות בשימוש הרחב ביותר הן סיסמאות פשוטות במיוחד - כמו הסדרה העולה "123456", רצף האותיות שבראש המקלדת "qwerty", או הקלאסיקה - "password". אלא שכשאתם בוחרים סיסמאות כאלה אתם אולי מקלים על עצמכם, אבל למרבה הצער, גם על התוקפים שמנסים לפרוץ לחשבונות שלכם. באופן לא מפתיע, סיסמאות כאלו נמצאות גם בראש הרשימה של הסיסמאות בהן האקרים משתמשים כדי לפרוץ חשבונות. כך שלא רק שלא מדובר ברעיון מקורי במיוחד, הוא גם לא מוצלח במיוחד, ולא משרת את המטרה לשמה נועדה הסיסמה מראש.
הסכנות שקשורות בתרחיש שבו סיסמה שלנו מתגלגלת לידיו של האקר, מתבהרות כשאנו חושבים על סוג השירותים האינטרנטיים שדורשים מאיתנו סיסמה. אלו יכולים להיות שירותים פיננסיים, שמכילים גישה לכסף שלנו, שירותים כמו אימייל או רשתות חברתיות, עם מידע אישי רב, ואפילו שירותי סטרימינג, שאנחנו פשוט משלמים עבורם כסף ורוצים לשמור את הגישה אליהם לעצמנו. שכן, האקר שמשיג גישה לחשבון שכזה יכול להשתמש בו להנאתו על חשבוננו - למשל להזמין לעצמו טיסות באמצעות נקודות הנוסע המתמיד. אבל זה לא נגמר שם כמובן. ההאקר יכול למכור את הגישה לחשבון עצמו הלאה, או למכור את הפרטים האישיים שלכם לנוכלים שמנסים לזייף זהויות למשל, ואף לנצל את הנטיה שלנו "למחזר" את אותה סיסמה בשירותים שונים כדי לנסות להשתמש בסיסמה שגילה ולפרוץ לחשבונות נוספים שאתם מחזיקים.
איך גונבים סיסמה?
אחרי שהבנו למה חשוב להתגונן מפני גניבת סיסמאות, נסקור גם את הדרכים הפופולריות לבצע את הגניבה - כדי שנבין גם איך ניתן להתגונן. לפי המומחים ב-ESET, הדרך הפופולרית ביותר לגניבת סיסמאות או פרטים אישיים היא הונאות פישינג. במסגרתן, הנוכלים מבצעים התחזות. לכולנו קרה שקיבלנו הודעות ממוענים שטענו שהם מהבנק, מהדואר, או מחברות מסחריות שונות, ולעתים אפילו התחזו למכרים שלנו, הכילו קישורים או קבצים - והתגלו כמזויפות.
לכן, אם קיבלתם הודעה שמכילה קישור או קובץ, ואתם לא בטוחים לחלוטין מנין הגיעה, כדאי קודם כל לחשוד, גם אם היא מציעה מבצע מאוד מפתה, או לחלופין כוללת איום מאוד מלחיץ. אם תלחצו על הקישור בהודעת פישינג, תתבקשו להזין פרטים אישיים, כמו שם וסיסמה לחשבון מסוים שלכם - וכך הם יגיעו לידי הנוכלים. אם תורידו את הקובץ, למעשה תורידו למכשיר שלכם נוזקה. יש דרכים נוספות להחזיר נוזקות למכשיר שלכם, למשל אם הורדתם אפליקציה מחנות לא רשמית, או לחצתם על פרסומת זדונית. מכאן, יש דרכים שונות לגנוב את הסיסמאות שלכם באמצעותה, למשל על ידי תיעוד לחיצות המקלדת שלכם, או צילום המסך, ושליחה ישירות לתוקפים.
עוד שיטה לגניבת סיסמאות, שמתבססת על המנהג של רבים מאיתנו להשתמש בסיסמאות פשוטות, היא טכניקות פריצה בכוח. השיטה הנפוצה לכך היא העמסת סיסמאות (Credential Stuffing), במסגרתה התוקפים משתמשים בתוכנה אוטומטית כדי להכניס קומבינציות רבות של שם משתמש וסיסמה לאתרים, בתקווה למצוא התאמה. מעריכים כי בשנה האחרונה היו מעל 139 מיליארד ניסיונות כאלה. טכניקה אחרת נקראת "ריסוס סיסמאות", בה האקרים משתמשים בתוכנה אוטומטית כדי להצליב בין שם משתמש לבין רשימת סיסמאות נפוצות.
דרך פחות מתוחכמת היא פשוט לנסות לנחש את הסיסמה, שכן אם היא נמנית עם הפשוטות ביותר, זה לא מורכב. והבסיסית מכולן - ממש להציץ אל המכשיר שלכם בזמן אמת, כדי לגלות מהם הפרטים האישיים שאתם מזינים, או מקבלים - למשל קוד אימות שקיבלתם כדי להתחבר לחשבון כלשהו. כדאי להיות זהירים, וניתן אף לבטל את התצוגה המקדימה של הודעות במכשיר הסלולר.
אז מה אפשר לעשות?
ב-ESET מציעים מספר טיפים למשתמשים, שיעזרו לכם להגן על החשבונות שלכם, מבלי לסבך את החיים יותר מדי. ראשית, שלבו בסיסמה ביטוי של 4-8 מילים שיש לו משמעות עבורכם. תוכלו להוסיף רווחים בין המילים, לשלב בו אותיות גדולות, ואף להחליף ספרות בחלק מהאותיות (למשל 0 במקום O). כל אלו יגרמו לסיסמה להיראות לכם הגיונית וכך להיות זכירה יותר, ועדיין מבלי להפוך אותה לקלה לניחוש. ניתן לשלב בביטוי גם סימני פיסוק או תווים מיוחדים, וכן מילים שקשורות לסיפור אישי שלכם, שאחרים לא יבינו.
פרט לכך, יש מספר דרכים חשובות נוספות לשמירה על אבטחת המידע והסיסמאות שלכם. הכלל הראשון הוא כאמור גיוון - מפני שאם מישהו השיג סיסמה שלכם לשירות מסוים, הוא עשוי לנסות אותה כדי להיכנס לשירותים נוספים שאתם רשומים אליהם. אם תקפידו על סיסמאות מגוונות, הוא לא יוכל לעשות זאת. בנוסף, החליפו את הסיסמה אחת לתקופה. הסיבה היא שאם מישהו השיג את הסיסמה ומנצל אותה כדי להשתמש בחשבון או במידע שלכם, ההחלפה שלה תבלום את הגישה שלו למידע.
אם אתם מרגישים שכל הכללים הללו רק סיבכו אתכם יותר, ואין סיכוי שתיזכרו את הסיסמאות, גם לזה יש פיתרון - ותוכלו להשתמש בתוכנה לניהול סיסמאות. תוכנות כאלו מייצרות באופן אוטומטי סיסמאות ייחודיות וחזקות, והסיסמה היחידה שעדיין תצטרכו לזכור בעצמכם היא הסיסמה של התוכנה עצמה.
עוד טיפ בסיסי, מעבר לאלו הנוגעים לסיסמאות עצמן הוא כאמור לא להיכנס לקישורים שנשלחים אליכם או להוריד קבצים שהגיעו ממספרים חשודים או כאלה שאינכם בטוחים לגביהם. בנוסף, הורידו אפליקציות מחנויות רשמיות בלבד, והשתדלו שלא להתחבר לחשבונות אישיים מרשתות ציבוריות שעשויות להיות פחות מאובטחות (בלית ברירה, השתמשו ב-VPN).
לבסוף, מומלץ להשתמש באימות דו-שלבי - שדורש לספק קוד חד-פעמי שנשלח אליכם בכניסה לחשבון שלכם, בנוסף לסיסמה שקבעתם. זאת מכיוון שהדבר יחסום תוקפים מלהיכנס לחשבונות שלכם - אפילו אם שמו ידיהם על הסיסמאות.
