מדריך הסיסמאות השלם: איך הכי בטוח להיכנס לאתרים ולאפליקציות שלכם?

אצל רובנו, הזוג הקדוש שם משתמש וסיסמה, הפך להיות דבר קבוע בחיינו עד שהוא בלתי מורגש, כמו אמירת "שלום". אמירת השלום הדיגיטלית שלנו היא בבנק, באפליקציה של הסופר, באפליקציה של תחנת הדלק המועדפת (כדאי!), לספוטיפיי, לפייסבוק, לגוגל, לאפל, וכו' וכו'. אבל כבר כיום חברות הטכנולוגיה הגדולות הולכות לכיוון עולם שהוא נטול סיסמאות. לא רק שלא צריך לזכור מיליון צירופים שונים, עולם נטול סיסמאות הוא גם בטוח יותר. המדריך הזה עומד לעשות לכם קצת סדר.

המוסכמה המקובלת כיום בעולם האבטחה והסייבר היא שסיסמאות, בהווייתן, הן עסק לא בטוח. מספיק לראות את הפיאסקו שקרה למנהל הסיסמאות LastPass שבו מיליונים של סיסמאות שרוכזו בסל אחד נגנבו וכעת בסכנה, או לשמוע חדשות לבקרים על אנשים שנפלו קורבן למתקפת פישינג או שהשיגו את הסיסמה שלהם בדרך אחרת ונפלו קורבן להתחזות, גניבת זהות ועוד. אז סיסמאות לבד זה כבר אאוט. מה יש לנו במקום?

כדי להוסיף שכבת הגנה יעילה יותר, חברות הטכנולוגיה באו עם שלושה פתרונות אפשריים:

1. אימות דו-שלבי - שבו נשלח רכיב אימות נוסף אליכם, בדרך כלל קוד מספרי, בהודעת SMS או ישירות למכשיר שמזוהה כמכשיר מוכר ובטוח, כמו הסמארטפון שלכם.

2. אימות ביומטרי - שימוש ברכיב ביולוגי עם פרטים ייחודיים לכם כמו תווי פנים או טביעת אצבע. בזה למעשה רובנו כבר משתמשים כיום כל פעם שאנחנו פותחים את הנעילה בסמארטפון או במחשבים מהשנים האחרונות גם. החברות עושות שימוש בהתקן הסריקה שגם ככה קיים במכשיר כדי להוסיף שכבת אבטחה לשימושים היומיומיים שלכם, ואבטחה ביומטרית נחשבת לאפשרות הטובה ביותר כרגע.

3. חשבון מרכזי SSO - החברות הגדולות כמו גוגל, פייסבוק, מיקרוסופט, אפל וגם אמזון בכמה מקרים, מציעות לנו להשתמש בחשבון שלנו איתן כדי להתחבר לאתרים ושירותים נוספים, מה שמכונה בעגה המקצועית Single Sign On או SSO בקיצור. היתרון בשיטה הזו שלא צריך לזכור סיסמה נפרדת לכל אתר, אבל זה גם קצת לשים את כל הביצים בסל אחד (אם כי החברות כולן עושות שימוש באחד משני האמצעים הקודמים עבור החשבון שלהן).

"אימות ביומטרי, אימות רב-שלבי, או אימות בעזרת חשבונות קיימים עוזרים בהגנה מהסיכונים הכרוכים בדרך כלל בשימוש רק בסיסמאות", מסביר אביעד מזרחי, ה-CTO של חברת FrontEgg, המספקת מערכת לניהול משתמשים עבור אפליקציות ואתרים.

"ראשית, ללא סיסמאות, להאקרים קשה הרבה יותר לחדור למחשבים ניידים, סמארטפונים ואפליקציות המוגנים. האימות הביומטרי הוא מיטבי, כיוון שעבורם כמעט בלתי אפשרי לחקות פנים או טביעת אצבע ממקום מרוחק. בנוסף הוא גם משפר משמעותית את חוויית המשתמש של לקוחות כאשר הוא מאפשר למשתמשים להירשם ולהיכנס לשירות מהר יותר. שנית, גם אם כבר משתמשים בסיסמאות, בעזרת אימות דו-שלבי, חברות SaaS (תוכנה כשירות - נ.ל.) יכולות להוסיף שכבת אבטחה נוספת.", מוסיף מזרחי.
אז כאמור, מה שהכי מומלץ, במידת האפשר הוא להיפטר מהשימוש בסיסמאות כליל, כי השימוש בסיסמא עצמה הוא נקודת תורפה שאותה האקרים יכולים לתקוף או לגנוב.

מיקרוסופט מציעה למי שמשתמש בשירותים שלה, להפוך כבר כיום את החשבון ללא סיסמא, תוך שימוש בסמארטפון עם קורא טביעות אצבע כאמצעי הזדהות ראשי, ותחליף לשם משתמש וסיסמא.
באופן דומה גוגל בערך לפני חודש, הוציאה אפשרות דומה למשתמשי כרום - החל מגירסה 109 של הדפדפן הפופולרי, אפשר להשתמש במפתחות (passkey) כתחליף לסיסמאות, תוך שימוש בסמארטפון שלכם או במפתח אבטחה פיזי שאפשר לרכוש בנפרד.

אבל, גם אם פסיכולוגית או טכנולוגית אתם עדיין לא מסוגלים להיפרד מהשימוש בסיסמאות, וכל מה שתיארנו עכשיו נשמע לכם מסובך ומפחיד - ההמלצה היא שברישום לאתרים חדשים שמאפשרים זאת, אל תיצרו להם סיסמא נפרדת, אלא תעשו שימוש בכניסה עם חשבון מרכזי (SSO) כמו שתיארנו מעלה. כזה של גוגל, פייסבוק, מיקרוסופט או אפל, כשעל החשבון המרכזי הזה, מופעל כמובן אימות דו-שלבי, לתוספת הגנה:

"כניסה למכשירים, אפליקציות ואתרים בעזרת שימוש בחשבון גוגל, מיקרוסופט, או.פייסבוק איננה מסוכנת כשלעצמה", אומר לנו מזרחי. "להיפך, בדומה לאימות הביומטרי, היא דווקא מעלה את דרגת האבטחה של האימות. יחד עם זאת, מכיוון שהכניסה אל גוגל, אפל או פייסבוק היא בעזרת סיסמא בעצמה, החסרונות של אימות עם סיסמא נשמרים, ולכן הסיכון נשמר בכניסה לגורם הבא בשרשרת. לכן, אנו ממליצים להמעיט בשימוש בסיסמאות באימות כניסה באופן כללי - אבל, אם כבר אתם עומדים בפני מסך כניסה חדש או יצירת חשבון, הכניסה עם גוגל/מיקרוסופט/פייסבוק תהיה עדיפה על יצירת סיסמא חדשה. רק אנא שמרו על ביטחונכם וודאו אימות דו-שלבי גם בחשבונות אלה", ממליץ מזרחי לסיכום.