האם שימוש במנהל סיסמאות הוא בטוח מספיק?

מנהל סיסמאות יכול להפוך את החיים לפשוטים ובטוחים. האם ישנם חסרונות ליצירת סיסמאות ושמירתן באמצעות תוכנה? מומחי ESET משתפים

מומחי ESET , י"ד בתמוז תש"פ

סיסמא
סיסמא
צילום: ISTOCK

לאחרונה ציינו את יום הסיסמאות העולמי. למרות שהגנה באמצעות סיסמאות היא אחת מאבני הפינה של חיינו הדיגיטליים, אנחנו כמעט ולא משקיעים בהן מחשבה.

מה שממחיש את זה בצורה הטובה ביותר הוא רשימת הסיסמאות הנפוצות ביותר שמורכבת כל שנה, בה אפשר לראות שהסיסמאות 12345 ו-password הן הסיסמאות הנפוצות ביותר, שנה אחר שנה.

ככל הנראה, ההעדפה שלנו לסיסמאות פשוטות כאלה נובעת מכך שאנחנו משתמשים באין ספור שירותים שונים, מה שאומר שעלינו ליצור חשבון חדש עם סיסמא חדשה (כל עוד אתם לא מתחברים לכל השירותים באמצעות חשבון הגוגל או הפייסבוק שלכם).

מצד שני, אם יש לכם סיסמאות מורכבות רבות, כנראה יהיה לכם קשה לזכור את כולן. מהסיבה הזאת רובכם בוחרים להשתמש שוב ושוב באותה סיסמא פשוטה, מכיוון שאינכם מכירים את הנזקים של המיחזור הזה. אם האקר מצליח לפצח את הסיסמא הזאת, כל החשבונות שלכם הופכים למסעדת אכול-כפי-יכולתך – והסועדים הם ההאקרים.

כאן בדיוק נכנס לתמונה מנהל הסיסמאות – תוכנה שתוכננה במיוחד לשמירת פרטי כניסה במאגר מאובטח וליצירת סיסמאות מורכבות. ה"כספת הדיגיטלית" הזאת, שהופכת את שמירת הסיסמאות המורכבות של כל אחד מהחשבונות והזנתן למשימה קלה במיוחד, עשויה להיות פתרון אפקטיבי במיוחד לנטל הזה. כל שעליכם לזכור הוא סיסמת מפתח אחת ויחידה.

סוגי מנהלי סיסמאות

רוב מנהלי הסיסמאות הפופולריים עובדים באמצעות ענן, כך שניתן לגשת אליהם באמצעות הדפדפן. בכל מנהל סיסמאות בו תבחרו, יהיה עליכם ליצור סיסמת מפתח חזקה שתגן על כל פרטי הגישה המאוחסנים במנהל הסיסמאות, שמאפשרים לכם להיכנס לכל החשבונות שלכם. כדאי מאוד שתהיו זהירים מאוד בבחירה שלכם, שכן המשמעות של גישה למנהל הסיסמאות היא גישה לכל הסיסמאות שלכם. כשמדובר במנהל סיסמאות בענן, יצירת חשבון כרוכה בבחירה בסיסמא כזו.

לאחר שתעשו זאת, מנהל הסיסמאות יתחיל לקחת פיקוד. תוכלו להוסיף אליו את כל החשבונות הקיימים, וכשתרצו ליצור חשבון חדש בשירות כלשהו תוכלו לבחור בסיסמא משלכם שתאוחסן במנהל הסיסמאות או לתת למנהל הסיסמאות ליצור עבורכם סיסמא אקראית, ארוכה ובטוחה. כשתרצו להתחבר לאחד השירותים בהם אתם משתמשים, מנהל הסיסמאות ימלא את פרטי הגישה באופן אוטומטי, ואתם תוכלו להתחבר ללא כל בעיה.

אם אתם לא רוצים לסמוך על אפליקציה שנתוניה מאוכסנים בענן, תוכלו לבחור במנהל סיסמאות עם אחסון מקומי, שיאחסן את כל הסיסמאות על המכשיר שלכם. למעשה, תוכלו לבחור בין כמה פתרונות קוד-פתוח שמספקים את אותם היתרונות של מתחריהם שמשתמשים באחסון בענן, אך בדרך כלל בעיצוב מעט צנוע יותר. עם זאת, האפליקציות האלה מפצות על החוסר באסתטיקה באמצעות פיצ'רים נוספים.

אפשרות נוספת, חוץ מפתרונות הענן ופתרונות הקוד הפתוח, היא שימוש במנהלי הסיסמאות המובנים בחבילות אבטחה לנקודות קצה, שגם הם מאפשרים לכם לנהל ולאבטח את פרטי הגישה שלכם.

היתרונות והחסרונות של שימוש במנהל סיסמאות

ישנם סוגים רבים של מנהלי סיסמאות, כשמנהלי סיסמאות בענן הם הפופולריים ביותר. עצם העובדה שהם מאחסנים את הסיסמאות בענן הופכת אותן לנגישות מכל מכשיר בעולם. רוב המותגים הפופולריים (1Password, Dashlane, LastPass וכו') מציעים אפליקציות גם לטלפון הנייד, כך שאם אתם משתמשים בכמה מכשירים (כמו רובנו), השירותים מבוססי הענן יסנכרנו את הסיסמאות בכל המכשירים. לחלק מהשירותים יש אפילו תוכנות למחשב ותוספים לדפדפנים, כך שהם מכסים את כל האפשרויות.

מבחינת ההרשמה לשירות, סט האפשרויות הבסיסי מוצע ללא תשלום. אם אתם מרגישים שמשהו חסר, תמיד תוכלו לשלם עבור אחת ממדרגות הפרימיום, שבדרך כלל כוללות הגדרות נוספות ומאפייני אבטחה נוספים.

על אף שכל זה נראה נוח מאוד, יש כאן עקב אכילס. אתם שמים את כל הביצים בסל אחד, וגם לשירותי ניהול הסיסמאות היו בעיות בעבר. למשל, לפני מספר חודשים חוקרים מצאו פרצות אבטחה בכמה מנהלי סיסמאות פופולריים: חלק מגרסאות האנדרואיד של האפליקציות לשירותים אלה היו מועדות למתקפות פישינג, בעוד שאחרות אפשרו לנסות ולנחש את סיסמת המפתח אינסוף פעמים.

חשוב לזכור שהנתונים מוחזקים על שרת, מה שאומר שאם תוקפים מצליחים לפרוץ אליו בהצלחה הם יוכלים להוריד את כל הנתונים שעליו בבת אחת, מה שעלול לשים את פרטי הגישה לחשבונות שלכם במאגרי המידע של עברייני סייבר שונים. אם דבר כזה קורה, אתם תלויים בחוזק ההצפנה של ספק השירות בו בחרתם ובחוזק סיסמת המפתח בה בחרתם; חשוב לזכור שהיא שומרת על הדלת לחיים הדיגיטליים שלכם.

אנו ממליצים לבדוק אם לשירות בו אתם רוצים לבחור היו פרצות אבטחה משמעותיות שדווחו לאחרונה, כפי שאנו ממליצים לעשות לפני בחירה בכל שירות שהוא. תוכלו לבדוק זאת בבלוגים של אבטחת סייבר ובסקירות של גופי בדיקה עצמאיים. בנוסף, אנו ממליצים לקרוא על כל אמצעי האבטחה בהם משתמש השירות כדי לאבטח את חשבונכם ואת הסיסמאות שבו, כך שתוכלו להבין עד כמה אתם בטוחים.

חלק מהתוכנות בקוד-פתוח שמותקנות על המכשיר עצמו יכולות ליצור סיסמאות שמותאמות אישית לדרישות הספציפיות של כל אתר ואתר. תוכנת KeePass, למשל, יכולה לרוץ מהתקן USB ללא התקנה. בתוכנות קוד-פתוח כמו KeePass, תוכלו להיות בטוחים שאמצעי האבטחה וההצפנה הם בטוחים, שכן הקוד פתוח וככל הנראה כבר נבדק.

חלק מהדברים שנראים כמו חסרונות של מנהלי הסיסמאות המקומיים (שמותקנים במכשיר עצמו) דווקא הופכים אותם לבטוחים יותר. הקודים מאוכסנים על מכשיר ספציפי, ולכן לא תוכלו לגשת אליהם מכל אחד מהמכשירים שלכם; אך האקר יצטרך לתקוף ספציפית אתכם כדי להוציא את הקודים האלה, מה שהופך את המשימה הזאת לקשה יותר עבורם.

אם ירצו, הם יוכלו לגשת לסיסמאות באמצעות התקנת תוכנה למעקב אחר הקלדות (Keylogger) על המכשיר שלכם. כאן בדיוק בא לידי ביטוי היתרון של מנהלי סיסמאות שנכללים בתוך פתרונות אבטחה לתחנות קצה, שמגנים עליכם בדיוק מפני נקודת התורפה הזו.

מצד שני, עליכם לזכור שאם אתם מאבדים את המכשיר, או אם הוא מתקלקל, אתם עשויים לאבד גישה לכל הסיסמאות שאוכסנו עליו. לכן תמיד שמרו על גיבוי בהישג יד – אינכם יודעים מתי תזדקקו לו. הכלל הזה חל רק על פתרונות בקוד-פתוח שמאוכסנים על המכשיר עצמו; אובדן מכשיר או מחשב הוא לא בעיה גדולה כל כך כשאתם משתמשים במנהל סיסמאות בענן, שכן תוכלו לגשת אליו מכל מכשיר אחר.

למרות שלרובנו יש צרכים דומים בכל הנוגע לניהול החיים הדיגיטליים שלנו, כפי שנראה ישנם הבדלים קטנים בהעדפות שלנו. לכן, עליכם להבין איזה מהפתרונות מתאים לדרישות שלכם באופן המיטבי.

ישנן לפחות כמה שאלות שעליכם לענות עליהן לפני שאתם בוחרים במנהל סיסמאות:

כיצד השירות בו בחרתם מאחסן את המידע?

אם משהו קורה למכשיר שלכם, האם ניתן לשחזר את המידע?

האם ניתן להפעיל אפשרויות אבטחה נוספות שיגבירו את האבטחה?

ודאו שאתם מפעילים שיקול דעת בבחירת מנהל הסיסמאות החדש שלכם, והימנעו מהטעויות אותן הזכרנו בתחילת המאמר כשאתם יוצרים את סיסמת המפתח. אם תרצו תוספת בטיחות, תוכלו להוסיף שלב אימות נוסף לכל החשבונות המקוונים החשובים שלכם, או אפילו למנהל הסיסמאות עצמו.

תשובההעברה
הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il