מהם סוגי מנהלי סיסמאות ומהם היתרונות והחסרונות של שימוש במנהל סיסמאות?
מאת:
מערכת Telecom News, 6.7.20, 15:25
רבים לא מכירים את הנזקים של סיסמא פשוטה. אם האקר מצליח לפצח את הסיסמא הזאת בסמארטפון או במחשב, כל החשבונות הופכים למסעדת אכול-כפי-יכולתך - והסועדים הם ההאקרים. מנהל סיסמאות יכול להפוך את החיים הדיגיטליים לבטוחים יותר.
לאחרונה ציינו את
יום הסיסמאות העולמי. למרות שהגנה באמצעות סיסמאות היא אחת מאבני הפינה של חיינו הדיגיטליים בסמארטפון ובמחשב, אנו כמעט ולא משקיעים בהן מחשבה. מה שממחיש את זה בצורה הטובה ביותר הוא רשימת הסיסמאות הנפוצות ביותר, שמורכבת כל שנה, בה אפשר לראות, שהסיסמאות 12345 ו
password- הן הסיסמאות הנפוצות ביותר, שנה אחר שנה
.
ככל הנראה, ההעדפה לסיסמאות פשוטות כאלו נובעת מכך, שאנו משתמשים באין ספור שירותים שונים, מה שאומר, שעלינו ליצור חשבון חדש עם סיסמא חדשה (כל עוד לא מתחברים לכל השירותים באמצעות חשבון הגוגל או הפייסבוק). מצד שני, אם יש סיסמאות מורכבות רבות, כנראה, יהיה קשה לזכור את כולן. מהסיבה הזאת רבים בוחרים להשתמש שוב ושוב באותה סיסמא פשוטה, מכיוון שלא מכירים את הנזקים של המיחזור הזה. אם האקר מצליח לפצח את הסיסמא הזאת, כל החשבונות הופכים למסעדת אכול-כפי-יכולתך - והסועדים הם ההאקרים
.
מומחי חברת האבטחה
ESET מציינים, שכאן בדיוק נכנס לתמונה מנהל הסיסמאות - תוכנה, שתוכננה במיוחד לשמירת פרטי כניסה במאגר מאובטח וליצירת סיסמאות מורכבות. ה"כספת הדיגיטלית" הזאת, שהופכת את שמירת הסיסמאות המורכבות של כל אחד מהחשבונות והזנתן למשימה קלה במיוחד, עשויה להיות פתרון אפקטיבי במיוחד לנטל הזה. כל שיש לזכור הוא סיסמת מפתח אחת ויחידה
.
סוגי מנהלי סיסמאות
רוב מנהלי הסיסמאות הפופולריים עובדים באמצעות ענן. כך, שניתן לגשת אליהם באמצעות הדפדפן. בכל מנהל סיסמאות בו בוחרים, יש ליצור סיסמת מפתח חזקה שתגן על כל פרטי הגישה המאוחסנים במנהל הסיסמאות, שמאפשרים לכם להיכנס לכל החשבונות שלכם.
כדאי מאוד שתהיו זהירים מאוד בבחירה שלכם, שכן המשמעות של גישה למנהל הסיסמאות היא גישה לכל הסיסמאות שלכם. כשמדובר במנהל סיסמאות בענן, יצירת חשבון כרוכה בבחירה בסיסמא כזו
.
לאחר שתעשו זאת, מנהל הסיסמאות יתחיל לקחת פיקוד. תוכלו להוסיף אליו את כל החשבונות הקיימים, וכשתרצו ליצור חשבון חדש בשירות כלשהו תוכלו לבחור בסיסמא משלכם, שתאוחסן במנהל הסיסמאות או לתת למנהל הסיסמאות ליצור עבורכם סיסמא אקראית, ארוכה ובטוחה.
כשתרצו להתחבר לאחד השירותים בהם אתם משתמשים, מנהל הסיסמאות ימלא את פרטי הגישה באופן אוטומטי, ואתם תוכלו להתחבר ללא כל בעיה
.
אם אתם לא רוצים לסמוך על אפליקציה, שנתוניה מאוכסנים בענן, תוכלו לבחור במנהל סיסמאות עם אחסון מקומי, שיאחסן את כל הסיסמאות על המכשיר שלכם. למעשה, תוכלו לבחור בין כמה פתרונות קוד-פתוח המספקים את אותם היתרונות של מתחריהם, שמשתמשים באחסון בענן, אך בד"כ בעיצוב מעט צנוע יותר. עם זאת, האפליקציות האלו מפצות על החוסר באסתטיקה באמצעות פיצ'רים נוספים
.
אפשרות נוספת, חוץ מפתרונות הענן ופתרונות הקוד הפתוח, היא שימוש במנהלי הסיסמאות המובנים בחבילות אבטחה לנקודות קצה, שגם הם מאפשרים לנהל ולאבטח את פרטי הגישה
.
היתרונות והחסרונות של שימוש במנהל סיסמאות
יש סוגים רבים של מנהלי סיסמאות, כשמנהלי סיסמאות בענן הם הפופולריים ביותר. עצם העובדה, שהם מאחסנים את הסיסמאות בענן, הופכת אותן לנגישות מכל מכשיר בעולם. רוב המותגים הפופולריים
1Password, Dashlane, LastPass וכו' מציעים אפליקציות גם לסמארטפון. כך, שאם אתם משתמשים בכמה מכשירים (כמו רובנו), השירותים מבוססי הענן יסנכרנו את הסיסמאות בכל המכשירים. לחלק מהשירותים יש אפילו תוכנות למחשב ותוספים לדפדפנים. כך, שהם מכסים את כל האפשרויות
.
מבחינת ההרשמה לשירות, סט האפשרויות הבסיסי מוצע ללא תשלום. אם אתם מרגישים, שמשהו חסר, תמיד תוכלו לשלם עבור אחת ממדרגות הפרימיום, שבד"כ כוללות הגדרות נוספות ומאפייני אבטחה נוספים
.
על אף שכל זה נראה נוח מאוד, יש כאן עקב אכילס. אתם שמים את כל הביצים בסל אחד, וגם לשירותי ניהול הסיסמאות היו בעיות בעבר. למשל, לפני מספר חודשים חוקרים מצאו פרצות אבטחה בכמה מנהלי סיסמאות פופולריים: חלק מגרסאות
האנדרואיד של האפליקציות לשירותים אלה היו מועדות למתקפות פישינג, בעוד שאחרות אפשרו לנסות ולנחש את סיסמת המפתח אינסוף פעמים
.
חשוב לזכור, שהנתונים מוחזקים על שרת, מה שאומר, שאם תוקפים מצליחים לפרוץ אליו בהצלחה הם יכולים להוריד את כל הנתונים שעליו בבת אחת, מה שעלול לשים את פרטי הגישה לחשבונות שלכם במאגרי המידע של עברייני סייבר שונים. אם דבר כזה קורה, אתם תלויים בחוזק ההצפנה של ספק השירות בו בחרתם ובחוזק סיסמת המפתח בה בחרתם. חשוב לזכור, שהיא שומרת על הדלת לחיים הדיגיטליים שלכם
.
ב-
ESET ממליצים לבדוק אם לשירות בו אתם רוצים לבחור היו פרצות אבטחה משמעותיות, שדווחו לאחרונה, כפי שממליצים לעשות לפני בחירה בכל שירות שהוא. תוכלו לבדוק זאת בבלוגים של אבטחת סייבר ובסקירות של גופי בדיקה עצמאיים. בנוסף, מומלץ לקרוא על כל אמצעי האבטחה בהם משתמש השירות כדי לאבטח את חשבונכם ואת הסיסמאות שבו. כך, שתוכלו להבין עד כמה אתם בטוחים
.
ח
לק מהתוכנות בקוד-פתוח, שמותקנות על המכשיר עצמו, יכולות ליצור סיסמאות המותאמות אישית לדרישות הספציפיות של כל אתר ואתר. תוכנת
KeePass , למשל, יכולה לרוץ מהתקן
USB ללא התקנה. בתוכנות קוד-פתוח כמו
KeePass תוכלו להיות בטוחים, שאמצעי האבטחה וההצפנה הם בטוחים, שכן הקוד פתוח וככל הנראה כבר נבדק
.
חלק מהדברים, שנראים כמו חסרונות של מנהלי הסיסמאות המקומיים (שמותקנים במכשיר עצמו) דווקא הופכים אותם לבטוחים יותר. הקודים מאוכסנים על מכשיר ספציפי, ולכן לא תוכלו לגשת אליהם מכל אחד מהמכשירים שלכם. אך האקר יצטרך לתקוף ספציפית אתכם כדי להוציא את הקודים האלה, מה שהופך את המשימה הזאת לקשה יותר עבורם
.
אם ירצו, הם יוכלו לגשת לסיסמאות באמצעות התקנת תוכנה למעקב אחר הקלדות
(Keylogger) על המכשיר שלכם. כאן בדיוק בא לידי ביטוי היתרון של מנהלי סיסמאות, שנכללים בתוך פתרונות אבטחה לתחנות קצה, שמגנים בדיוק מפני נקודת התורפה הזו
.
מצד שני, ראוי לזכור, שאם מאבדים את המכשיר, או אם הוא מתקלקל, עלולים לאבד גישה לכל הסיסמאות שאוכסנו עליו. לכן, תמיד יש לשמור על גיבוי בהישג יד כי לא ידוע מתי יזדקקו לו. הכלל הזה חל רק על פתרונות בקוד-פתוח המאוכסנים על המכשיר עצמו. אובדן מכשיר או מחשב הוא לא בעיה גדולה כל כך כשמשתמשים במנהל סיסמאות בענן, שכן ניתן לגשת אליו מכל מכשיר אחר
.
למרות שלרבים יש צרכים דומים בכל הנוגע לניהול החיים הדיגיטליים, יש הבדלים קטנים בהעדפות. לכן, רצוי להבין איזה מהפתרונות מתאים לדרישות של כל אחד באופן המיטבי. יש לפחות כמה שאלות, שיש לענות עליהן לפני שבוחרים במנהל סיסמאות
:
• כיצד השירות בו בחרתם מאחסן את המידע
?
• אם משהו קורה למכשיר שלכם, האם ניתן לשחזר את המידע
?
• האם ניתן להפעיל אפשרויות אבטחה נוספות, שתגברנה את האבטחה
?
ודאו, שאתם מפעילים שיקול דעת בבחירת מנהל הסיסמאות חדש, והימנעו מהטעויות המוזכרות לעיל כשיוצרים את סיסמת המפתח. אם רוצים תוספת בטיחות, ניתן להוסיף שלב אימות נוסף לכל החשבונות המקוונים החשובים שלכם, או אפילו למנהל הסיסמאות עצמו.