מדריך אבטחה

אורך סיסמה מומלץ לדואר אלקטרוני

למדו מדוע חשבונות דואר אלקטרוני זקוקים לסיסמאות ארוכות וייחודיות, אימות רב-שלבי (MFA), שחזור בטוח, ובדיקה קפדנית של העברת דואר וגישה לאפליקציות.

תקציר

חשבון הדואר האלקטרוני שלך הוא לעיתים קרובות מפתח השחזור לשאר חייך הדיגיטליים. השתמשו בסיסמה ייחודית אקראית, רצוי באורך 20 תווים או יותר, ואפשרו אימות רב-שלבי (MFA) או מפתחות גישה (passkeys) כאשר זמינים.

השתמשו במחולל סיסמאות לדואר אלקטרוני.

מדוע דואר אלקטרוני הוא בעל ערך גבוה

דואר אלקטרוני מקבל קישורים לאיפוס סיסמה, התראות כניסה, חשבוניות, מסמכים והודעות שחזור חשבון. אם תוקפים שולטים בדואר האלקטרוני, הם עשויים לאפס חשבונות אחרים גם אם אלה משתמשים בסיסמאות חזקות.

המלצות מעשיות

• השתמשו בסיסמה ארוכה וייחודית.
• אפשרו אימות רב-שלבי (MFA) או מפתחות גישה (passkeys).
• בדקו את הגדרות דואר השחזור ומספר הטלפון.
• בדקו כללי העברה וגישה מורשית (delegated access).
• בטלו סיסמאות אפליקציה חשודות או הרשאות OAuth.

הנחיות מפורטות

מדריך זה מתמקד בבחירת אורך סיסמה לחשבונות דואר אלקטרוני. הוא נכתב עבור משתמשים שמבינים שדואר אלקטרוני הוא לעיתים קרובות מרכז השחזור לשירותים אחרים, ולכן המטרה המעשית אינה ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי כניסה, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, והשירות המזדמן עם כללי אימות מוזרים. המלצה מאובטחת שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, ולא הומצא מיום הולדת, שם חיית מחמד, תבנית מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה אחת, בעוד שסיסמה אקראית ייחודית מגבילה את הנזק לחשבון הבודד שבו היא שימשה.

לנושא זה, הגדרה קבועה מראש מעשית היא 20 עד 32 תווים אקראיים, המאוחסנים במנהל סיסמאות, עם אימות רב-שלבי (MFA) מופעל. ניתן ליישם הגדרה זו באמצעות מחולל סיסמאות לדואר אלקטרוני ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen מייצר ערכים מקומית בדפדפן באמצעות Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף דיוג או טיפול לא בטוח בלוח (clipboard) עדיין יכולים לחשוף סוד לאחר יצירתו.

הבעיות הנפוצות ביותר שיש להימנע מהן הן ניצול לרעה של שחזור חשבון, credential stuffing, כללי תיבת דואר נכנס שנוספו על ידי תוקפים, וסיסמאות בשימוש חוזר מפריצות ישנות. בעיות אלה חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לבצע התקפת כוח גס על כל סיסמה אפשרית כאשר הרגלים אנושיים נותנים להם קיצור דרך. Credential stuffing, דיוג, רשימות סיסמאות דלפו וניצול לרעה של שחזור חשבון הם לעיתים קרובות מציאותיים יותר מאשר חיפוש מתמטי טהור. לכן העצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה (passkeys), אחסון קודי שחזור, ובדיקה שוטפת של הגדרות דואר שחזור או טלפון.

השתמשו ברשימת הבדיקה הזו בעת יישום ההמלצה:

• התייחסו לדואר אלקטרוני כחשבון בעדיפות עליונה.
• השתמשו בסיסמה ארוכה וייחודית.
• בדקו את טלפון השחזור ודואר השחזור.
• בדקו העברה ופעילות כניסה לאחר חשד לפריצה.

אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריחו את הסיסמה לתבנית חלשה יותר באופן ידני. התאימו משתנה אחד בכל פעם. אם סמלים נדחים, השאירו אותיות גדולות, קטנות ומספרים מופעלים והגדילו את האורך. אם אורך מקסימלי נמוך, השתמשו באורך הגדול ביותר המקובל וודאו שהערך ייחודי. אם יש לקרוא את הסיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקלו להשמיט תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכרו את גבול עצות הסיסמה. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא אינה יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית, או לפצות על שירות שאוגר אישורים בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צרו ערך ייחודי, אחסנו אותו בבטחה, הגנו על נתיב השחזור, והחליפו אותו במהירות אם אתם חושדים בחשיפה.

צעד בטוח להמשך

לאחר קריאת מדריך זה, עשו ביקורת חשבון קטנה אחת במקום לנסות לתקן הכל בבת אחת. בחרו את החשבון שיגרום הכי הרבה צרות אם ישתלטו עליו, וודאו שהסיסמה שלו ייחודית, ובדקו את דואר השחזור, טלפון השחזור, שיטת ה-MFA ואחסון קודי הגיבוי. אם חלק כלשהו בשרשרת זו חלש, שפרו חלק זה לפני המעבר לחשבונות בסיכון נמוך יותר. סדר זה שומר על העבודה ניתנת לניהול ומגן על החשבונות שתוקפים צפויים להשתמש בהם כקרש קפיצה. עבור אורך סיסמה מומלץ לדואר אלקטרוני, התוצאה הטובה ביותר היא הרגל שניתן לחזור עליו: צרו מקומית, אחסנו בזהירות, והימנעו משימוש חוזר.

שאלות נפוצות

כמה ארוכה צריכה להיות סיסמת דואר אלקטרוני?

השתמשו בלפחות 20 תווים אקראיים כאשר הדבר מתקבל, מכיוון שדואר אלקטרוני שולט לעיתים קרובות באיפוסי סיסמה לחשבונות אחרים.

מדוע דואר אלקטרוני חשוב במיוחד?

דואר אלקטרוני יכול לקבל קישורי איפוס, התראות אבטחה, חשבוניות, מסמכי זהות והודעות שחזור חשבון.

האם עלי לבדוק כללי העברה?

כן. העברה זדונית, מסננים או גישה מורשית (delegated access) יכולים להימשך גם לאחר שינוי סיסמה.