מדריך אבטחה

איך לבדוק אם סיסמה דלפה

למד דרכים בטוחות להגיב לדליפות סיסמה אפשריות מבלי להדביק סיסמאות אמיתיות לאתרים לא מהימנים.

תקציר

אם אתה חושד שסיסמה דלפה, התגובה הבטוחה ביותר היא לעתים קרובות להחליף אותה במקום להדביק אותה לאתרים לא ידועים. בדיקת דליפה יכולה להיות שימושית רק כאשר לשירות יש עיצוב פרטיות מהימן ואתה מבין מה נשלח.

השתמש בבודק חוזק סיסמה לניתוח דפוסים מקומי, אך אל תתייחס אליו כמסד נתונים של פריצות.

מה לעשות קודם

שנה את הסיסמה ממכשיר מהימן. אם אותה סיסמה שימשה שוב, שנה כל חשבון מושפע. התחל עם דוא”ל, בנקאות, עבודה, אחסון ענן וחשבונות שחזור של מנהל סיסמאות.

סקירת מצב החשבון

בטל הפעלות פעילות, בדוק הגדרות דוא”ל וטלפון לשחזור, סקור כללי העברה, הסר גישה חשודה לאפליקציות, והפעל MFA או מפתחות גישה.

הדרכה מפורטת

מדריך זה מתמקד בבדיקה האם סיסמה עשויה להופיע בפריצות מבלי לחשוף אותה ברשלנות. הוא נכתב עבור משתמשים ששמעו על פריצה ורוצים להגיב בבטחה, כך שהמטרה המעשית היא לא ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי התחברות, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, ושירות מדי פעם עם כללי אימות מוזרים. המלצה מאובטחת היא שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, לא הומצא מיום הולדת, שם חיית מחמד, דפוס מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה אחת, בעוד שסיסמה אקראית ייחודית מגבילה את הנזק לחשבון הבודד שבו היא שימשה.

לנושא זה, הגדרה מוגדרת מראש מעשית היא ניתוח דפוסים מקומי תחילה, ולאחר מכן שירותי התראת פריצה מהימנים בעת הצורך. אתה יכול ליישם הגדרה זו עם בודק חוזק סיסמה ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen מייצר ערכים באופן מקומי בדפדפן עם Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף דיוג או טיפול לא בטוח בלוח יכולים עדיין לחשוף סוד לאחר שנוצר.

הבעיות הנפוצות ביותר שיש להימנע מהן הן הקלדת סיסמאות אמיתיות לאתרים לא ידועים, חיפוש סיסמאות מדויקות ביומנים, והנחה שאין תוצאה פירושה אין סיכון. בעיות אלה חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנסות בכוח כל סיסמה אפשרית כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי אישורים, דיוג, רשימות סיסמאות דלפו וניצול לרעה של שחזור חשבון הם לעתים קרובות מציאותיים יותר מחיפוש מתמטי טהור. זו הסיבה שהעצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור, וסקירה שוטפת של הגדרות דוא”ל או טלפון לשחזור.

השתמש ברשימת בדיקה זו בעת יישום ההמלצה:

שנה סיסמאות בשימוש חוזר לאחר פריצה.
התחל עם דוא”ל וחשבונות בעלי ערך גבוה.
השתמש בכלי התראת פריצה מהימנים בלבד.
לעולם אל תדביק סיסמה רגישה לדפים אקראיים.

אם אתר דוחה את ההגדרה האידיאלית, אל תכריח את הסיסמה לדפוס חלש יותר ביד. כוון משתנה אחד בכל פעם. אם סמלים נדחים, השאר אותיות גדולות, קטנות ומספרים מופעלים והגדל את האורך. אם אורך מקסימלי נמוך, השתמש באורך המקובל הגדול ביותר וודא שהערך ייחודי. אם יש לקרוא סיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקול להחריג תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכור את הגבול של עצות סיסמה. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית, או לפצות על שירות שאוגר אישורים בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צור ערך ייחודי, אחסן אותו בבטחה, הגן על נתיב השחזור, והחלף אותו במהירות אם אתה חושד בחשיפה.

צעד בטוח הבא

לאחר קריאת מדריך זה, בצע ביקורת חשבון קטנה אחת במקום לנסות לתקן הכל בבת אחת. בחר את החשבון שיגרום הכי הרבה צרות אם ישתלטו עליו, אשר שהסיסמה שלו ייחודית, ובדוק את דוא”ל השחזור, טלפון השחזור, שיטת MFA ואחסון קודי הגיבוי. אם חלק כלשהו בשרשרת זו חלש, שפר אותו לפני המעבר לחשבונות בסיכון נמוך יותר. סדר זה שומר על העבודה ניתנת לניהול ומגן על החשבונות שתוקפים צפויים להשתמש בהם כקרש קפיצה. לגבי איך לבדוק אם סיסמה דלפה, התוצאה הטובה ביותר היא הרגל שניתן לחזור עליו: צור באופן מקומי, אחסן בזהירות, והימנע משימוש חוזר.

שאלות נפוצות

האם עלי להדביק את הסיסמה שלי לאתרי בדיקת דליפות אקראיים?

לא. השתמש רק בשירותי בדיקת פריצה מהימנים עם עיצוב פרטיות ברור, או שנה את הסיסמה במקום לבדוק אותה.

מה עלי לעשות לאחר דליפה?

שנה את הסיסמה המושפעת, שנה סיסמאות בשימוש חוזר, בטל הפעלות, סקור הגדרות שחזור, והפעל MFA.

האם PwdGen יכול לבדוק מאגרי פריצות?

לא. PwdGen מספק הערכות חוזק וזמן פריצה מקומיות, לא חיפוש מרחוק של סיסמאות פרוצות.

מקורות

OWASP Credential Stuffing