מדריך אבטחה

כיצד ליצור סיסמה חזקה

מדריך מעשי ליצירת סיסמאות חזקות וייחודיות עם יצירה מקומית, מנהלי סיסמאות, אימות רב-שלבי (MFA) והרגלי שחזור בטוחים.

תקציר

סיסמה חזקה אינה רק מחרוזת ש”נראית מסובכת”. היא ארוכה מספיק לשימוש, נוצרת באופן אקראי, ייחודית לחשבון אחד, ומאוחסנת בבטחה. זרימת העבודה האמינה ביותר היא פשוטה: צור ערך אקראי ייחודי, שמור אותו במנהל סיסמאות, והפעל MFA או passkey בכל פעם שהשירות תומך בכך.

השתמש במחולל הסיסמאות האקראי החינמי או במחולל סיסמאות באורך 16 תווים כאשר אתה צריך סיסמה חדשה לחשבון.

מה הופך סיסמה לחזקה

הסיסמאות החזקות ביותר נבחרות בתהליך אקראי, לא מומצאות על ידי אדם. סיסמאות שנוצרו על ידי אדם מכילות לרוב שמות, תאריכים, דפוסי מקלדת, מותגים, מילות שיר או תחליפים מוכרים. תוקפים מכירים דפוסים אלה ומנסים אותם קודם.

יצירה אקראית משנה את המצב. לסיסמה שנוצרה, כמו ערך של 16, 20 או 32 תווים, אין סיפור אישי, אין תאריך בלוח השנה ואין מבנה מילוני נוח. היא עדיין שימושית רק אם היא נשארת ייחודית ופרטית.

המלצות מעשיות

1. צור סיסמה חדשה לכל חשבון.
2. העדף לפחות 15–16 תווים אקראיים לחשבונות רגילים.
3. השתמש ב-20 תווים או יותר עבור דוא”ל, בנקאות, עבודה וגישת ניהול כאשר הדבר מתקבל.
4. כלול סמלים כאשר היעד מקבל אותם.
5. אחסן סיסמאות במנהל סיסמאות מהימן.
6. הפעל MFA או passkeys.
7. סקור את הגדרות שחזור החשבון, מכיוון שתוקפים מכוונים לעתים קרובות למסלולי שחזור.

מה יצירה מקומית פותרת ומה לא

PwdGen יוצר ערכים באופן מקומי עם Web Crypto ואינו מעלה סיסמאות שנוצרו. זה מגן מפני איסוף מכוון של הערך שנוצר על ידי האתר. זה לא מגן מפני תוסף דפדפן שנפגע, מנהל לוח לא בטוח, תוכנה זדונית, דף דיוג או שירות המטפל באחסון סיסמאות בצורה לא נכונה.

הנחיות מפורטות

מדריך זה מתמקד ביצירת סיסמה חזקה מלוח חלק. הוא נכתב עבור אנשים המחליפים סיסמאות חשבון חלשות או בשימוש חוזר, כך שהמטרה המעשית אינה ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי התחברות, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, ולעיתים שירות עם כללי אימות מוזרים. המלצה מאובטחת שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, לא מומצא מיום הולדת, שם חיית מחמד, דפוס מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה, בעוד שסיסמה אקראית ייחודית מגבילה את הנזק לחשבון הבודד שבו היא שימשה.

לנושא זה, הגדרה קבועה מעשית היא 20 תווים, אותיות גדולות, אותיות קטנות, מספרים וסמלים כאשר הדבר מתקבל. אתה יכול להחיל הגדרה קבועה זו עם מחולל סיסמאות באורך 20 תווים ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen יוצר ערכים באופן מקומי בדפדפן עם Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפגע, דף דיוג או טיפול לא בטוח בלוח יכולים עדיין לחשוף סוד לאחר יצירתו.

הבעיות הנפוצות ביותר שיש להימנע מהן הן שמות אישיים, ימי הולדת, דפוסי מקלדת, סיומות בשימוש חוזר ותחליפים צפויים כגון החלפת a ב-@. בעיות אלה חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנסות בכוח גס כל סיסמה אפשרית כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי פרטים (credential stuffing), דיוג, רשימות סיסמאות דלפו וניצול לרעה של שחזור חשבון הם לעתים קרובות מציאותיים יותר מחיפוש מתמטי טהור. לכן העצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, passkeys, אחסון קודי שחזור וסקירה שוטפת של הגדרות דוא”ל או טלפון לשחזור.

השתמש ברשימת הבדיקה הזו בעת יישום ההמלצה:

• השתמש בערך שונה לכל חשבון.
• העדף יצירה אקראית על פני דפוסים אישיים.
• אחסן את התוצאה במנהל סיסמאות.
• הפעל MFA או passkeys כאשר זמינים.

אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריח את הסיסמה לדפוס חלש יותר באופן ידני. כוון משתנה אחד בכל פעם. אם סמלים נדחים, השאר אותיות גדולות, אותיות קטנות ומספרים מופעלים והגדל את האורך. אם אורך מקסימלי נמוך, השתמש באורך הגדול ביותר המתקבל וודא שהערך ייחודי. אם יש לקרוא את הסיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקול לא לכלול תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכור את גבולות העצה בנושא סיסמאות. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית או לפצות על שירות שאוגר אישורים בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צור ערך ייחודי, אחסן אותו בבטחה, הגן על מסלול השחזור, והחלף אותו במהירות אם אתה חושד בחשיפה.

שאלות נפוצות

מהו הכלל הפשוט ביותר לסיסמה חזקה?

השתמש בסיסמה ארוכה, אקראית וייחודית לכל חשבון ואחסן אותה במנהל סיסמאות מהימן.

האם סיסמה קצרה ומורכבת עדיפה על סיסמה ארוכה ואקראית?

בדרך כלל לא. אורך וחוסר חיזוי חשובים יותר מתחליפים מוכרים כמו החלפת אותיות בסמלים.

האם עלי להשתמש ב-MFA עם סיסמה חזקה?

כן. MFA או passkeys מוסיפים הגנה כאשר סיסמה נגנבת בדיוג, בשימוש חוזר במקום אחר או נחשפת בפריצת שירות.