כלי סיסמאות חזרה למחולל

מדריך אבטחה

MFA לעומת סיסמה חזקה

למדו כיצד אימות רב-גורמי וסיסמאות חזקות פועלים יחד, ומדוע אף אחד מהאמצעים אינו מחליף את השני.

סיכום

MFA וסיסמאות חזקות פותרים בעיות שונות. סיסמה חזקה מקשה על ניחוש והתקפות שימוש חוזר. MFA מוסיף מחסום שני כאשר הסיסמה נגנבת, נפישית או דולפת. עבור חשבונות חשובים, השתמשו בשניהם.

סוגי MFA

MFA עשוי לכלול אפליקציות אימות, מפתחות אבטחה חומרתיים, מפתחות גישה (passkeys), אישורי דחיפה (push approvals), SMS או קודים בדוא”ל. השיטות משתנות בעמידותן בפני פישינג ובסיכון השחזור. סיסמה שנייה אינה גורם שני אמיתי.

המלצות מעשיות

הנחיות מפורטות

מדריך זה מתמקד כיצד MFA וסיסמאות חזקות משלימות זו את זו. הוא נכתב עבור משתמשים שתוהים האם MFA הופך את חוזק הסיסמה לפחות חשוב, כך שהמטרה המעשית אינה ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי התחברות, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, והשירות המזדמן עם כללי אימות מוזרים. המלצה מאובטחת שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, לא הומצא מיום הולדת, שם חיית מחמד, תבנית מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה אחת, בעוד שסיסמה אקראית ייחודית מגבילה את הנזק לחשבון הבודד שבו השתמשו בה.

לנושא זה, תבנית מעשית היא סיסמה אקראית ייחודית בתוספת גורם שני בלתי תלוי. ניתן ליישם תבנית זו עם מחולל הסיסמאות בדוא”ל ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen מייצר ערכים מקומית בדפדפן באמצעות Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף פישינג או טיפול לא בטוח בלוח יכולים עדיין לחשוף סוד לאחר יצירתו.

הבעיות הנפוצות ביותר שיש להימנע מהן הן יירוט SMS, עייפות התראות (prompt fatigue), דוא”ל שחזור חלש, קודי גיבוי המאוחסנים בצורה לא בטוחה, וסיסמאות בשימוש חוזר מאחורי MFA. בעיות אלו חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנסות כל סיסמה אפשרית בכוח גס כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי פרטים (credential stuffing), פישינג, רשימות סיסמאות דלפות וניצול לרעה של שחזור חשבון הם לעתים קרובות מציאותיים יותר מחיפוש מתמטי טהור. לכן העצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור וסקירה שוטפת של דוא”ל השחזור או הגדרות הטלפון.

השתמשו ברשימת הבדיקה הזו בעת יישום ההמלצה:

אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריחו את הסיסמה לתבנית חלשה יותר באופן ידני. התאימו משתנה אחד בכל פעם. אם סמלים נדחים, השאירו אותיות גדולות, קטנות ומספרים מופעלים והגדילו את האורך. אם אורך מקסימלי נמוך, השתמשו באורך המקובל הגדול ביותר וודאו שהערך ייחודי. אם יש לקרוא סיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקלו לא לכלול תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכרו את גבול עצות הסיסמה. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא אינה יכולה להפוך דף פישינג לבטוח, לתקן תוכנה זדונית או לפצות על שירות שאוגר פרטי כניסה בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צרו ערך ייחודי, אחסנו אותו בבטחה, הגנו על נתיב השחזור, והחליפו אותו במהירות אם אתם חושדים בחשיפה.

צעד בטוח הבא

לאחר קריאת מדריך זה, עשו ביקורת חשבון קטנה אחת במקום לנסות לתקן הכל בבת אחת. בחרו את החשבון שיגרום הכי הרבה צרות אם ישתלטו עליו, אשרו שהסיסמה שלו ייחודית, ובדקו את דוא”ל השחזור, טלפון השחזור, שיטת ה-MFA ואחסון קודי הגיבוי. אם חלק כלשהו בשרשרת זו חלש, שפרו אותו לפני המעבר לחשבונות בסיכון נמוך יותר. סדר זה שומר על העבודה ניתנת לניהול ומגן על החשבונות שתוקפים צפויים להשתמש בהם כקרש קפיצה. עבור mfa לעומת סיסמה חזקה, התוצאה הטובה ביותר היא הרגל שניתן לחזור עליו: צרו מקומית, אחסנו בזהירות, והימנעו משימוש חוזר.

שאלות נפוצות

האם MFA מחליף סיסמה חזקה?

לא. MFA מפחית את הסיכון להשתלטות על חשבון, אך הסיסמה עדיין צריכה להיות ייחודית וחזקה.

האם MFA ב-SMS מספיק?

SMS יכול להיות טוב יותר מהיעדר MFA, אך אפליקציות אימות, מפתחות גישה ומפתחות אבטחה חזקים יותר לעתים קרובות כאשר זמינים.

מה עלי להגן קודם?

הגנו תחילה על חשבונות דוא”ל, מנהל סיסמאות, בנקאות, עבודה וענן מכיוון שהם יכולים לפתוח שירותים אחרים.

מקורות