מדריך אבטחה

מפתחות גישה לעומת סיסמאות

השוואה בין מפתחות גישה לסיסמאות, כולל עמידות בפני פישינג, שחזור, אמון במכשיר, ומתי עדיין יש צורך בסיסמאות חזקות.

סיכום

מפתחות גישה משתמשים בקריפטוגרפיה של מפתח ציבורי ויכולים להפחית את הסיכון לפישינג מכיוון שהמפתח הפרטי אינו מוקלד באתר. סיסמאות הן סודות משותפים: אם מקלידים אותן בדף הלא נכון, הן עלולות להילכד. כאשר שירות תומך במפתחות גישה היטב, הם יכולים להיות שיטת כניסה ראשית חזקה יותר.

למה סיסמאות עדיין חשובות

חשבונות רבים עדיין שומרים על סיסמת גיבוי, סיסמאות שחזור, סיסמאות אפליקציה או מכשירים ישנים. אם סיסמה עדיין מחוברת לחשבון, היא צריכה להיות ארוכה, אקראית, ייחודית ומוגנת באמצעות MFA במידת האפשר.

שחזור הוא חלק מהאבטחה

מפתחות גישה תלויים באבטחת המכשיר, ספקי סנכרון ושחזור חשבון. אובדן גישה למכשירים או הסתמכות על ערוצי שחזור חלשים עלולים ליצור סיכון. רשום יותר מאפשרות שחזור אחת במידת האפשר והגן על חשבון הדוא”ל המשמש לשחזור.

המלצות מעשיות

השתמש במפתחות גישה היכן שנתמך ומובן.
שמור על סיסמת הגיבוי ייחודית וחזקה.
הגן על שיטות נעילת המכשיר.
בדוק את הגדרות הדוא”ל והטלפון לשחזור.
אחסן קודי שחזור בבטחה.

הנחיות מפורטות

מדריך זה מתמקד בהשוואת מפתחות גישה לסיסמאות לכניסה לחשבון. הוא נכתב עבור אנשים שמחליטים האם להמשיך להשתמש בסיסמאות כאשר מוצעים מפתחות גישה, כך שהמטרה המעשית היא לא ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי כניסה, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, והשירות המזדמן עם כללי אימות מוזרים. המלצה מאובטחת היא שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, לא הומצא מיום הולדת, שם חיית מחמד, דפוס מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה אחת, בעוד שסיסמה אקראית ייחודית מגבילה את הנזק לחשבון הבודד שבו היא שימשה.

לנושא זה, הגדרה קבועה מעשית היא מפתחות גישה היכן שנתמך, סיסמאות חזקות וייחודיות היכן שסיסמאות עדיין נדרשות. ניתן ליישם הגדרה קבועה זו עם המדריך ל-MFA לעומת סיסמה חזקה ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen מייצר ערכים באופן מקומי בדפדפן עם Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף פישינג או טיפול לא בטוח בלוח יכולים עדיין לחשוף סוד לאחר יצירתו.

הבעיות הנפוצות ביותר שיש להימנע מהן הן שיטות שחזור חלשות, אובדן מכשיר, נעילת חשבון, שירותים לא נתמכים, והנחה שמפתחות גישה מסירים כל דאגת אבטחה. בעיות אלו חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנסות בכוח כל סיסמה אפשרית כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי פרטים גנובים, פישינג, רשימות סיסמאות דלפות וניצול לרעה של שחזור חשבון הם לעתים קרובות מציאותיים יותר מחיפוש מתמטי טהור. זו הסיבה שהעצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור ובדיקה שוטפת של הגדרות הדוא”ל או הטלפון לשחזור.

השתמש ברשימת הבדיקה הזו בעת יישום ההמלצה:

השתמש במפתחות גישה לחשבונות עיקריים כשנוח לך.
שמור על אפשרויות השחזור מאובטחות.
השתמש בסיסמאות חזקות לשירותים ללא מפתחות גישה.
אל תעשה שימוש חוזר בסיסמאות גיבוי.

אם אתר דוחה את ההגדרה האידיאלית, אל תכריח את הסיסמה לדפוס חלש יותר באופן ידני. שנה משתנה אחד בכל פעם. אם סמלים נדחים, השאר אותיות גדולות, קטנות ומספרים מופעלים והגדל את האורך. אם אורך מקסימלי נמוך, השתמש באורך המקובל הגדול ביותר וודא שהערך ייחודי. אם יש לקרוא סיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקול לא לכלול תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכור את גבול עצת הסיסמה. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף פישינג לבטוח, לתקן תוכנה זדונית או לפצות על שירות שאוגר אישורים בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צור ערך ייחודי, אחסן אותו בבטחה, הגן על נתיב השחזור, והחלף אותו במהירות אם אתה חושד בחשיפה.

צעד בטוח הבא

לאחר קריאת מדריך זה, בצע ביקורת חשבון קטנה אחת במקום לנסות לתקן הכל בבת אחת. בחר את החשבון שיגרום הכי הרבה צרות אם ישתלטו עליו, אשר שהסיסמה שלו ייחודית, ובדוק את דוא”ל השחזור, טלפון השחזור, שיטת MFA ואחסון קודי הגיבוי. אם חלק כלשהו בשרשרת זו חלש, שפר חלק זה לפני המעבר לחשבונות בסיכון נמוך יותר. סדר זה שומר על העבודה ניתנת לניהול ומגן על החשבונות שתוקפים צפויים להשתמש בהם כקרש קפיצה. עבור מפתחות גישה לעומת סיסמאות, התוצאה הטובה ביותר היא הרגל שניתן לחזור עליו: צור באופן מקומי, אחסן בזהירות, והימנע משימוש חוזר.

שאלות נפוצות

האם מפתחות גישה טובים יותר מסיסמאות?

מפתחות גישה יכולים לספק עמידות חזקה יותר בפני פישינג, אך שחזור חשבון, גישה למכשיר ותמיכת פלטפורמה עדיין חשובים.

האם מפתחות גישה מבטלים סיסמאות לחלוטין?

לא בכל מקום. שירותים רבים עדיין משתמשים בסיסמאות כגיבוי, שחזור או אישורי תאימות.

האם עלי להשתמש בסיסמה חזקה היכן שמפתחות גישה זמינים?

אם לחשבון עדיין יש סיסמת גיבוי, שמור על סיסמה זו ייחודית וחזקה.

מקורות

FIDO Alliance — Passkeys