מדריך אבטחה
מנהל סיסמאות לעומת מחולל סיסמאות
הבינו את ההבדל בין יצירת סיסמה לבין אחסון בטוח שלה במנהל סיסמאות.
סיכום
מחולל סיסמאות יוצר סוד. מנהל סיסמאות מאחסן, מארגן, ממלא ומגן על סודות. בדרך כלל תזדקקו לשתי היכולות, בין אם הן מגיעות ממוצר אחד או מכלים נפרדים.
מה מחולל עושה
PwdGen יוצר סיסמאות אקראיות באופן מקומי באמצעות Web Crypto. הוא יכול לכוונן אורך, תווים מיוחדים, מסנני תווים דו-משמעיים, משפטי סיסמה (passphrases) ותבניות מוגדרות מראש לשימושים שונים. הוא אינו מנהל חשבון או מאגר סיסמאות.
מה מנהל סיסמאות עושה
מנהל סיסמאות עוזר לכם לשמור על פרטי כניסה ייחודיים בצורה מעשית. הוא מאחסן סיסמאות ארוכות ואקראיות, ממלא אותן באתרים לגיטימיים, ויכול להפחית הרגלים לא בטוחים של העתקה-הדבקה. הגנו על המנהל באמצעות פרטי כניסה ראשיים חזקים, תוכנית שחזור, ואימות רב-גורמי (MFA) היכן שנתמך.
המלצות מעשיות
- צרו סיסמאות ייחודיות.
- שמרו אותן במנהל מהימן.
- הימנעו ממסמכים וצילומי מסך.
- בדקו אפשרויות שחזור.
- השתמשו במפתחות גישה (passkeys) היכן שמתאים.
הדרכה מפורטת
מדריך זה מתמקד בהבנת ההבדל בין יצירת סיסמאות לאחסונן. הוא נכתב עבור קוראים שבוחרים כיצד PwdGen משתלב עם מנהל סיסמאות, כך שהמטרה המעשית אינה ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי התחברות, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, והשירות המזדמן עם כללי אימות מוזרים. המלצה מאובטחת היא שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.
נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, ולא הומצא מיום הולדת, שם חיית מחמד, תבנית מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה אחת, בעוד שסיסמה אקראית וייחודית מגבילה את הנזק לחשבון הבודד שבו השתמשו בה.
לנושא זה, תבנית מעשית היא ליצור באופן מקומי, ואז לשמור את הערך במנהל סיסמאות מהימן. תוכלו ליישם תבנית זו עם מחולל הסיסמאות באורך 20 תווים ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen יוצר ערכים באופן מקומי בדפדפן עם Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף דיוג (phishing), או טיפול לא בטוח בלוח העתקה (clipboard) עדיין יכולים לחשוף סוד לאחר יצירתו.
הבעיות הנפוצות ביותר שיש להימנע מהן הן שמירת סיסמאות בהערות טקסט רגיל, טיוטות דפדפן, הודעות צ’אט, צילומי מסך ופניות תמיכה. בעיות אלו חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנחש בכוח כל סיסמה אפשרית כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי פרטים גנובים (credential stuffing), דיוג, רשימות סיסמאות דלפו, וניצול לרעה של שחזור חשבון הם לרוב מציאותיים יותר מחיפוש מתמטי טהור. לכן העצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור, ובדיקה שוטפת של דוא”ל או טלפון לשחזור.
השתמשו ברשימת הבדיקה הזו בעת יישום ההמלצה:
- השתמשו במחולל ליצירת אקראיות.
- השתמשו במנהל כדי לזכור ולמלא אוטומטית.
- הגנו על המנהל באמצעות MFA או מפתחות גישה.
- ייצאו רק לגיבויים שתוכלו לאבטח.
אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריחו את הסיסמה לתבנית חלשה יותר באופן ידני. כוונו משתנה אחד בכל פעם. אם תווים מיוחדים נדחים, השאירו אותיות גדולות, קטנות ומספרים מופעלים והגדילו את האורך. אם אורך מקסימלי נמוך, השתמשו באורך המקסימלי המקובל וודאו שהערך ייחודי. אם יש לקרוא סיסמה בקול רם, להדפיס אותה או להקליד אותה בטלוויזיה או במסך נתב, שקלו להחריג תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.
לבסוף, זכרו את גבול העצה בנושא סיסמאות. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית, או לפצות על שירות שאוגר פרטי כניסה בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צרו ערך ייחודי, אחסנו אותו בבטחה, הגנו על נתיב השחזור, והחליפו אותו במהירות אם אתם חושדים בחשיפה.
צעד בטוח הבא
לאחר קריאת מדריך זה, עשו ביקורת חשבון קטנה אחת במקום לנסות לתקן הכל בבת אחת. בחרו את החשבון שיגרום הכי הרבה צרות אם ישתלטו עליו, אשרו שהסיסמה שלו ייחודית, ובדקו את דוא”ל השחזור, טלפון השחזור, שיטת MFA ואחסון קודי הגיבוי. אם חלק כלשהו בשרשרת זו חלש, שפרו אותו לפני שעוברים לחשבונות בסיכון נמוך יותר. סדר זה שומר על העבודה ניתנת לניהול ומגן על החשבונות שתוקפים צפויים להשתמש בהם כקרש קפיצה. עבור מנהל סיסמאות לעומת מחולל סיסמאות, התוצאה הטובה ביותר היא הרגל שניתן לחזור עליו: ליצור באופן מקומי, לאחסן בזהירות, ולהימנע משימוש חוזר.
שאלות נפוצות
האם אני צריך מנהל סיסמאות אם אני משתמש ב-PwdGen?
בדרך כלל כן. PwdGen יוצר סיסמאות; מנהל סיסמאות מאחסן וממלא ערכים ייחודיים בבטחה.
האם מנהל סיסמאות יכול גם ליצור סיסמאות?
רבים יכולים. PwdGen שימושי כאשר אתם רוצים מחולל מקומי שקוף, תבניות מיוחדות, או חוות דעת שנייה.
האם עלי לשמור סיסמאות שנוצרו במסמך?
לא. השתמשו במנהל סיסמאות מהימן או במנהל סודות במקום הערות, גיליונות אלקטרוניים, צ’אט או טיוטות דוא”ל.