מדריך אבטחה

למה אסור לעשות שימוש חוזר בסיסמאות

הבינו את משמעות credential stuffing, הסיכון בשימוש חוזר בסיסמאות, ההשלכות של פריצה, ומדוע כל חשבון זקוק לסיסמה ייחודית.

תקציר

שימוש חוזר בסיסמאות הוא אחת הדרכים הנפוצות ביותר שבהן פריצה אחת הופכת להשתלטות על חשבונות רבים. סיסמה יכולה להיות ארוכה ואקראית, אבל אם אתה משתמש בה ביותר משירות אחד, דליפה משירות אחד עלולה לחשוף את האחרים.

השתמש במחולל הסיסמאות האקראי כדי ליצור ערך ייחודי לכל חשבון.

Credential stuffing

תוקפים אוספים זוגות של שמות משתמש וסיסמאות שדלפו מפריצות, דיוג, תוכנות זדוניות ומאגרים ציבוריים. לאחר מכן הם מנסים את פרטי ההתחברות האלה בשירותי דוא”ל, בנקאות, קניות, רשתות חברתיות ועבודה. ההתקפה עובדת מכיוון שאנשים רבים עושים שימוש חוזר בסיסמאות.

למה ייחודיות חשובה

ייחודיות מבודדת נזקים. אם שירות אחד מאחסן סיסמאות בצורה גרועה או נפרץ, הסיסמה שנחשפה לא אמורה לפתוח את חשבון הדוא”ל, הבנק, אחסון הענן או העבודה שלך.

המלצות מעשיות

• צור סיסמה שונה לכל חשבון.
• תעדוף את הדוא”ל ראשון כי הוא שולט באיפוסי סיסמאות.
• השתמש במנהל סיסמאות כדי להימנע משינון ערכים רבים.
• הפעל MFA או מפתחות גישה (passkeys).
• שנה סיסמאות בשימוש חוזר מיד לאחר הגילוי.

הדרכה מפורטת

מדריך זה מתמקד בהבנה מדוע שימוש חוזר בסיסמאות יוצר סיכון להשתלטות על חשבונות. הוא נכתב עבור משתמשים שמשתמשים בסיסמה אהובה אחת בשירותים רבים, כך שהמטרה המעשית היא לא ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי התחברות, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, והשירות המזדמן עם כללי אימות מוזרים. המלצה מאובטחת היא שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, לא הומצא מיום הולדת, שם חיית מחמד, תבנית מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה, בעוד שסיסמה אקראית ייחודית מגבילה את הנזק לחשבון הבודד שבו היא שימשה.

לנושא זה, תצורה מעשית היא סיסמאות אקראיות ייחודיות לכל חשבון, המאוחסנות במנהל. אתה יכול ליישם תצורה זו עם מחולל סיסמאות באורך 16 תווים ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen מייצר ערכים באופן מקומי בדפדפן באמצעות Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף דיוג או טיפול לא בטוח בלוח יכולים עדיין לחשוף סוד לאחר שנוצר.

הבעיות הנפוצות ביותר שיש להימנע מהן הן credential stuffing, פריצות ישנות, דפי דיוג, חשבונות משותפים וסיסמאות שחזור בשימוש חוזר. בעיות אלו חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנסות בכוח כל סיסמה אפשרית כאשר הרגלים אנושיים נותנים להם קיצור דרך. Credential stuffing, דיוג, רשימות סיסמאות דלפו וניצול לרעה של שחזור חשבון הם לעתים קרובות מציאותיים יותר מחיפוש מתמטי טהור. זו הסיבה שהעצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור וסקירה שוטפת של הגדרות דוא”ל או טלפון לשחזור.

השתמש ברשימת הבדיקה הזו בעת יישום ההמלצה:

• התחל עם חשבונות דוא”ל ובנקאות.
• החלף סיסמאות בשימוש חוזר בהדרגה.
• השתמש במנהל כדי להימנע משינון ערכים רבים.
• הפעל התראות על פריצות היכן שזמין.

אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריח את הסיסמה לתבנית חלשה יותר באופן ידני. כוון משתנה אחד בכל פעם. אם סמלים נדחים, השאר אותיות גדולות, קטנות ומספרים מופעלים והגדל את האורך. אם אורך מקסימלי נמוך, השתמש באורך המקובל הגדול ביותר וודא שהערך ייחודי. אם יש לקרוא את הסיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקול לא לכלול תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכור את הגבול של עצות סיסמה. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית או לפצות על שירות שאוגר פרטי התחברות בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צור ערך ייחודי, אחסן אותו בבטחה, הגן על נתיב השחזור, והחלף אותו במהירות אם אתה חושד בחשיפה.

צעד בטוח הבא

לאחר קריאת מדריך זה, בצע ביקורת חשבון קטנה אחת במקום לנסות לתקן הכל בבת אחת. בחר את החשבון שיגרום לבעיה הגדולה ביותר אם ישתלטו עליו, אשר שהסיסמה שלו ייחודית, ובדוק את הדוא”ל לשחזור, טלפון לשחזור, שיטת MFA ואחסון קודי גיבוי. אם חלק כלשהו בשרשרת זו חלש, שפר חלק זה לפני המעבר לחשבונות בסיכון נמוך יותר. סדר זה שומר על העבודה ניתנת לניהול ומגן על החשבונות שתוקפים צפויים להשתמש בהם כקרש קפיצה. לגבי למה אסור לעשות שימוש חוזר בסיסמאות, התוצאה הטובה ביותר היא הרגל שניתן לחזור עליו: צור באופן מקומי, אחסן בזהירות, והימנע משימוש חוזר.

שאלות נפוצות

מהו credential stuffing?

Credential stuffing הוא כאשר תוקפים מנסים זוגות של שמות משתמש וסיסמאות שדלפו בשירותים אחרים.

האם שימוש חוזר עדיין מסוכן אם הסיסמה חזקה?

כן. סיסמה חזקה בשימוש חוזר עדיין יכולה לפתוח חשבונות מרובים לאחר ששירות אחד מדליף אותה.

מה עלי לעשות לאחר שעשיתי שימוש חוזר בסיסמה?

שנה כל חשבון שהשתמש בה, החל מדוא”ל, בנקאות, עבודה וחשבונות שחזור של מנהל סיסמאות.