דליפת הסיסמאות הגדולה || כל מה שאפשר וכדאי לעשות

דליפת מידע, פריצה למחשב וגניבת סיסמא | צילום: shutterstock

בחודש ינואר השנה דווח על "אם כל דליפות המידע", הדלפה של מאגר נתונים אדיר שנגנב במהלך מספר מתקפות על חברות ושירותים מקוונים שונים, ביניהם LinkedIn ו-Twitter (כיום X). על פי הדיווחים, מצבור הנתונים הזה מונה כמות מעוררת פליאה של 26 מיליארד תיעודים הכוללים מידע רגיש מסוגים שונים, ביניהם נתוני ממשלות וסיסמאות גישה של משתמשים.

כעת, לאחר האמא של דליפות המידע, בימים האחרונים פרסם אתר CYBERNEWS כתבה על דליפת הסיסמאות הגדולה ביותר שהתגלתה עד כה, תחת השם "RockYou2024". חוקרים מצאו קובץ המכיל כמעט 10 מיליארד סיסמאות טקסט פשוטות שנגנבו משילוב של התקפות ישנות וחדשות. הקובץ, שנקרא 'rockyou2024.txt', מהווה מקור עצום לתוקפים המשתמשים בטכניקות כמו brute force ו-credential stuffing כדי לפרוץ לחשבונות מקוונים.

הדליפה כוללת סיסמאות שנגנבו ממגוון מתקפות נתונים במהלך שני העשורים האחרונים, כאשר כ-1.5 מיליארד סיסמאות נוספו לקובץ בשנים האחרונות (2021-2024).

חוקרים מזהירים כי השימוש בקובץ זה עלול להוביל לגל של פריצות לחשבונות, גניבת זהויות והונאות פיננסיות. את מכירת הנתונים שלנו אמנם לא נוכל למנוע במידה וכבר דלפו, אבל ישנם צעדים שניתן לעשות על מנת להגן על עצמנו.

בחברת אבטחת המידע ESET מסבירים כי גם אם יישמתם אמצעי בטיחות קפדניים, פרטי הגישה לחשבונות שלכם יכולים למצוא את עצמם באוספים כאלה, כשהסיבה העיקרית לכך תהיה דליפת מידע שהמקור שלה בחברה גדולה. ומכאן נובעת השאלה – כיצד תוכלו לגלות אם הסיסמאות שלכם דלפו? תמשיכו לקרוא.

Have I been pwned?

הדרך הקלה ביותר לבדיקה אם נתונים שלכם, כמו כתובת דוא״ל או סיסמה כלשהי, נחשפו כחלק מדליפות מידע, היא ביקור באתר haveibeenpwned.com. האתר כולל כלי חינמי שיכול להגיד לכם מתי והיכן הנתונים שלכם הופיעו באינטרנט.

ניתן לבדוק גם כתובות דוא״ל וגם סיסמאות באתר haveibeenpwned.com

הזינו את כתובת הדוא"ל שלכם, לחצו על כפתור ״pwned?״ וזהו! לאחר הלחיצה תעלה הודעה שתודיע לכם על מצב האבטחה של הסיסמאות שלכם, עם מידע מדויק על ההדלפה בה הופיעו. בני המזל שבינינו יראו תוצאה בצבע ירוק, שמסמלת על כך שאף סיסמה לא דלפה, אך עבור אחרים צבע האתר יהפוך לאדום ותופיע רשימה בה יפורטו ההדלפה או ההדלפות בהן הסיסמאות שלכן הופיעו.

דפדפנים

בחלק מהדפדפנים, כמו Google Chrome ו-Firefox, תוכלו לבדוק אם הסיסמה שלכם אותרה בהדלפת נתונים כלשהי. Chrome יכול גם להמליץ על סיסמאות חזקות יותר באמצעות מודול ניהול הסיסמאות שלו או להציע אפשרויות אחרות לשיפור אבטחת הסיסמאות.

מנהל הסיסמאות של Chrome יכול להיות שימושי ולגלות לכם אם נתונים שלכם הודלפו לציבור

עם זאת, ייתכן שתרצו להשתפר עוד יותר ולהשתמש במנהל סיסמאות ייעודי שיש לו מוניטין מוכח של התייחסות רצינית לאבטחה, בין היתר באמצעות הצפנה חזקה. ברוב המקרים הכלים האלה מגיעים כחלק בלתי נפרד מתוכנות אבטחה רב-שכבתיות מוכרות.

מנהלי סיסמאות

מנהלי סיסמאות מועילים באופן יוצא דופן לשימוש באוסף גדול של סיסמאות, שכן הם יכולים לא רק לאחסן אותן באופן בטוח, אלא גם ליצור סיסמאות חזקות וייחודיות לכל אחד מהחשבונות המקוונים שלכם. עם זאת, ברור כי עליכם להשתמש בסיסמת מאסטר שתהיה חזקה מצד אחד ושיהיה קל לזכור אותה מצד שני. הסיסמא הזאת תהיה מפתח הכניסה לממלכה שלכם.

מהצד השני, גם השירותים האלה אינם חסינים לחלוטין ומהווים מטרות אטרקטיביות לגורמים זדוניים, וניתנים לפריצה באמצעות מתקפות העמסת סיסמאות (שימוש באותה הסיסמה בחשבונות שונים – Credential Stuffing) או באמצעות מתקפות המנצלות פרצות אבטחה בתוכנות. אך למרות זאת, היתרונות – שכוללים אפשרות מובנית לבדיקת סיסמאות שדלפו ואינטגרציה עם אפשרויות אימות דו-שלבי (2FA) שזמינות כיום בפלטפורמות מקוונות רבות – גוברים על הסיכונים.

להגביר עירנות

איך ניתן לשמור על הפרטיים האישיים ברשת לאור הדליפה הענקית? מור בסן, ראש מחלקת תוכנה וסייבר במכללה הטכנולוגית הנדסאים באריאל (קמפוס האוניברסיטה), ממליץ "להגביר את הערנות לניסיונות הונאה, להימנע מהפעלת קישורים שונים בהודעות, לבחור סיסמאות ארוכות וקשות, ולהוסיף אימות דו שלבי ואפשרויות הגנה נוספות".

לדבריו, "ההתפתחות המהירה והמבורכת של כלי הבינה המלאכותית הביאה עימה שלל הזדמנויות חדשות לפושעי הסייבר. הדבר מחייב כל אחד מאתנו להיות ערני ולנהוג במשנה זהירות. התקפות רבות מסוג הונאה (פישינג) הולכות ומשתכללות ומשלבות כלי זיוף קול ווידאו (deep fake) שהולכים ומשתפרים משמעותית. כלים אלו הפכו לנגישים מאוד באינטרנט ומאפשרים לכל אדם – בלחיצת מספר כפתורים – לייצר זיוף". לדבריו, "כפי שחובה להיערך למקרי עלטה במלחמה, כך גם חובה להיערך בתחומים נוספים, ובפרט בתחום הסייבר. הבשורה הטובה היא שיש מה לעשות – העלאת המודעות, הוספת הדרכות לכל גיל, ומעקב אחר העדכונים באתר מערך הסייבר ומקורות נוספים בתחום, יוכלו לסייע במניעת מתקפות סייבר ושמירה על הפרטים האישיים".

כיצד למנוע דליפת סיסמאות?

כיצד ניתן למנוע דליפות מלכתחילה? האם המשתמש הממוצע באינטרנט יכול להגן על עצמו מפני הדלפת סיסמאות? ואם כן – כיצד? ובאופן כללי, כיצד ניתן לשמור על בטיחותם של החשבונות שלכם?

בחברת אבטחת המידע ESET מציינים כי לפני הכל, וזו הנקודה החשובה ביותר – אל תסתמכו על סיסמאות בלבד. במקום זאת, וודאו שהחשבונות שלכם מוגנים באמצעות שתי שיטות אימות שונות. מהבחינה הזאת, מומלץ להשתמש באימות דו-שלבי (2FA) בכל שירות שמאפשר זאת, ועדיף שהאפשרות תתבסס על מפתח אבטחה ייעודי לאימות דו-שלבי או על אפליקציות אימות כמו Microsoft Authenticator או Google Authenticator. כך יהיה לתוקפים הרבה יותר קשה לקבל גישה לחשבונות שלכם באופן בלתי מורשה, גם אם הם יצליחו לשים את ידיהם על הסיסמה או הסיסמאות שלכם.

בנוגע לאבטחת הסיסמאות בפני עצמן, הימנעו מכתיבה שלהן על דפי נייר או באפליקציות לניהול פתקים. בנוסף עדיף להימנע מאחסון סיסמאות החשבונות בדפדפנים, שבמרבית המקרים מאחסנים אותן כקבצי טקסט פשוטים, מה שחושף אותן לסיכון של גניבה ע״י נוזקות.

בין הטיפים הבסיסיים הנוספים להתנהלות עם סיסמאות ניתן למנות גם שימוש בסיסמאות חזקות, שמקשות על עברייני הסייבר הקטנים להשתמש במתקפות פריצה בכוח (Brute-force). הימנעו מסיסמאות קצרות ופשוטות, כמו מילה ואחריה מספר. אם אתם לא בטוחים אם הסיסמא חזקה מספיק, השתמשו בכלי הזה של ESET ליצירת סיסמאות או לבדיקת מידת החוזק של הסיסמא שבחרתם.

ככלל מומלץ גם להשתמש בביטויי סיסמאות (Passphrases), שיהיו בטוחים יותר וקל יותר לזכור אותם. ביטויים אלו מורכבים מסדרת מילים שאליהם מכניסים אותיות גדולות ותווים מיוחדים.

באותה המידה, מומלץ להשתמש בסיסמאות שונות בכל אחד מהחשבונות שלכם כדי למנוע מתקפות מסוג העמסת סיסמאות, שמנצלות הרגל מגונה של רבים מהמשתמשים – שימוש חוזר באותן סיסמאות בשירותים מקוונים שונים.

גישה חדשה יותר לאימות מתבססת על התחברויות ללא סיסמאות, בשיטות כמו מפתחות אימות (Passkeys), וישנן שיטות התחברות אחרות כמו מפתחות פיזיים, קודים חד-פעמיים או אמצעים ביומטריים כדי לוודא בעלות על החשבון במכשירים ומערכות שונים.

ועם כל הטיפים שהצענו, הטיפ הכי חשוב שלנו – אל תחכו. אל תחכו לשמוע על דליפת מידע כדי להגן על המידע שלכם. פרואקטיביות היום, תחסוך לכם את כאב הראש של מחר. מדובר במידע שלכם והכסף שלכם.