הסיסמאות נגנבו: מה לעשות כדי להיות מוגנים?

אחרי שבינואר השנה דיווחנו על "אם כל דליפות המידע", אתמול (א') הגיעה דליפת הסיסמאות הגדולה ביותר המכונה 'RockYou2024' – במסגרתה חוקרים מצאו קובץ המכיל 10 מיליארד סיסמאות טקסט פשוטות, שנגנבו משילוב של מתקפות ישנות וחדשות. כ-1.5 מיליארד סיסמאות הן חדשות, או חדשות יחסית, ונגנבו בשנים האחרונות, 2021-2024.

הקובץ מהווה מקור עצום של סיסמאות שיכול לסייע לתוקפים כדי לפרוץ לחשבונות מקוונים.

"השימוש בקובץ זה עלול להוביל לגל של פריצות לחשבונות, גניבת זהויות והונאות פיננסיות. את מכירת הנתונים שלנו אמנם לא נוכל למנוע אם הם כבר דלפו, אבל ישנם צעדים שניתן לעשות על מנת להגן על עצמנו", ציינו חוקרי ESET בתגובה למאגר האדיר והמסוכן. "גם אם יישמתם אמצעי בטיחות קפדניים, פרטי הגישה לחשבונות שלכם עלולים למצוא את עצמם באוספים מפוקפקים אלה", כתבו.

New RockYou2024 Password List Allegedly Leaked with Nearly 10 Billion Passwordshttps://t.co/m2Lv1kDchC#DarkWeb #RockYou #RockYou2024 #databreach #cybersecurity pic.twitter.com/5wFUQTzWhQ

— Dark Web Intelligence (@DailyDarkWeb) July 5, 2024

האם הסיסמאות שלכם דלפו?

"הדרך הקלה ביותר לבדיקה אם נתונים – כתובות דוא"ל, סיסמה – נחשפו כחלק מדליפות מידע, היא ביקור באתר haveibeenpwned.com. האתר כולל כלי חינמי, שיאמר לכם.ן מתי והיכן נתוניכם.ן הופיעו באינטרנט. לאחר הזנת כתובת הדוא"ל, המערכת תודיע מה מצב האבטחה של הסיסמאות שלכם, עם מידע מדויק על ההדלפה שבה הופיעו. מעטים יהיו בני מזל, ויראו תוצאה בצבע ירוק, המסמלת שאף סיסמה לא דלפה, אך עבור השאר, האתר יהפוך לאדום ויפרט מה או מהן ההדלפה או ההדלפות בהן הסיסמאות הופיעו.

דפדפנים – בחלק מהדפדפנים, כמו כרום (Google Chrome) ו-פיירפוקס (Firefox), תוכלו לבדוק אם הסיסמה שלכם אותרה בהדלפת נתונים כלשהי. כרום יכול גם להמליץ על סיסמאות חזקות יותר, באמצעות מודול ניהול הסיסמאות שלו, או להציע אפשרויות אחרות לשיפור אבטחת הסיסמאות.

מנהל הסיסמאות של כרום יכול לגלות לכם אם נתונים שלכם הודלפו לציבור. עם זאת, ייתכן שתרצו להשתפר עוד יותר ולהשתמש במנהל סיסמאות ייעודי שיש לו מוניטין מוכח של התייחסות רצינית לאבטחה, בין היתר באמצעות הצפנה חזקה. ברוב המקרים הכלים האלה מגיעים כחלק בלתי נפרד מתוכנות אבטחה רב-שכבתיות מוכרות.

מנהלי סיסמאות – מנהלי סיסמאות מועילים מאד לשימוש באוסף גדול של סיסמאות, שכן הם יכולים לא רק לאחסן אותן באופן בטוח, אלא גם ליצור סיסמאות חזקות וייחודיות לכל אחד מהחשבונות המקוונים שלכם. ואולם גם שירותים אלה אינם חסינים לחלוטין, מהווים מטרות אטרקטיביות לגורמים זדוניים וניתנים לפריצה באמצעות מתקפות העמסת סיסמאות (שימוש באותה הסיסמה בחשבונות שונים – Credential Stuffing) או באמצעות מתקפות המנצלות פרצות אבטחה בתוכנות. אך היתרונות: אפשרות מובנית לבדיקת סיסמאות שדלפו ואינטגרציה עם אימות דו-גורמי (2FA) – גוברים על הסיכונים.

🔐 Have you been hit by a data leak? 🔐

Read our latest blog on #WeLiveSecurity on how to check if your data has been leaked, and what you can do to mitigate its impact.https://t.co/cI0vpbdVnm#ESET #Cybersecurity #Dataleak #ProgressProtected pic.twitter.com/hWsTimxYnP

— ESET UK (@ESETUK) June 4, 2024

כיצד למנוע (את ההשפעה של) דליפת סיסמאות?

לפי חוקרי ESET, "הנקודה החשובה ביותר: אל תסתמכו על סיסמאות בלבד. במקום זאת, וודאו שהחשבונות שלכם מוגנים באמצעות שתי שיטות אימות שונות. מומלץ להשתמש באימות דו-גורמי בכל שירות שמאפשר זאת, ועדיף שהאפשרות תתבסס על מפתח אבטחה ייעודי לאימות דו-שלבי או על אפליקציות אימות כמו Microsoft Authenticator או Google Authenticator. כך יקשה על התוקפים לקבל גישה לחשבונות באופן בלתי מורשה, גם אם הם יצליחו לשים את ידיהם על הסיסמה או הסיסמאות שלכם.

לגבי אבטחת הסיסמאות: הימנעו מכתיבה שלהן על דפי נייר, או באפליקציות לניהול פתקים. בנוסף, עדיף להימנע מאחסון סיסמאות החשבונות בדפדפנים, שבמרבית המקרים מאחסנים אותן כקבצי טקסט פשוטים, מה שחושף אותן לסיכון של גניבה בידי נוזקות.

עוד ממליצים החוקרים על שימוש בסיסמאות חזקות, שמקשות על עברייני הסייבר הקטנים להשתמש במתקפות פריצה בכוח (Brute-force); על הימנעות מסיסמאות קצרות ופשוטות, כמו מילה ואחריה מספר; וכן הם ממליצים להשתמש בביטויי סיסמאות (Passphrases), שיהיו בטוחים יותר ושקל יותר לזכור אותם. ביטויים אלה מורכבים מסדרת מילים שאליה מכניסים אותיות גדולות ותווים מיוחדים; רצוי גם להשתמש בסיסמאות שונות בכל אחד מהחשבונות שלכם, כדי למנוע מתקפות מסוג העמסת סיסמאות; לסיום הם מציעים שתערכו התחברויות בלא סיסמאות, בשיטות כמו מפתחות אימות (Passkeys), ושיטות התחברות אחרות, כמו מפתחות פיזיים, קודים חד-פעמיים או אמצעים ביומטריים.

"הטיפ הכי חשוב שלנו – אל תחכו", סיכמו החוקרים, "אל תחכו לשמוע על דליפת המידע הבאה, כדי להגן על המידע שלכם. פרואקטיביות היום, תחסוך לכם את כאב הראש של מחר".