מה זה מנהל סיסמאות ולמה כדאי להשתמש באחד¶
אם אני צריך לבחור המלצה אחת, יחידה, שתעשה הכי הרבה לאבטחה שלכם ביחס למאמץ שהיא דורשת - זו תהיה הפעלת מנהל סיסמאות. לא אימות דו-שלבי, לא VPN, לא שום דבר מורכב. הדבר הכי פשוט ובעל ההשפעה הכי גדולה.
ובכל זאת, רוב האנשים שאני מכיר לא משתמשים באחד. אז בואו נסביר מה זה, למה זה חשוב, ולמה הפחד ממנו הוא בעצם ההפך ממה שצריך להרגיש.
מה זה בעצם מנהל סיסמאות¶
זו תוכנה (או אפליקציה בטלפון, או הרחבה בדפדפן) שתפקידה אחד - לשמור את כל הסיסמאות שלכם במקום מוצפן, ולמלא אותן אוטומטית כשאתם צריכים להתחבר לאתר. אתם זוכרים סיסמה ראשית אחת וחזקה כדי להיכנס למנהל הסיסמאות עצמו, וכל שאר הסיסמאות - הוא זוכר בשבילכם.
הוא גם יכול ליצור לכם סיסמאות אקראיות וחזקות לכל אתר חדש שאתם נרשמים אליו, כאלה שאין שום סיכוי שתזכרו בעצמכם, ואין שום צורך שתזכרו, כי המנהל עושה את זה.
למה זה פותר את הבעיה הכי גדולה שיש לאנשים¶
הבעיה המרכזית של רוב האנשים היא לא שהם לא מבינים שצריך סיסמה חזקה. הבעיה היא שאי אפשר לזכור עשרות סיסמאות שונות וחזקות בראש, אז כולם בסוף חוזרים על אותה סיסמה, או וריאציות קלות שלה, בהמון אתרים.
זו בדיוק הבעיה שגורמת לפריצות. כשאתר קטן ולא חשוב במיוחד נפרץ (וזה קורה כל הזמן, גם לאתרים שנשמעים מכובדים), הפרטים שלכם שם, כולל הסיסמה, נכנסים למאגרים שתוקפים סוחרים בהם. אם השתמשתם באותה סיסמה גם בג'ימייל או בבנק - זה בדיוק מה שינסו שם.
מנהל סיסמאות פותר את זה כי הוא מאפשר לכם סיסמה שונה וחזקה בכל אתר, בלי שום מאמץ זיכרון מהצד שלכם.
אבל האם זה לא מסוכן לשים את כל הסיסמאות במקום אחד¶
זו השאלה הכי נפוצה, ואני מבין למה היא עולה. זה מרגיש אינטואיטיבית לא בטוח - "שם אחד לפרוץ ומקבלים הכל".
התשובה הקצרה היא שהמידע במנהל סיסמאות מוצפן בצורה שאפילו החברה שמפעילה את השירות לא יכולה לראות אותו. ההצפנה קורית על המכשיר שלכם, לפני שהמידע נשלח לשרתים שלהם, כך שגם אם השרתים שלהם ייפרצו, מה שיוצא משם הוא בלוק מוצפן חסר תועלת בלי הסיסמה הראשית שלכם, שאף אחד חוץ מכם לא יודע.
זה שונה לגמרי מלשמור סיסמאות בקובץ טקסט או ברשימה בטלפון, ששם באמת אין הגנה אמיתית.
אז מה בעצם עושים¶
בוחרים מנהל סיסמאות (יש כמה אופציות מוכרות ואמינות, כולל כאלה שמובנים כבר בדפדפן או בטלפון), בוחרים סיסמה ראשית אחת, חזקה וייחודית שלא השתמשתם בה בשום מקום אחר, ומתחילים להשתמש בו.
בהתחלה זה קצת מסורבל - צריך להוסיף את הסיסמאות הקיימות, וללמוד את התהליך. אחרי כמה ימים זה הופך אוטומטי לגמרי, הרבה יותר נוח ממה שהייתם רגילים אליו, כי אתם כבר לא צריכים לזכור כלום או להקליד ידנית.
טיפ מעשי - כשאתם נכנסים לאתר חדש ורואים שהסיסמה שלכם הופיעה בפריצת מידע ידועה (הרבה מנהלי סיסמאות בודקים את זה אוטומטית), זה הזמן להחליף אותה, ולא רק שם - בכל מקום אחר שהשתמשתם באותה סיסמה.
מה עם הסיסמה הראשית עצמה¶
הסיסמה הראשית היחידה שאתם באמת צריכים לזכור. תיצרו אותה חזקה וארוכה (כתבתי בהרחבה בפוסט נפרד על איך בונים סיסמה כזאת), ואל תשתמשו בה בשום מקום אחר בעולם. זו הדלת היחידה, אז שווה שהיא תהיה חזקה במיוחד.
חשוב גם להפעיל אימות דו-שלבי על מנהל הסיסמאות עצמו, כדי שגם אם מישהו איכשהו משיג את הסיסמה הראשית, הוא עדיין לא יוכל להיכנס בלי הטלפון שלכם.
אם זה מסקרן אתכם מעבר לשימוש היומיומי¶
אם השאלה "איך הצפנה כזאת עובדת בפועל" מסקרנת אתכם, זה חלק מעולם קריפטוגרפיה ואבטחת מידע שנלמד ברצינות בקורסי סייבר. יש לנו קורס בודק חדירות חינמי שנוגע גם בנושאים כאלה, למי שרוצה להבין את התחום לא רק כמשתמש.
ואם יש לכם שאלות על איזה מנהל סיסמאות לבחור, או סתם בא לכם לדבר עם אנשים שמתעניינים באבטחת מידע - הצטרפו אלינו.