גוגל, מנהל סיסמאות עצמאי או במגירה בשולחן? איך שומרים סיסמאות?
עו"ד אמציה שיינפלד,
אם לפני עשר שנים היו שואלים, הייתי אומר שהשימוש המוכר בסיסמאות לצורך התחברות למערכות וחשבונות יוחלף בטכנולוגיה חדשנית כלשהי, הרבה לפני 2024. למזלי אף אחד לא שאל.
נכון, הזיהוי הביומטרי והאימות הכפול (MFA) נכנסו יפה, ואיתם גם כלים להטמעת פתרונות אימות לשירותים שונים, אבל הסיסמאות עדיין איתנו, ובגדול, וללא מעט שירותים. והזיכרון שלנו, צריך להודות, ממש לא השתפר בעשור האחרון, גם לא יכולת הריכוז, והחולשות האנושיות הן אותן חולשות אנושיות כמו פעם. לא פלא ש"”Andrew Tate הוא אחד מהחיפושים הכי פופולריים בגוגל, ושטיילור סוויפט לפי הסקרים תגרוף לא מעט קולות אם תרוץ לנשיאות ארה"ב.
כל ההקדמה הזאת באה כדי לומר שגם היום, בסוף שנת 2024, סיסמאות כמו 123456789 או המילה PASSWORD, הן עדיין מהסיסמאות הנפוצות ביותר. גם שמדובר בהתחברות למערכות רגישות, וגם בקרב אנשים שאמורים להיות מודעים מאד לסיכונים. נפוץ לא פחות הוא השימוש החוזר באותה סיסמא לחלק גדול מהשירותים אליהם נרשמנו. לכן זה לא מפתיע שלפי פרסומים למעלה מ-80% מאירועי הסייבר מתרחשים בהמשך לדליפה או שימוש בסיסמא חלשה.
מענה לאתגר הזה של "איך לעזאזל אני אמורה להצליח לזכור את הסיסמאות של כל השירותים אליהם נרשמתי", נותנים מנהלי הסיסמאות – פתרונות המהווים מעין "כספת" שבה ניתן לשמור סיסמאות באופן זמין, נגיש ומאובטח למדי.
Google Password Manager, הפתרון החינמי, הפשוט והמובנה בתוך דפדפן כרום ומכשירים מבוססי אנדרואיד, הינו דרך נוחה ויעילה לשמירת סיסמאות, וגם לסנכרונן בין המכשירים המחוברים לחשבון הגוגל. ניתן לשער שהיקף המשאבים שGoogle מקצה לאבטחת מוצריה מגיע למספר עם הרבה אפסים. מטבעו מוגבל הכלי לכרום ולאנדרואיד כך שאינו מתאים לאפליקציות שאינן "דפדפניות", ולכן יתאים בדרך כלל לשימוש אישי יותר, פחות עסקי. חסרון בולט, לעומת מנהלי הסיסמאות העצמאיים, הינו שהסיסמאות נשמרות (גם) באופן מקומי, במערכת ההפעלה של המכשיר הספציפי, ומסתבר שיש לא מעט דרכים לחדור לשם בלי הזמנה. סכנה נוספת טמונה פחות בטכנולוגיה ויותר בעובדה שרבים מאיתנו משאירים, במודע או שלא, את הדפדפן וחשבון הגוגל האישי פתוח במגוון מכשירים (בטבלט של הבת, בנייד הישן שמשמש כעת את הבן הקטן בבית, בלפטופ שיושב על השיש במטבח ופתוח על החדשות, במחשב במשרד ועוד), בלי אימות כפול, ובלי שהסשן מוגבל.
למשתמשים שאינם חוששים ממעט התעסקות "טכנית", ומחפשים פתרון מתקדם יותר וגם גמיש יותר מבחינת הפונקציות השונות (שיתוף סיסמאות בין משתמשים, שמירת סיסמאות למערכות שאינן דפדפניות ועוד), עומדות מערכות כמוBitwarden, LastPass ו- 1Password התומכות במערכות ההפעלה והדפדפנים השונים, מאפשרות ליצור סיסמאות ייחודיות לכל חשבון, לשתף סיסמאות בצורה מאובטחת, וליהנות מרמות גבוהות של הצפנה ואימות דו-שלבי. LastPass הפופולרית, ידידותית לשימוש ומתחזקת גרסה חינמית מספקת למדי. המערכת שלהם, לפי הודאתם, חוותה בעבר פריצות, אך נטען כי סיסמאות המשתמשים נותרו מוצפנות. 1Password, מנהל סיסמאות פופולרי נוסף, נחשב מאובטח מאד ועם דגש על שמירה על פרטיות המשתמשים, אך לא קיימת גרסה חינמית. Bitwarden נתפסת מעט פחות אינטואיטיבית לשימוש לעומת שתי הקודמות, אך מדובר במערכת קוד פתוח שמאחוריה קהילה משמעותית וככזאת סביר כי נבדקת ונחקרת באופן שוטף ושקוף. הגרסה החינמית מציעה אפשרויות מגוונות, וזו שבתשלום זולה יחסית וכוללת פיצ'רים כמו אחסון קבצים ואימות מתקדם.
הכספת הכי טובה לא שווה הרבה אם השארנו את המפתח מתחת לשטיח בכניסה וברור שסיסמת המאסטר של מנהל הסיסמאות (או של חשבון הגוגל שלנו) חייבת להיות חזקה וייחודית, כי יש להפעיל אימות דו שלבי ולא פחות חשוב – להגביל מאד את זמן הסשן. מתלבטים עדיין ? התחילו עם פתרון חינמי כמו Google Password Manager או Bitwarden ואל תשכחו להקפיד על דברים אלו.
*בלוג קצר זה אינו מתיימר להוות חוות דעת מקצועית אודות המוצרים המוזכרים בו, ואין לראות בו ככזה.