לקחים מהחלפת כמה עשרות סיסמאות (ועוד מחשבות על הפירצה האחרונה ל lastpass)
הפריצה ל lastpass באוגוסט האחרון מתגלה כאירוע אבטחת מידע מאוד משמעותי עבור חברה שאמורה לשמור על הסיסמאות שלנו. לפי המייל האחרון שהם שלחו, הם גילו שהתוקפים השיגו גישה לכל קבצי הסיסמאות של כולם וגם לפרטים אישיים רבים. לכאורה, קבצי הסיסמאות מוצפנים ופריצת Brute Force שלהם היא בלתי אפשרית; בפועל מרגע שקבצי סיסמאות מוצפנים מגיעים לידיים עוינות קשה לדעת מה יקרה. סיסמאות חלשות בטח ייפרצו בקלות, יש סיכוי לא מבוטל שהתוקפים יודעים משהו שאנחנו לא יודעים שיאפשר להם להגיע לסיסמאות בעלות ערך, והנתונים האישיים שנגנבו בטח ישמשו ליצירת מתקפות פישינג שיעזרו לתוקפים להשיג סיסמאות נוספות.
כמו משתמשי lastpass רבים, אחרי קבלת המייל הלכתי להחליף סיסמאות למספר אתרים חשובים מתוך הנחה שאי אפשר לדעת כמה זמן הסיסמאות המוצפנות יישארו סודיות. הנה כמה לקחים מרכזיים מהסיבוב:
1. איך מחליפים סיסמאות באתרים
ה Flow שהיה לי הכי נוח היה אתרים שדורשים את הסיסמה הנוכחית, מבקשים פעמיים את הסיסמה החדשה (הכל באותו טופס), ובסיום התהליך שולחים מייל שהסיסמה אופסה.
אתרים מסוימים מחביאים את מסך שינוי הסיסמה בתוך אינסוף מסכי הגדרות. מצאתי את עצמי כמה פעמים מחפש בגוגל שם של אתר ואחריו את הביטוי Change Password כדי להגיע לעמוד הנכון. זה עבד כי אתרים גדולים מחזיקים דפי עזרה עם הוראות ולינקים איך לאפס את הסיסמה, למשל הקישור הזה שמסביר איך לשנות סיסמה בפייפאל.
רוב האתרים מאפשרים שני מנגנונים לשינוי סיסמה: אם אתם מחוברים תוכלו להיכנס למסך "פרטי חשבון" ולחפש שם את הגדרת הסיסמה, ואם אתם לא מחוברים תוכלו ללחוץ על קישור "שכחתי סיסמה" כדי לקבל מייל עם קישור לאיפוס סיסמה. יש אתרים שמחברים את שני המנגנונים וגם מתוך האתר הם מוותרים על הטופס ופשוט שולחים מייל עם הוראות לאיפוס הסיסמה, ובאתרים מסוימים רק אחד המנגנונים עבד. אלה מכם שבונים מערכות - תהיו אדיבים עם המשתמשים ותוודאו ששני המנגנונים אצלכם עובדים.
יש אתרים שניצלו את ההזדמנות שרציתי להחליף סיסמה ודרשו ממני לעדכן פרטים אישיים "על הדרך". למרות שאני מבין את הצורך לעדכן את הפרטים, כדאי לזכור שכשמישהו כבר מגיע להחליף סיסמה הוא מעדיף לסיים עם זה מהר ולהמשיך להחליף סיסמאות בעוד אתרים. אם חסרים לכם פרטים עדיף לשלוח מייל ולבקש להזין אותם בתהליך נפרד.
יש אתרים שלא ביקשו את הסיסמה הנוכחית בשביל לשנות סיסמה. זה מסוכן כי אם אני נשאר Logged In לאותו אתר ומישהו אחר מתישב לי על המחשב לכמה דקות, אותו חבר יכול לשנות לי את הסיסמה בלי שאדע.
מדיניות חוזק הסיסמאות ברוב האתרים איפשרה לי לבחור כל סיסמה שרציתי. היו אתרים שדרשו ספציפית סיסמה של 8-10 אותיות (בלי לאפשר לי לבחור סיסמה יותר ארוכה) או כזאת שמורכבת גם מאותיות וגם ממספרים (בלי לאפשר לי להוסיף גם סימנים מיוחדים). רצוי לשים לב ביצירת מדיניות חוזק סיסמה תמיד לאפשר לאנשים לבחור סיסמה מאובטחת יותר ממה שאתם דורשים.
פריצות כמו זו מזכירות לנו כמה חשוב להשתמש ב 2FA, גם אם בשוטף זה לא הכי נוח, במיוחד לאתרים רגישים. נכון שהכל אפשר לפרוץ, אבל כל שכבה של הגנה נותנת לנו עוד זמן.