מעבר לתוכן
חשבון Google
חשבון Google
hero_desktop_2x.jpg

ניהול סיסמאות באינטרנט

בכל מה שקשור לאבטחה ברשת, משתמשים רבים מרגישים שהסכנות גדולות עליהם. מארק רישר וסטפן מיקליץ מ-Google מסבירים למה כדאי להביא בחשבון את נקודת המבט הזו כשמפתחים אמצעי אבטחה

שיתוף

מר רישר, אתה ראש תחום ניהול מוצר ב-Google שעובד בתחום האבטחה באינטרנט. האם אי פעם נפלת קורבן לתרמית באינטרנט?

מארק רישר: אין לי דוגמה כרגע, אבל אני מניח שכן. אני עושה טעויות כשאני גולש באינטרנט, בדיוק כמו כל אחד אחר. לדוגמה, לאחרונה הזנתי את הסיסמה שלי ב-Google באתר הלא נכון. למזלי, התקנתי פלאגין של Chrome שנקרא Password Alert, שהצביע על הטעות שלי. ואז שיניתי מיד את הסיסמה שלי, כמובן.

סטפן מיקליץ, מנהל תחום ההנדסה בצוות הפרטיות והאבטחה ב-Google: אנחנו רק בני אדם. ברגע שאנחנו זוכרים סיסמה בעל פה, אנחנו עלולים להקליד אותה בלי לשים לב בדיוק איפה.

רישר: היינו שמחים להיפטר לגמרי מסיסמאות, אבל לצערי זה לא כל כך פשוט.

"אמצעי אבטחה רבים פועלים מאחורי הקלעים".

מארק רישר

מה כל כך רע בסיסמאות?

רישר: יש להן הרבה חסרונות: קל לגנוב אותן אבל קשה לזכור אותן, ולפעמים זה מתיש לנהל כל הסיסמאות שלנו. משתמשים רבים חושבים שסיסמה צריכה להיות כמה שיותר ארוכה ומסובכת, אבל למעשה סיסמה כזו מגדילה את סיכון האבטחה. אם יש להם סיסמה ארוכה שהצליחו לשנן, הם עלולים להתפתות להשתמש בה בכמה חשבונות שונים. וכך למעשה הם חשופים יותר לפריצות.

מיקליץ: באופן כללי - עדיף שתזינו את הסיסמה שלכם כמה שפחות. לכן, לא כדאי להיכנס לחשבונות ולצאת מהם שוב ושוב. עם הזמן, שימוש בסיסמאות יכול להוביל לכך שמשתמשים לא ישימו לב באיזה דף אינטרנט הם נמצאים, ולגנבי סיסמאות קל יותר לפעול במצב כזה. לכן אנחנו ממליצים למשתמשים שלנו להישאר מחוברים לחשבון.

האתר של הבנק שלי מוציא אותי מהחשבון אוטומטית אם אין בו פעילות במשך כמה דקות.

מיקליץ: לצערי, חברות רבות עדיין פועלות לפי כללים מיושנים. ההמלצה לצאת תמיד מהחשבון התחילה לפני הרבה שנים, כשרוב האנשים נכנסו לאינטרנט ב"אינטרנט קפה" או חלקו מחשב עם אנשים אחרים. אבל במחקר שלנו גילינו שככל שאנשים מזינים את הסיסמאות שלהם יותר פעמים, כך עולים הסיכויים שהם יהיו קורבנות למתקפת סייבר. לכן בטוח יותר להפעיל את נעילת המסך בטלפון הנייד או במחשב ושם להשתמש בסיסמה מאובטחת.

רישר: נכון. לצערי, מתפרסמות הרבה המלצות שקריות או לא מעשיות שעלולות לבלבל את המשתמשים. בתרחיש הכי גרוע, אנשים מרגישים כל כך לא בטוחים שהם פשוט מוותרים. הם חושבים: "אם כל כך קשה להתגונן, אז עדיף כבר לוותר מראש". זה כאילו שאנשים לא ינעלו את דלת הבית, כי יש הרבה גנבים בסביבה.

mark_risher_security_key_2x.jpg

מארק רישר הוא ראש תחום ניהול מוצר ב-Google, בתחום האבטחה והפרטיות. בשנת 2010 הוא ייסד את חברת הסטארט-אפ Impermium בתחום אבטחת הסייבר, והיא נרכשה על ידי Google בשנת 2014. מאז רישר עובד במשרדים הראשיים של החברה במאונטיין ויו שבקליפורניה. משמאל: מפתח אבטחה שנעשה בו שימוש בתוכנית ההגנה המתקדמת. הוא זמין תמורת תשלום סמלי, ואפשר להשתמש בו במגוון אתרים.

איך Google תדאג לאבטחת המשתמשים אם השימוש בסיסמאות יבוטל?

רישר: כבר עכשיו יש לנו אמצעי אבטחה רבים נוספים שפועלים מאחורי הקלעים. האקר יכול לגלות את הסיסמה ומספר הטלפון הנייד שלכם, וב-99.9% מהמקרים חשבון Google שלכם עדיין יהיה מאובטח. לדוגמה, אנחנו בודקים מאיזה מכשיר או מאיזו מדינה אדם מתחבר. אם מישהו מנסה להתחבר לחשבון שלכם כמה פעמים ברצף עם סיסמה לא נכונה, מופעלות התראות במערכות האבטחה שלנו.

מיקליץ: בנוסף, פיתחנו את בדיקת האבטחה, שמאפשרת למשתמשים לעבור על הגדרות האבטחה שלהם בחשבון Google, שלב אחר שלב. ובתוכנית ההגנה המתקדמת, אנחנו עושים אפילו עוד צעד אחד.

מה הרעיון מאחורי התוכנית הזו?

מיקליץ: במקור, התוכנית פותחה בשביל אנשים עם רמת סיכון גבוהה יותר, כמו פוליטיקאים, מנכ"לים או עיתונאים. עברייני סייבר נוטים להתמקד בהם. אבל עכשיו היא זמינה לכל מי שרוצה הגנה נוספת באינטרנט. כדי להיכנס לחשבון Google עם הגנה מתקדמת, צריך מתאם מיוחד שמתחבר ב-USB או Bluetooth.

רישר: אנחנו יודעים מניסיון כמה המערכת הזו יעילה, כי כל עובדי Google משתמשים במפתח אבטחה כזה בחשבון שלהם בעבודה. מאז שהוספנו את אמצעי האבטחה הזה, לא היה לנו אפילו מקרה אחד של פישינג באמצעות אישור סיסמה. השימוש בטוקן משפר בצורה משמעותית את האבטחה של חשבון Google, כי אפילו אם התוקפים יודעים את הסיסמה, הם לא יכולים להיכנס לחשבון בלעדיו. באופן כללי, אפשר לפרוץ לחשבון באינטרנט מכל מקום בעולם, אבל לא לחשבונות שמוגנים באמצעות טוקן אבטחה פיזי.

מיקליץ: דרך אגב, אפשר להשתמש בטוקנים האלה בהרבה אתרים אחרים, לא רק בתוכנית ההגנה המתקדמת של Google. אפשר לקנות אותם מאיתנו או מספקים אחרים, וזה גם לא יקר. כל המידע מופיע בכתובת g.co/advancedprotection.

"לפעמים אנשים לא מעריכים נכון את הסיכונים באינטרנט".

סטפן מיקליץ

מהן לדעתך הסכנות הגדולות ביותר שאורבות כיום באינטרנט?

רישר: אחת הבעיות היא הרשימות הרבות של שמות משתמשים וסיסמאות שקיימות ברשת. אחד מהעמיתים שלנו, טאדק פייטראשק סרק את האינטרנט במשך שישה שבועות ביחד עם הצוות שלו. הם מצאו 3.5 מיליארד קומבינציות של שמות משתמשים וסיסמאות. אלו לא נתונים מחשבונות Google שנפרצו – הם נגנבו מספקים אחרים. אבל מכיוון שמשתמשים רבים מזינים את אותה סיסמה בכמה חשבונות שונים, הרשימות האלו הן בעיה גם מבחינתו.

מיקליץ: בעיניי פישינג ממוקד הוא בעיה גדולה מאוד. אלה מקרים שבהם תוקף יוצר הודעה מותאמת אישית בצורה מאוד מתוחכמת, והקורבן לא מזהה שמדובר בתרמית. יותר ויותר האקרים משתמשים בשיטה הזו ומצליחים.

רישר: אני מסכים עם סטפן. חוץ מזה, פישינג ממוקד גוזל הרבה פחות זמן ממה שנדמה לנו. לרוב נדרשות רק כמה דקות כדי ליצור הודעת ספאם מותאמת אישית באימייל. ההאקרים יכולים להתבסס על נתונים שהמשתמשים עצמם מפרסמים באינטרנט. זו הבעיה עם מטבעות וירטואליים, לדוגמה: אם אנשים מפרסמים בפומבי שיש להם 10,000 מטבעות ביטקוין, הם לא צריכים להיות מופתעים כשהמידע הזה מושך את תשומת ליבם של האקרים.

מיקליץ: זה כאילו שאני אעמוד באמצע הרחוב עם מגפון ואכריז על היתרה שלי בבנק. מי עושה דבר כזה? אף אחד. אבל לפעמים אנשים לא מעריכים נכון את הסיכונים באינטרנט.

mark_risher_2x.jpg

האם הודעות ספאם רגילות באימייל עדיין נחשבות לבעיה?

רישר: הקישור בין מכשירים לשירותים הוא אתגר גדול בשבילנו. אנשים לא משתמשים רק במחשבים ניידים ובסמארטפונים כדי להיכנס לאינטרנט, אלא גם בטלוויזיות, בשעונים חכמים וברמקולים חכמים. בכל המכשירים האלה מופעלות אפליקציות שונות, שמאפשרות להאקרים לנצל נקודות התקפה פוטנציאליות רבות. ומכיוון שמכשירים רבים מחוברים ביניהם, האקרים יכולים להשתמש במכשיר אחד כדי לנסות להגיע למידע ששמור במכשיר אחר. לכן חשוב לנו למצוא דרכים לשמור על הבטיחות של המשתמשים שלנו, במסגרת הרגלי השימוש החדשים.

מיקליץ: בתור התחלה אנחנו בודקים אילו נתונים באמת נדרשים לכל שירות, ואילו נתונים מועברים בין השירותים השונים.

איך אתם משתמשים בבינה מלאכותית (AI) כדי להגן על המשתמשים?

מיקליץ: ב-Google משתמשים ב-AI כבר כמה זמן.

רישר: הטכנולוגיה הוטמעה בשירות האימייל שלנו, Gmail, מהרגע הראשון. ‫Google גם פיתחה פלטפורמה של למידת מכונה שנקראת TensorFlow, שעוזרת למתכנתים שעובדים בתחום. ‫TensorFlow מועילה במיוחד ב-Gmail, כי היא משלבת זיהוי תבניות.

איך זה עובד?

רישר: נניח שאנחנו מזהים פעילות חשודה בקרב כמה משתמשים, ואנחנו לא יודעים לסווג אותה. מחשב עם למידת מכונה יכול להשוות בין האירועים האלה, ובמקרה הכי טוב לזהות צורות חדשות של הונאה עוד לפני שהן מתפשטות באינטרנט.

מיקליץ: אבל יש גם מגבלות. מחשב לא יכול להיות חכם יותר מהאדם שמשתמש בו. אם הזנתי למחשב נתונים שגויים או חד צדדיים, גם התבניות שהוא יזהה יהיו שגויות או חד צדדיות. למרות כל ההתעניינות בנושא AI, היעילות של הכלי הזה תלויה תמיד במשתמשים. היכולות של המחשב תלויות במשתמש שמאמן אותו באמצעות נתונים איכותיים ואחר כך בודק את התוצאות.

רישר: בעבר כשעבדתי אצל ספק אימייל אחר, קיבלנו איזושהי הודעה מעובד בנק בלאגוס. בזמנו, היו הרבה ניסיונות לתרמיות בהודעות אימייל שהגיעו לכאורה מניגריה. העובד התלונן שהודעות האימייל שהוא שולח ללקוחות שלו תמיד מגיעות לתיקיית הספאם של הנמענים, למרות שהוא עובד בבנק מוכר. זה מקרה אופייני של הכללה שגויה במסגרת זיהוי תבניות, והוא נובע ממידע חלקי. כדי לפתור את הבעיה הזו שינינו משהו באלגוריתם.

.

צילום: קוני מירבאך

חזרה לראש הדף