דילוג לתוכן

ניהול סיסמאות באינטרנט

בתחום של אבטחה באינטרנט, משתמשים רבים מרגישים מבולבלים. מארק רישר וסטפן מיקליץ מ-Google אומרים שחשוב להיות מודעים לנקודת המבט של המשתמשים כשמפתחים אמצעי אבטחה.

מר רישר, אתה ראש תחום ניהול מוצר ב-Google שעובד בתחום של אבטחת אינטרנט. האם אי פעם נפלת קורבן לתרמית באינטרנט?

מארק רישר: אין לי דוגמה כרגע אבל אני מניח שכן. אני עושה טעויות כשאני גולש באינטרנט, בדיוק כמו כל אחד אחר. לדוגמה, לאחרונה הזנתי את הסיסמה שלי ב-Google באתר הלא נכון. למזלי, התקנתי פלאגין של Chrome שנקרא Password Alert, שהצביע על הטעות שלי. ואז שיניתי מיד את הסיסמה שלי, כמובן.

סטפאן מיקליץ, מנהל הנדסה בצוות הפרטיות והאבטחה ב-Google: אנחנו רק בני אדם. ברגע שזוכרים סיסמה בעל פה, בקלות אפשר להקליד אותה מבלי לשים לב איפה אנחנו מזינים אותה.

רישר: היינו שמחים להיפטר מסיסמאות לגמרי, אבל לצערי זה לא פשוט כל כך.

"אמצעי בטיחות רבים פועלים מאחורי הקלעים".

מארק רישר

מה כל כך רע בסיסמאות?

רישר: יש להן הרבה חסרונות: קל לגנוב אותן אבל קשה לזכור אותן, וניהול הסיסמאות יכול להיות מתיש. משתמשים רבים חושבים שסיסמה צריכה להיות כמה שיותר ארוכה ומסובכת, אבל למעשה סיסמה כזו מגדילה את סיכון האבטחה. משתמשים מתפתים להשתמש בסיסמה המורכבת ששיננו במספר חשבונות, וכך הם חשופים יותר לפריצות.

מיקליץ: עדיף להזין סיסמה בתדירות כמה שיותר נמוכה. לכן, לא כדאי להיכנס לחשבונות ולצאת מהם פעם אחר פעם. עם הזמן, שימוש בסיסמאות יכול להוביל לכך שמשתמשים לא שמים לב באיזה דף אינטרנט הם נמצאים, ולגנבי סיסמאות קל יותר לפעול במצב כזה. לכן אנחנו ממליצים למשתמשים שלנו להישאר מחוברים לחשבון.

האתר של הבנק שלי מוציא אותי מהחשבון אוטומטית אם אין פעילות במשך מספר דקות.

מיקליץ: לצערי, חברות רבות עדיין פועלות לפי כללים מיושנים. ההמלצה לצאת כל הזמן מהחשבון מקורה בתקופה שבה רוב האנשים נכנסו לאינטרנט בקפה אינטרנט, או חלקו מחשב עם אנשים אחרים. במחקר שלנו נמצא כי ככל שאנשים מזינים את הסיסמאות שלהם פעמים רבות יותר, כך עולים הסיכויים שהם יהיו קורבנות של מתקפת סייבר. לכן בטוח יותר להפעיל את נעילת המסך בטלפון הנייד או במחשב ולהשתמש בסיסמה מאובטחת.

רישר: נכון מאוד. לצערי, מתפרסמות הרבה המלצות שקריות או לא מעשיות שעלולות לבלבל את המשתמשים. במקרה הגרוע ביותר, אנשים מרגישים כל כך לא בטוחים, שהם פשוט מוותרים: "אם כל כך קשה להגן על עצמי, אז כבר עדיף לוותר". זה דומה למצב שבו אנשים לא נועלים את דלת הכניסה שלהם, כי הם יודעים שיש גנבים בסביבה.

מארק רישר
USB Sicherheitsschlüssel

מארק רישר הוא ראש תחום ניהול מוצר ב-Google, בתחום האבטחה והפרטיות. בשנת 2010 הוא ייסד את חברת הסטארט-אפ Impermium בתחום אבטחת סייבר, שנרכשה על ידי Google בשנת 2014. מאז רישר עובד במשרדים הראשיים של החברה במאונטיין ויו שבקליפורניה. משמאל: מפתח אבטחה שנעשה בו שימוש בתוכנית ההגנה המתקדמת. הוא זמין תמורת תשלום סמלי, ואפשר להשתמש בו במגוון אתרים.

איך Google תוכל לדאוג לאבטחת משתמשים אם השימוש בסיסמאות יבוטל?

רישר: כבר יש לנו אמצעי אבטחה רבים נוספים שפועלים מאחורי הקלעים. האקר יכול לגלות את הסיסמה ומספר הטלפון הנייד שלכם, ועדיין נוכל להבטיח במידה של 99.9% שחשבון Google שלכם יהיה מאובטח. לדוגמה, אנחנו בודקים מאיזה מכשיר או מאיזו מדינה אדם מתחבר. אם מישהו מנסה להתחבר לחשבון שלכם מספר פעמים ברצף עם סיסמה לא נכונה, מופעלות התראות במערכות האבטחה שלנו.

מיקליץ: פיתחנו גם את בדיקת האבטחה, שמאפשרת למשתמשים לעיין בהגדרות האבטחה שלהם בחשבון Google, שלב אחר שלב. ועם תוכנית ההגנה המתקדמת, אנחנו מתקדמים עוד צעד אחד.

מה הרעיון מאחורי התוכנית הזו?

מיקליץ: במקור, התוכנית פותחה עבור אנשים שעבריינים עלולים לתקוף במיוחד, כמו פוליטיקאים, מנכ"לים או עיתונאים. אבל עכשיו היא זמינה לכל מי שרוצה הגנה נוספת באינטרנט. רק אנשים שיש להם מתאם מיוחד של USB או Bluetooth יכולים לקבל גישה לחשבון Google המאובטח שלהם.

רישר: מהניסיון שלנו אנחנו יודעים כמה המערכת הזו יעילה, כי כל העובדים של Google משתמשים במפתח אבטחה כדי לשמור על אבטחת חשבון החברה שלהם. מאז שנקטנו את אמצעי האבטחה הזה, לא היה לנו אפילו מקרה אחד של פישינג שנבע מאישור סיסמה. שימוש באסימון משפר בצורה ניכרת את האבטחה של חשבון Google, כי אפילו אם התוקפים יודעים את הסיסמה, הם לא יכולים להיכנס לחשבון בלי האסימון. באופן כללי, אפשר לפרוץ לחשבון באינטרנט מכל מקום בעולם, אבל זה לא אפשרי במקרה של חשבונות שמוגנים באמצעות אסימון אבטחה פיזי.

מיקליץ: דרך אגב, אפשר להשתמש באסימוני האבטחה האלה באתרים רבים ולא רק בתוכנית ההגנה המתקדמת של Google. אפשר לקנות אותם מאיתנו או מספקים אחרים במחיר נמוך. כל הפרטים מופיעים באתר g.co/advancedprotection.

"לפעמים לאנשים קשה להעריך סיכונים באינטרנט".

סטפן מיקליץ

מהן לדעתך הסכנות הגדולות ביותר שאורבות כיום באינטרנט?

רישר: אחת הבעיות היא הרשימות הרבות של שמות משתמשים וסיסמאות שקיימות באינטרנט. עמית שלנו, טאדק פייטראשק סרק את האינטרנט במשך שישה שבועות ביחד עם הצוות שלו. הם מצאו 3.5 מיליארד קומבינציות של שמות משתמשים וסיסמאות. אלו לא נתונים מחשבונות Google שנפרצו – הם נגנבו מספקים אחרים. עם זאת, מאחר שמשתמשים רבים מזינים את אותה סיסמה במספר חשבונות, הרשימות האלו מהוות בעיה עבורנו.

מיקליץ: אני חושב שפישינג חנית (spear phishing) הוא בעיה אדירה. מדובר במקרים שבהם תוקף יוצר בצורה חכמה הודעה מותאמת אישית, כך שקשה לקורבן להבין שמדובר במעשה מרמה. אנחנו רואים שהאקרים משתמשים בשיטה הזו יותר ויותר, ומצליחים בכך.

רישר: אני מסכים עם סטפן. בנוסף, פישינג חנית אינו גוזל זמן רב כל כך. לרוב נדרשות רק מספר דקות כדי ליצור הודעת ספאם מותאמת אישית באימייל. האקרים יכולים להשתמש בנתונים שהמשתמשים מפרסמים על עצמם באינטרנט. זו הבעיה עם מטבעות וירטואליים, לדוגמה: אנשים שמפרסמים בפומבי שיש להם 10,000 מטבעות ביטקוין, לא צריכים להיות מופתעים אם המידע הזה מושך את תשומת ליבם של האקרים.

מיקליץ: זה כמו שאני אעמוד באמצע הרחוב עם מֶגָפוֹן ואכריז על היתרה שלי בבנק. מי יעשה דבר כזה? אף אחד. אבל לפעמים לאנשים קשה להעריך סיכונים באינטרנט.

האם הודעות ספאם רגילות באימייל עדיין נחשבות בעיה?

רישר: הקישור בין מכשירים לשירותים הוא אתגר גדול עבורנו. אנשים לא משתמשים רק במחשבים ניידים ובסמארטפונים כדי להיכנס לאינטרנט, אלא גם בטלוויזיות, בשעונים חכמים וברמקולים חכמים. בכל המכשירים האלה מופעלות אפליקציות שונות, שמאפשרות להאקרים לנצל נקודות התקפה פוטנציאליות רבות. כיום קיימים חיבורים בין מכשירים רבים, והאקרים יכולים להשתמש במכשיר אחד כדי לנסות להגיע למידע ששמור במכשיר אחר. לכן חשוב לענות על השאלה: איך אנחנו יכולים להבטיח את הבטיחות של המשתמשים שלנו, למרות שפע הרגלי השימוש החדשים?

מיקליץ: קודם כל אנחנו שואלים אילו נתונים באמת נדרשים בכל שירות, ואילו נתונים מועברים בין שירותים שונים.

סטפן מיקליץ

הוא מנהל הנדסה בצוות הפרטיות והאבטחה ב-Google. הוא למד בחוג למדעי המחשב (CS) באוניברסיטה הטכנית של מינכן והחל את עבודתו בסניף של Google במינכן בשלהי שנת 2007. מיקליץ חבר בוועד המנהל של היוזמה הגרמנית לאבטחה באינטרנט Deutschland sicher im Netz‏ (DsiN).

איך אתם משתמשים בבינה מלאכותית (AI) כדי לסייע בהגנה על משתמשים?

מיקליץ: ב-Google משתמשים בבינה מלאכותית (AI) כבר זמן מה.

רישר: הטכנולוגיה הוטמעה בשירות האימייל שלנו, Gmail, מהרגע הראשון. Google אפילו פיתחה ספרייה משלה של למידה חישובית שנקראת TensorFlow לסיוע בעבודתם של מתכנתים שמפתחים מערכות למידה חישובית. ספריית TensorFlow מועילה במיוחד ל-Gmail, כי היא משלבת זיהוי תבניות אופייניות.

תוכל להסביר איך זיהוי התבניות הזה פועל?

רישר: נניח שאנחנו מזהים פעילות חשודה בקרב מספר משתמשים, ואנחנו לא יכולים לסווג אותה. מחשב עם יכולת למידה חישובית יבצע השוואה בין האירועים האלה, ובתרחיש הטוב ביותר, הוא יזהה צורות חדשות של הונאה לפני שהן מתחילות להתפשט באינטרנט.

מיקליץ: אבל יש לכך גבולות: מחשב לא יכול להיות חכם יותר מהאדם שמשתמש בו. אם הזנתי למחשב נתונים שגויים או חד צדדיים, גם התבניות שיזוהו יהיו שגויות או חד צדדיות. למרות כל ההתעניינות בנושא בינה מלאכותית (AI), היעילות שלה תלויה תמיד באדם שמשתמש בה. יכולות המחשב תלויות במשתמש שיאמן אותו בעזרת נתונים איכותיים ויבדוק את התוצאות לאחר מכן.

רישר: בעבר כשעבדתי אצל ספק אימייל אחר, קיבלנו הודעה מעובד בנק בלאגוס. בזמנו, היו הרבה ניסיונות לתרמיות בהודעות אימייל שהגיעו לכאורה מניגריה. העובד התלונן שהודעות האימייל שלו תמיד מגיעות לתיקיית הספאם של הנמען, למרות שהוא עובד בבנק מכובד. זה מקרה אופייני להכללה שגויה במסגרת זיהוי תבניות, עקב מידע חסר. הצלחנו לעזור לפתור את הבעיה הזו באמצעות שינוי של האלגוריתם.

צילומים: קוני מירבאך

חזרה למעלה

חידושים באבטחת סייבר

כאן מוסבר איך אנחנו שומרים על הבטיחות של יותר אנשים אונליין מכל גורם אחר בעולם.

מידע נוסף