לפני זמן מה נפרצו מספר עמודים שנוהלו על ידי חברת ריפרש בגלל חוסר אחריות של החברה וזילזול בנכסיהן הדיגיטליים של לקוחותיה. אבל חברת ריפרש איננה לבד ובפועל מה שנפרץ לא היה האתר של החברה אלא חשבון הפייסבוק של אחד העובדים אשר אינו הראשון ולא האחרון שבגלל חוסר תשומת לב מאבד את החשבון שלו . חשבון המייל וחשבון הפייסבוק שלנו הפכו להיות סוג של נכס שהאובדן שלו פשוט הפך למסוכן. לאבד את חשבון המייל / פייסבוק שקול, לפחות עבור חלק נכבד מהאנשים – ללאבד את הארנק או את מכשיר הסלולר.
אבל יש כמה צעדים פשוטים כדי לאבטח את חשבון הפייסבוק שלכם, וכדאי לכם לנקוט בו אם אתם לא רוצים להיכנס יום אחד ולגלות שחברה כזו או אחרת השתלטה לכם על הפרופיל ונעלה אתכם בחוץ.
נתחיל מההצהרה החשובה ביותר – אף מנעול אינו חסין בפני פריצות, ואם מישהו רוצה להשיג גישה אל החשבון הספציפי שלכם מן הסתם הוא יצליח לעשות את זה. מצד שני, אם לא מדובר בפריצה איכותית (קורבן שסומן מראש, מתוך מטרה) אלא במשתמש שמנסה להשיג גישה לחשבונות כדי לייצר נזק אפשר להקשות עליו עד מאוד. שימוש במספר כלים בסיסיים יאפשר לכם להגביר את רמת האבטחה על החשבון שלכם ולהקטין את הסיכוי בפריצה.
סיסמאות
אחרי שדלף קובץ הסיסמאות של אתר הומלס / פיצה האט לפורומים התורכיים פירסם רן פוסט עם 208 הסיסמאות הנפוצות ביותר בישראל. באופן לא מפתיע בכלל, רוב רובן של הסיסמאות היה 123456, שזה יותר טוב מ 1234 בלבד – הסיסמא העוקבת מבחינת כמות השימושים.
אז נכון שבפעם הקודמת שדיברתי על אבטחת מידע הסברתי שלא מספיק לדעת את הסיסמא אלא צריך גם את כתובת המייל, אבל כאמור, ברשת מסתובבת רשימה ארוכה של כתובות מייל ישראליות, ואני מוכן להמר שרוב המשתמשים ב 123456 עברו לסיסמאות נבונות וחכמות כגון 654321 או 456789. סיסמא חזקה צריכה להכיל שילוב של מספרים ואותיות, אפשר (ורצוי) אפילו סימנים. צריכים סיסמא חזקה אתם יכולים לנסות את מחולל הסיסמאות הזה.
מחשב מאומת
לפני זמן מה, התעורר בי חשד שמישהו השיג גישה אל חשבון הפייסבוק שלי והחלפתי בו את הסיסמא. הבעיה עם סיסמאות חדשות, זה שלוקח זמן עד שאנחנו מתרגלים שהחלפנו וממשיכים להקליד את הישנה. באופן מפתיע, בכל פעם שהקלדתי את הסיסמא הישנה על המחשב הספציפי ההוא, במקום לקבל את ההודעה הג'נרית על סיסמא שגויה קיבלתי הודעה שמסבירה לי שלא מזמן החלפתי את הסיסמא בדיוק על המחשב הזה.
לא מזמן, התקנתי את האפליקציה של סטים על הלפטופ שלי. כשניסיתי להתחבר סטים הודיעה לי שמדובר במחשב שהיא לא מכירה ולכן היא רוצה לעשות ואלידציה למחשב. הייתי צריך לעבור תהליך אימות של החשבון שלי שכלל שליחה של קוד סודי אל תיבת הדואר שלי. ככל הנראה מתוך הנחה שגם אם מישהו השיג את חשבון הסטים שלך, הוא לא מחזיק גם בתיבת הדוא"ל שלך.
המנגנון הזה של לזהות מחשב ספציפי מוסיף רובד נוסף של אבטחה ומאפשר לחברה לקבל אינדיקציה כאשר מישהו מנסה לגשת לחשבון ממחשב לא מוכר. בג'ימייל, יש רישום של פעולות אחרונות על בסיס כתובת ה IP של המשתמש ואם תיכנסו לרשימה תוכלו לראות אם יש שם כתובת IP שנראית לכם חשודה.
בפייסבוק, הלכו שלב אחד קדימה והכניסו את מנגנון אימות המחשבים אל תוך מערך האבטחה הזמין למשתמש. כך למשל,ניתן להגדיר לפייסבוק שתעדכן אתכם בכל פעם שנעשה שימוש במחשב שאינו מוכר לה. העידכון יכול להגיע בדמות הודעת מייל או SMS (בתנאי שתסכימו לתת לפיסבוק את מספר הטלפון שלכם).
אופציה נוספת, לפרנואידים במיוחד, מגדירה לפייסבוק לבצע הליך של אימות סלולארי עבור כל מחשב חדש. אם אם תסמנו את האופציה הזו, בכל פעם שתנסו להתחבר ממחשב לא מוכר תאלצו להקליד גם קוד שישלח אל מכשיר הסלולר שלכם. במקרה שכזה, גם אם פורץ ישיג גישה אל חשבון המייל שלכם ואת הפרטים של חשבון הפייסבוק שלכם – הוא עדיין ישאר בחוץ.
התהליך הזה כמובן קצת מסורבל והוא מתאים בעיקר עבור אנשים שעובדים על מספר מצומצם של מחשבים. כך למשל אצלי מאומת המחשב בבית, הלפטופ והמחשב במשרד. סטודנט או תלמיד בבית ספר למשל, שנסמכים על מעבדת מחשבים פתוחה – יגלו שהתהליך הזה מעיק למדי.
דומיין פרטי
העלות של דומיין בימנו היא מגוחכת ובאתרי רישום כמו גו-דאדי ניתן להשיג דומיין עם סיומת info בפחות מ 2$ לשנה. לאחר שתרשמו את הדומיין, תוכלו להשתמש בתוכנית כגון Google apps for domain כדי ליצור חשבון מייל על הדומיין שלכם. היתרון הגדול בניהול הדומיין היא שגם אם חס וחלילה נפרץ חשבון המייל, תמיד תוכלו, כבעלי הדומיין לשחזר את הגישה אליו.
מי שרוצה להגדיל את הביטחון, יגדיר את התיבה כ catch all. תיבה שכזו תופסת את כל התכתובות המגיעות לשרת ולא משויכות למשתמש קיים. עכשיו אפשר להרשם עם כתובת מייל פקטיבית כאשר כל זמן שהיא מוגדרת על הדומיין עצמו, התכתובת תגיע אל התיבה האמיתית שלכם. היתרון פה הוא שגם אם מישהו ישיג את כתובת המייל שאיתה נרשמתם לשירות כזה או אחר הוא לא יוכל לקבל אליו גישה כי הכתובת לא באמת קיימת.
חשבונות מקושרים
פייסבוק קונקט הפך במהירות רבה להיות סוג של פרוטוקול חיבור אלטרנטיבי לאתרים. רוב האתרים מאפשרים קישור של חשבון משתמש באתר אל חשבון הפייסבוק שלכם ומאותו הרגע, במקום להקליד שם משתמש וסיסמא אפשר פשוט ללחוץ על כפתור הפייסבוק קונקט כדי להגיע אל תוך האתר.
מעט מאוד אנשים יודעים שהעסק הזה יכול לעבוד גם בכיוון ההפוך. פייסבוק בעצמה תומכת בחשבונות מקושרים ומאפשרת לכם לשייך מספר פרוטוקולי אימות אל חשבון הפייסבוק שלכם. כך למשל, ניתן לחבר את חשבון הגוגל שלכם אל פייסבוק – כך ברגע שתתחברו אל ג'ימייל למשל פייסבוק תזהה אתכם ותאפשר לכם להיכנס אל חשבון הפייסבוק מבלי להקליד שם משתמש וסיסמא.
יש פה מלכוד, כי אם קישרתם את חשבון הגוגל שלכם והפורץ השתלט עליו הרי שהוא השיג גם גישה אל חשבון הפייסבוק שלכם. אבל, אם תטרחו לקשר חשבון אחר כגון Open ID שנשלט דרך כתובת מייל אחרת – יש לכם סיכוי לא רע להצליח להשתלט על החשבון שלכם בחזרה במהירות.
שורה תחתונה
כפי שכבר אמרתי, הפריצות מתחלקות לשני סוגים – פריצה איכותית היא מקרה שבו נבחר קורבן ואז נשלפים כל הכלים כדי להשיג גישה אל החשבון שלו. פריצה כמותית היא מקרה שבו גוף כלשהו מנסה להשיג גישה למקסימום מידע וחשבונות כדי לקדם מטרה כזו או אחרת.
אם סומנתם כקורבן, הרי שפורץ מיומן יצליח לבסוף להשיג גישה אל החשבון שלכם. היתרון בשימוש בשילוב של השיטות הללו מצוי בעובדה שבמהלך העבודה אמורים להתרומם לא מעט דגלים (SMS שנשלח בגלל משתמש שמנסה להיכנס ממחשב אחר למשל) שיכולים להוות סימן מזהיר.
הכלי החזק ביותר בתוך ארגז הכלים הזה, לדעתי, הוא נושא המחשבים המאומתים ב SMS. במקרה שכזה, על מנת להשיג גישה אל חשבון הפייסבוק שלכם פורץ פוטנציאלי יצטרך להגיע עד לאחד המחשבים המאומתים שלכם או לגנוב לכם את מכשיר הסלולר – הרבה מאוד עבודה בשביל להשחית עמודי פייסבוק.
אתם לא חייבים להשתמש בכל השיטות, אבל שילוב, לפחות של חלק מהן, יאפשר לכם לוודא שאף אחד לא משיג גישה אל החשבון שלכם.
כתיבת תגובה