נסיונות לפרוץ אתרים יש כל הזמן. אי אפשר להסתמך על כך שהאתר לא מושך אש או לא פעיל במיוחד. כל אתר באויר הוא מטרה לפריצה. אחת השיטות הנפוצות לפריצה לאתרים היא מה שמכונה Brute Force Attacks, ניסיונות להתחבר לאתר תוך "ניחוש" פרטי הגישה (שם משתמש, או אימייל, וסיסמה) מספר רב של פעמים בשיטת "מצליח".
יש מגוון כלים להתמודד עם התופעה: אפשר להגביל מספר ניסיונות כניסה ולחסום מי שמנסה מעבר ל X פעמים סיסמה שגוייה, אפשר להוסיף אימות דו שלבי בהתחברות לניהול, אפשר לחסום גישה לניהול לפי מדינות או כתובות, אפשר לשנות את הקישור להתחברות לניהול. כל אלה תוספות מבורכות ורצויות אבל לא כתחליף לסיסמאות חזקות. קודם כל, עיבדו רק עם סיסמאות חזקות והקפידו לעשות זאת לא רק עם הסיסמה לגישה לניהול האתר אלא גם לניהול הדומיין, האחסון ולכל שירות שקשור בניהול האתר שלכם (או בכלל).
אז איך כדאי לעשות את זה?
בחרו סיסמה ארוכה
סיסמה טובה היא קודם כל סיסמה ארוכה. במקרה של סיסמת כניסה לניהול אתר הוורדפרס שלכם, עיבדו עם סיסמאות באורך של לפחות 16 תווים, רצוי יותר. כל תו שתוסיפו יעלה דרמטית את מספר הניסיונות הנדרשים כדי לנחש את הסיסמה ולכן יוריד את הסבירות שזה יקרה. מבין כל המאפיינים שמופיעים כאן בהמשך, זה האחד החשוב ביותר. אם תלכו על סיסמה ממש ארוכה היא תהייה חזקה גם אם לא תשלבו בה תווים מיוחדים או סימנים אחרים וגם אם תעשו בה שימוש במילים אמיתיות. אם זה יאפשר לכם לזכור את הסיסמה ולהמנע מלתעד אותה איפשהו – לכו על זה! (עשרים תווים ומעלה, לא פחות)
המנעו מסיסמאות צפויות
מידי יום אני רואה לוגים של ניסיונות ניחוש סיסמאות באתרים על ידי בוטים. הניסיונות הראשונים הם תמיד admin, שם הדומיין, שם או מייל בעל העסק כמו שהם מופיעים בעמודי האתר, שם העסק, תפקיד אפשרי כמו developer, support וכד'.
המנעו גם משימוש בפרטים שקל מאוד לגלות אודותיכם כמו שמות ילדים, שמות חיות המחמד, תאריך יום ההולדת, מספר הטלפון וכו'.
שלבו תווים מיוחדים
נסו לשלב אותיות גדולות, קטנות, מספרים ותווים מיוחדים בסיסמה. המנעו מרצפים צפויים של אותיות או מספרים דוגמת 123. המנעו משימוש במלים אמיתיות שמופיעות במילון. הרבה מהתוכנות האוטומטיות לניחוש סיסמאות עושות שימוש במילונים.
דאגו ששם המשתמש לא יוצג באתר
אמנם לא קשור לסיסמה אבל הקפידו תמיד להגדיר לשם המשתמש שלכם כינוי ושם שיוצג בפומבי שאינם שם המשתמש שאיתו אתם מתחברים למערכת. אם שם המשתמש מוצג נתתם כבר 50% ממה שצריך לנחש כדי להתחבר. כדי להגדיר את השדות הללו היכנסו ל: משתמשים – המשתמש שלכם – עריכה. עדכנו את השדות ושימרו את השינויים.
* למתקדמים, שיודעים לעדכן שדות בדטבייס, מומלץ לשנות גם את שדה ה nicename שלא יהיה זהה לשם המשתמש עצמו.
אל תמחזרו סיסמאות
אל תשתמשו באותה סיסמה למגוון יישומים או אתרים.
החליפו סיסמה מעת לעת
שימו לכם תזכורת ביומן להחליף את הסיסמה אחת לכמה חודשים. בכל החלפה הקפידו, כמובן, על כל שאר הכללים כדי שתהייה חזקה ואל תחזרו לסיסמאות עבר.
בפרט, החלפו סיסמאות שנשלחו אליכם במייל. למשל, אם פתחתם חבילת אחסון וקיבלתם במייל את פרטי הגישה הראשוניים שכוללים סיסמאות, החליפו את כולן. מייל הוא אמצעי חשוף, לא מתאים להעברת סיסמאות.
איך מייצרים סיסמה טובה?
כדי לייצר סיסמאות טובות אפשר להעזר במחוללי סיסמאות חזקות דוגמת הכלי הזה שיאפשר לכם לקבוע את אורך הסיסמה והאם תרצו כזו שקלה לזכרון או להגייה. גם בממשק הניהול של וורדפרס יש אפשרות לבקש מהמערכת שתייצר עבורכם סיסמה חזקה כשאתם עורכים פרופיל של משתמש.
אפשר, לחליפין, להרכיב סיסמה ארוכה שמשלבת מילים או ביטויים שיש להם משמעות עבורכם ועדיין עומדת בכל הקריטריונים שמניתי למעלה. לדוגמה, לקחת משפט משיר עיברי שמתחבר לכם עם היישומון שעבורו הסיסמה נדרשת, להקליד אותו כשהמקלדת על אנגלית ולשלב בין המילים כמה תווים מיוחדים ומספרים. לסיסמה כזו יהיה יתרון רק אם תוכלו באמת לזכור אותה ולא תידרשו לכתוב אותה בשום מקום.
איך זוכרים את הסיסמאות המסובכות הללו?
סיסמאות חזקות קשה לזכור בעל פה אבל אם נודה על האמת, בעידן של ריבוי סיסמאות, כשלכל יישומון נדרשת סיסמה, גם סיסמאות פשוטות לא גואלות אותנו מהצורך הזה אלא אם ממחזרים סיסמאות בין יישומים שזה big no no.
אפשר לסמן במסך ההתחברות צ'ק בתיבת זכור אותי כדי שלא תצטרכו להקליד כל פעם מחדש את הסיסמה. זאת, כמובן, בתנאי שמדובר במחשב אישי שלכם שלאחרים אין אליו גישה. לא מומלץ בשום פנים להזין סיסמאות שלכם על מחשבים שיתופיים.
אפשר לנהל את הסיסמאות באפליקציות ייעודיות דוגמת Google Password Manager, Bitwarden, 1Password ואחרות.
אם אתם שומרים את הסיסמה כתובה במקום כלשהו אצלכם על המחשב האישי, עדיף שיהיה מוגן בסיסמה בעצמו. (למשל, אפשר להגן בסיסמה על מסמכי וורד)