גוגל למשתמשי ג'ימייל: עדכנו סיסמאות ועברו לאימות מתקדם יותר

לאחר פרצות נתונים חמורות - למשל של קבוצת ההאקרים הרוסית המכונה APT29 - גוגל דוחקת במשתמשי שירות הדוא"ל שלה לחזק את אבטחת חשבונם באמצעות סיסמאות חדשות וטכנולוגיית מפתחות גישה (Passkeys) - מהי?

גוגל לוחצת להחליף את הסיסמה אליו למפתחות גישה. חשבון הג'ימייל.

לאחרונה אנו עדים לסדרת התרעות אבטחה חמורות מצד גוגל (Google) למשתמשי ג'ימייל (Gmail), הדורשות מהם לנקוט פעולה מיידית לאבטחת חשבונותיהם. מאמץ זה הגיע בעקבות חשיפה נרחבת של מיליארדי פרטי התחברות בהתקפות סייבר אחרונות.

בחודש מאי, דלף מידע שכלל 184 מיליון חשבונות חשופים, כולל של משתמשי גוגל. בנוסף, לפי מחקר של Cybernews שצוטט בפורבס, באחרונה נחשפו 16 מיליארד שמות משתמש וסיסמאות -לא רק של גוגל אלא גם של אפל ועוד – כחלק מ"אוסף להיטים" מדליפות קודמות, ולא כפריצה חדשה יחידה. מידע זה, המכונה "מודיעין רב עוצמה שניתן להשתמש בו", מהווה תוכנית פעולה לפשעי סייבר ממוקדים, כמו השתלטות על חשבונות וגניבת זהות. הדיילי מייל אף דיווח כי חלק מהמשתמשים קיבלו בזמן האחרון הודעות ישירות מ-גוגל שמבשרות כי עליהם להפעיל אימות דו-שלבי (2FA) בג'ימייל, או שיאבדו גישה לחשבונם.

מומחים מסכימים כיום כי סיסמאות בפני עצמן כבר אינן מבטיחות הגנה מספקת. גוגל מצידה הצהירה במפורש: "אנו רוצים להתקדם מעבר לסיסמאות לחלוטין".

למרות שרוב משתמשי גוגל עדיין מסתמכים על אבטחת סיסמאות בסיסית ואימות דו-שלבי, הנתונים מציגים תמונה עגומה: פחות מ-50% מהצרכנים בארה"ב מפעילים אימות דו-שלבי, וקיימת העדפה לקודי SMS, שהם פחות מאובטחים וחשופים ל"יירוט". לפי מומחי סייבר, סוגיות אבטחה אלו מדגישות את הצורך בפתרונות חזקים יותר.

מפתחות גישה – מה שצריך לדעת

הפתרון המועדף על גוגל ומומחי אבטחה מכונה 'מפתחות גישה' (Passkeys). מפתחות גישה אלו מבוססים על ביומטריה או קוד אישי (PIN), והם לפי ההערכות עמידים בפני התקפות פישינג וסוגי תקיפות אחרים.

הטכנולוגיה הזו מאפשרת התחברות פשוטה באמצעות שיטה שבה המשתמש נועל את המכשיר שלו, כמו טביעת אצבע או זיהוי פנים, וללא צורך בסיסמה. כלומר, האבטחה מקושרת ישירות לחומרת המכשיר, ואין סיסמאות שניתן לגנוב או קודי אימות דו-שלבי שניתן לעקוף.

היתרון הגדול הוא שמפתח גישה לחשבון גוגל מגן על כלל השירותים והחשבונות הנגישים באמצעות התחברות זו. כפי שגוגל מציינת: "כאשר משלבים את הקלות והבטיחות של מפתחות גישה עם חשבון הגוגל שלכם, תוכלו להשתמש ב'התחבר עם גוגל' כדי להיכנס לאתרים ולאפליקציות המועדפים עליכם – מה שמפחית את מספר החשבונות שעליכם לתחזק".

הצורך במפתחות גישה התחזק עוד יותר במיוחד לנוכח התקפות ממוקדות בהרבה, כמו זו של קבוצת ההאקרים הרוסית המכונה APT29 (ידועה גם כ-Cozy Bear). קבוצה זו ניצלה לאחרונה תכונה של גוגל בשם ASP ('סיסמאות לאפליקציה' – ר"ת Application Specific Passwords) כדי לעקוף אימות דו-שלבי בקמפייני פישינג מתוחכמים.

המתקפה, שתועדה בין אפריל לתחילת יוני השנה, כיוונה לאנשי אקדמיה ולאנשים הבולטים בבקורתם כלפי רוסיה. התוקפים בנו קשרים נרחבים עם הקורבנות במשך שבועות, התחזו למחלקת המדינה של ארה"ב, ושיגרו אל הקורבנות מיילים מזויפים, במטרה לשכנע את היעדים ליצור סיסמאות אפליקציה ולמסור להם את הקודים בני 16 הספרות, בתואנה של "תקשורת מאובטחת". ברגע שהתוקפים קיבלו את הקוד, הם יכלו ליצור גישה קבועה לתיבות הדואר של הקורבנות.

התקפות אלה מדגישות את המורכבות של איומי הסייבר ואת הצורך בפתרונות אבטחה כמו מפתחות גישה, שמבטלים את הצורך בקודים אנושיים אשר ניתנים לגניבה או שיתוף.

ואולם – למרות שמפתחות גישה הם ההמלצה העתידית – הצעד המיידי והבסיסי ביותר לאבטחה הוא לשנות את הסיסמה באופן מיידי. כפי שהסבירה קספרסקי: "ההמלצה הראשונה והטובה ביותר היא לשנות את הסיסמאות שלכם".

בנוסף לשינוי סיסמאות, מומלץ להפעיל אימות דו-שלבי בכל מקום אפשרי, להשתמש במנהלי ומחוללי סיסמאות לשם יצירת סיסמאות חזקות וייחודיות, ולעקוב באופן קבוע אחרי החשבונות כדי לוודא שלא הופרו.

תגובות

(2)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. הבעיה שמייקרוסופט לא תומכת בפאס-קי באופן מובנה

    מה שהיה מאפשר המרת כל סיסמה קיימת לפאס-קי. ממליץ על מנהל הסיסמאות PROTON, שממיר אוטומטית.

אירועים קרובים