יום רביעי, 24 בנובמבר 2010

זה שאני פרנואיד לא אומר שלא רודפים אחרי / כך תשמרו על זהותכם ברשת

לפני חודשיים בערך נפרץ חשבון ההוטמייל ששירת אותי בנאמנות במשך הרבה שנים. הפורץ המוכשר הגדיל לעשות והחליף את סיסמת הכניסה לחשבון, כך שכשאגלה שהחשבון נפרץ, לא אוכל כבר להיכנס אליו ולמחוק ממנו את רשימת אנשי הקשר והמיילים עצמם...

האמת? היה לי הרבה יותר מזל משכל - כמה חודשים לפני כן עברתי לגמרי במקרה ל-Gmail, והחשבון שנפרץ כבר לא היה בשימוש בפועל.
אם חשבון ההוטמייל היה עדיין החשבון הפעיל שלי, הפריצה הזו היתה עלולה לפגוע בי מאוד, משלוש סיבות לפחות:
- חשיפת כתובות המייל של אנשי הקשר שלי.
- חשיפת כל התכתובות והמסמכים האישיים שהיו שמורים במייל.
- והכי חמור: אם הפורץ היה מנסה להיכנס בעזרת אותה כתובת מייל ואותה סיסמא בדיוק לאתרים אחרים - הוא היה מצליח בלי שום קושי...

אני יודע. זה נשמע קצת פרנואידי.
מצד שני, מי היה שמח לקום בבוקר ולגלות שכל המיילים האישיים שלו - מהבנק, מהמפעיל הסלולארי, ממקום העבודה, מחברת הכבלים / הלוויין, מביטוח לאומי, מקופת חולים, מהאוניברסיטה וגם סתם מהחבר'ה - נשלחו לכל רשימת התפוצה שלו?

ומי היה שמח לגלות שמישהו ביצע קניות עם שם המשתמש שלו בכל מיני אתרים, או סתם השאיר בשמו הודעות "זבל" וקללות בכל האתרים שבהם הוא מנוי (פייסבוק, טוויטר וכו'), ובנוסף - דאג להחליף את הסיסמא כדי שהוא לא יוכל יותר להיכנס לכל אותם אתרים?

אף אחד, אני יודע. זה יכול להיות מאוד לא נעים.

מאז מתקפת
ההאקרים הטורקים, מופיעות ברשת עוד ועוד כתבות על איך להגן על עצמך מפני מתקפה כזאת, איך יוצרים סיסמא קשה לפריצה, ויש גם פיתרונות כדי להצליח לזכור את כל אוסף הסיסמאות שיש לכל אחד מאיתנו.

הנה מה שאני עשיתי. זה לא דורש יותר מחצי שעה של השקעה, וזה מצמצם באופן כמעט מוחלט את  הנזק שייגרם לי מפריצה נוספת, כשתגיע.

1. הגנו על רשימת אנשי הקשר והמיילים האישיים שלכם.
צעד ראשון: פיתחו לעצמכם כתובת מייל נוספת, מישנית, שתשמש לרישום לאתרים שאליהם אתם נרשמים והשתמשו בה לניהול הקשר עם אתרי האינטרנט השונים בלבד. רצוי לבחור בכתובת פיקטיבית, שלא תאפשר לזהות מי אתם, מה שמכם וכן הלאה. אל תשתמשו בכתובת הנוספת הזאת לשליחת מיילים לחברים ואל תשמרו בה בכלל אנשי קשר.  צעד שני: היכנסו גם לאתרים שאליהם אתם כבר רשומים - ועדכנו את כתובת המייל שלכם לכתובת החדשה. שני הצעדים הפשוטים האלה יבטיחו שגם אם מישהו הצליח לגנוב כתובות מייל וסיסמאות מאתרי האינטרנט השונים (כמו שקרה עכשיו ובוודאי עוד יקרה בעתיד), לא תהיה לו שום גישה לאנשי הקשר ולמסמכים האישיים שלכם, שנשמרים במייל האישי שלכם בלבד.


2. הירשמו לכל אתר עם סיסמא שונה. זה יותר קל ממה שזה נשמע.ביחרו לכל אתר שאליו אתם נרשמים סיסמא שונה. אין צורך להמציא צירופי אותיות ומספרים מסובכים שקשה לזכור אחר כך. התבססו על סיסמא בסיסית פשוטה, למשל - הסיסמא הנוכחית שלכם, והוסיפו לה, למשל, את האות הראשונה של שם האתר שאליו אתם נרשמים. לדוגמא: נניח שהסיסמא המקורית היא moshe2: סיסמת ה-Facebook שלכם תהיה moshe2f, הסיסמא בתפוז תהיה moshe2t, והסיסמא ב-Gmail תהיה moshe2g. אפשר כמובן להפוך את זה לקשה יותר ע"י הוספת שתי האותיות הראשונות של שם האתר, או שתי האותיות האחרונות, או האות הראשונה והאחרונה וכן הלאה. בכל מקרה, גם אם תבחרו רק אות אחת, הסיכוי שמישהו יצליח לעלות על הרציונל שבסיסמא שלכם - נמוך מאוד. היכנסו גם לאתרים שאליהם אתם כבר רשומים - ועדכנו את הסיסמא שלכם על פי הלוגיקה שהמצאתם לעצמכם. הצעד הזה יבטיח שגם אם מישהו הצליח לגנוב את הסיסמא שלכם מאתר אחד, הוא לא יוכל להיכנס איתה לאף אתר אחר, וכל זה בצעד פשוט, מהיר, וקל מאוד לזיכרון.

3. צרו לעצמכם כתובת מייל אחרונה, שתגבה באופן אוטומטי את הכתובת המרכזית שאתם משתמשים בה.
כדאי מאוד ליצור לעצמכם כתובת מייל נוספת, לגיבוי. בהגדרות הדואר של כתובת הגיבוי הזו, תגדירו לה לבצע "יבוא" אוטומטי, כל הזמן, של המיילים שאתם מקבלים לכתובת המרכזית, האישית, שלכם.
זה פשוט וקל מאוד לביצוע ב-Gmail, ומן הסתם גם לחברות אחרות יש כלי כזה. בכל פעם שיגיע לכם מייל לתיבה המרכזית, האישית, שלכם, הוא באופן אוטומטי יישמר גם בכתובת המייל החדשה שיצרתם לכם לגיבוי. אתם לא חייבים להיכנס לכתובת הזו אחת ליום וגם לא אחת לשבוע, רק תדאגו לבחור בשם משתמש וסיסמא שיהיה לכם קל לזכור. רצוי, אבל לא חובה, שהסיסמא תהיה שונה מהסיסמא בחשבון המרכזי שלכם, ניתן לבצע את זה על פי הלוגיקה שהצגתי בסעיף 2. הצעד הזה יבטיח שגם אם קרה הגרוע מכל, ומישהו הצליח לפרוץ באופן ישיר לכתובת המייל שלכם, הוא לא יצליח למנוע מכם גישה למיילים ולמסמכים שיש לכם במייל האישי.


כך, בשלושה צעדים פשוטים וקלים לביצוע, תוכלו לצמצם כמעט לאפס את הנזק שייגרם לכם אם ייגנבו  הכתובות והסיסמאות שלכם באתרים השונים ו/או בפריצה ישירה לכתובת הדוא"ל שלכם.

בהצלחה!

נ.ב.
אני אשמח מאוד לשמוע רעיונות פשוטים וקלים נוספים שישפרו את ההגנות האלה.
מי שיש לו רעיון - מוזמן להשאיר אותו בתגובות, לתועלת הציבור.

חושבים שהפוסט יכול להועיל לאנשים נוספים?   שילחו להם לינק, או שתפו אותו בעזרת כפתורי השיתוף שלמטה.

אשמח לקבל תגובות והערות גם במייל - myzarkor@gmail.com .

יניב טילינגר     Yaniv Tillinger