הגדרת מדיניות סיסמאות חלשה היא אחת הטעויות הנפוצות ביותר בקרב ארגונים, גדולים כקטנים, ומהווה פרצת אבטחה משמעותית. מחקרים מראים כי כ-80% מפריצות הסייבר מתאפשרות בגלל סיסמאות חלשות וניתנות לניחוש על ידי תוקפים. סיסמאות הן הקו הראשון של ההגנה בפני פריצה לחשבונות ומערכות של הארגון, ולכן חשוב להגדיר מדיניות סיסמאות נכונה ויעילה שתקשה על האקרים לנחש אותן.
במאמר זה, נסקור את 10 הטעויות הנפוצות שארגונים עושים בעת הגדרת מדיניות סיסמאות, החל מאורך הסיסמא שאינו מספיק, העדר דרישה למורכבות הסיסמה כגון שילוב אותיות, מספרים ותווים מיוחדים, וכלה בהיעדר מדיניות מחייבת לעדכון סיסמאות בתדירות גבוהה. טעויות אלה חושפות את מערכות הארגון לסיכונים מיותרים מבלי שהדבר ניכר לעין בשגרה, אולם בקרות אירוע אבטחה הן עלולות להוביל לפריצה קלה והשלכות הרסניות.
ננתח ונסביר כל אחת מ-10 הטעויות הללו, ונציע דרכי פעולה מעשיות לתיקון המצב ושיפור משמעותי ברמת אבטחת המידע של הארגון. בסופו של המאמר יוכל כל ארגון לבחון את מדיניות הסיסמאות שלו, לזהות פערים ולשפר אותה במהירות וביעילות. הדבר עשוי לחסוך לארגון הוצאות עתק של טיפול באירועי אבטחת מידע ולשמור על שלמות נכסי המידע הקריטיים שלו מפני גורמים עוינים.
1.סיסמא קצרה מידי
הטעות הראשונה והנפוצה ביותר היא הגדרת אורך סיסמה קצר מדי של 6-8 תווים בלבד. אורך כה קצר מאפשר לתוקפים לנחש את הסיסמה באמצעות כוח גס בתוך שניות בודדות. מומלץ להגדיר אורך מינימלי של 12-14 תווים לפחות כדי להקשות משמעותית על ניחוש הסיסמה.
2. לא מספיק סוגי תווים
הטעות השנייה החוסר במורכבות בסיסמא כגון שימוש באותיות גדולות וקטנות, מספרים ותווים מיוחדים. סיסמה כגון "secret123" קלה לניחוש למרות אורכה. יש להוסיף דרישה לשילוב של לפחות 3 מתוך 4 סוגי התווים.
3.שימוש בסיסמא אישית
הטעות השלישית נפוצה במיוחד בקרב משתמשים עסקיים והיא שימוש במידע אישי או עסקי כחלק מהסיסמה, כגון שם, תאריך לידה, כתובת וכד'. יש לאסור במפורש שימוש במידע אישי בסיסמאות ולדרוש סיסמאות אקראיות לחלוטין.
4.תדירות החלפת סיסמא נמוכה
טעות נפוצה נוספת היא אי-דרישה להחלפת סיסמאות בתדירות גבוהה, למשל אחת ל-90 ימים. מחקרים הראו כי סיסמאות ארוכות אך ישנות פגיעות בפני שיטות ניחוש מתקדמות. חובה להגדיר מדיניות החלפה כל 45-60 ימים. כמו כן, לעיתים נמנעים מלהוציא מדיניות מחייבת ומטילים את האחריות להחלפה על המשתמשים. זהו כשל חמור מאחר ומשתמשים נוטים שלא להחליף ביוזמתם. יש ליישם מנגנון אוטומטי לכפיית החלפה תקופתית.
5.שימוש חוזר בסיסמאות ישנות
טעות קריטית נוספת שעולה לא פעם בסקר סיכונים אבטחת מידע היא שימוש חוזר בסיסמאות ישנות. מערכות ממוחשבות רבות נוהגות לאחסן את ההיסטוריה של הסיסמאות ולמנוע שימוש חוזר בהן, אולם לעיתים זה לא מיושם בשל עלויות תפעול. יש להטמיע שמירת היסטוריה וחסימת שימוש חוזר כברירת מחדל.
6.סיסמאות שמורות במאגרי מידע
עוד טעות שנסקור היא אי-הצפנת הסיסמאות במאגרי המידע. כאשר הסיסמאות מאוחסנות בטקסט גלוי קיים סיכון שמתקיף שיחדור לשרת יוכל לגנוב אותן בקלות ולעשות בהן שימוש להמשך חדירה ברשת. יש להטמיע אחסון מוצפן בתקן גבוה כמו AES-256 לכל מאגר סיסמאות.
7.שימוש חוזר בסיסמאות על ידי משתמשים שונים
טעות נפוצה היא העדר מדיניות סיסמאות נפרדת וייעודית למשתמשים בעלי הרשאות גבוהות וגישה למידע רגיש כגון מנהלי מערכות. לעתים מסתפקים באותה מדיניות סיסמה סטנדרטית לכל המשתמשים. בסקר סיכונים שנעשה בארגונים רבים הראה כי 80% מהפריצות מתבצעות דרך חשבונות מנהלי מערכות שנפרצו. יש ליישם מדיניות מחמירה ונפרדת עבור אותם משתמשים בכירים.
8.אין בדיקה של גורם מקצועי
כמו כן, טעות נפוצה היא אי ביצוע סקר סיכונים תקופתי לבחינה מחודשת של מדיניות הסיסמאות. מדיניות שהייתה טובה בעבר יכולה להפוך לפריצה בהווה עם התפתחות כלים וטכניקות חדישים לניחוש ושבירת סיסמאות. סקר סיכונים אחת לשנה לפחות חיוני כדי לוודא שהמדיניות עדיין אפקטיבית.
9.לחשוד בניסיונות כושלים
טעות נוספת היא אי-ניטור אירועי כניסה כושלים למערכות והתראות בזמן אמת על פעילות חשודה. סקרי סיכונים הראו שחודרים "מנסים את מזלם" בניחושים רבים לפני שהם מצליחים לפרוץ. אין להסתפק בחסימת גישה לאחר מספר ניסיונות כושלים, אלא לייצר התרעה מיידית כבר מהנסיון הראשון.
10. לא רק תוכנה
הטעות האחרונה היא אי-שינוי סיסמאות ברירת המחדל של יצרניות מוצרי תקשורת ואבטחה כגון מרכזיות, ראוטרים ודומיהם. סקר סיכונים מגלה שפעמים רבות הסיסמאות המקוריות נותרות ללא שינוי גם שנים ארוכות, ומהוות יעד קל לחדירה. יש להקפיד לשנות את כל הסיסמאות במוצרי צד ג' מיד עם הפעלה והתקנה ראשונית.
לסיכום, במאמר זה סקרנו 10 טעויות נפוצות שארגונים עושים בהגדרת מדיניות הסיסמאות שלהם, אשר משאירות אותם פגיעים להתקפות סייבר ופריצות נתונים. על כל ארגון לבחון את המדיניות הקיימת אל מול רשימת הטעויות, ולבצע את התיקונים הנדרשים בהקדם. מומלץ גם להזמין חברת סייבר מובילה לביצוע מבדק חדירה תשתיתי, שיכלול ניסיונות אותנטיים לפריצת סיסמאות, על מנת לבחון את עמידות הארגון בתנאים מעשיים. יישום נכון של מדיניות סיסמאות איתנה הוא הצעד הראשון והחיוני ביותר להגנה אפקטיבית מפני איומי הסייבר הגוברים כל העת.