שוברות שמירה: מי מגן על המידע?

2016 היתה שנה שלילית למדי עבור אבטחת המידע הפרטי ברשת. השנה החולפת היתה עדה לחשיפת דליפת המידע האישי הגדולה ביותר מאז ומעולם, של פרטי מיליארד ממשתמשי יאהו שנגנבו בפריצה לאתר לפני שלוש שנים. זו היתה שנה שבה מספר מקרי הפריצות למאגרי נתונים של מידע אישי בארה"ב טיפס לשיא של 980 — 25% יותר מאשתקד לפי נתוני מרכז הסיוע לנפגעי גניבת זהות. ב־2016 נעשה לראשונה שימוש רחב היקף בהתקני אינטרנט הדברים שיצרו רשת בוטים בת מיליוני כתובות IP ששימשו למתקפות מניעת שירות אימתניות. ואם להאמין ל־CIA, זו היתה השנה שבה האקרים בשירות ממשלת רוסיה פרצו למחשבי המפלגה הדמוקרטית וגנבו תכתובות מייל במטרה להטות את תוצאות הבחירות בארה"ב.

בשנה האחרונה פרצה קבוצת ההאקרים OurMine לחשבונות הטוויטר של מייסד פייסבוק מארק צוקרברג, מנכ"ל גוגל סונדאר פיצ'אי ואפילו מנכ"ל טוויטר עצמה ג'ק דורסי. בשבוע שעבר OurMine הביכה גם את ענקית המוזיקה סוני, פרצה לחשבון הטוויטר הרשמי שלה ופרסמה ציוצים מזופים שיצרו גל שמועות על מותה של בריטני ספירס.

בריטני ספירס. האקרים שפרצו לטוויטר של סוני הפיצו שמועות על מותה צילום: איי אף פי

אף שפריצות ומתקפות על תשתיות מחשוב הן לרוב עניין מורכב שמתרחש הרחק מעיני הציבור, חלק משמעותי מהבעיה עדיין טמון בהרגלי אבטחת המידע של המשתמשים ובכישלון המתמשך של חברות הטכנולוגיה לשנות אותם. שתי הסיסמאות השכיחות ביותר זה מספר שנים רצופות הן עדיין 12345 ו־password, לפי נתוני חברת האבטחה SplashData. ולפי בדיקת מומחה אבטחה, 59% מהמשתמשים שסיסמאותיהם נגנבו בפריצה מוקדמת לשרתי סוני השתמשו באותן סיסמאות גם ביאהו. שיעורים בודדים מהמשתמשים בוחרים ססמאות חזקות באמת, שאורכן יותר מ־10 אותיות ומשלבות סוגים שונים של תווים. והפרקטיקה של שימוש חוזר באותן סיסמאות חלשות באתרים שונים הופכת פעולות כמו חטיפת חשבון טוויטר או פייסבוק לכאלו שאינן דורשות כמעט שום מיומנות טכנית מצד העבריינים.

חברות האינטרנט מוצאות את עצמן בין הפטיש לסדן: מצד אחד הן חוטפות את האש בעת פריצה לחשבונות, ומנגד הן מסתכנות באובדן משתמשים (והכנסות) כשהן מנסות לאלץ אותם לשפר את הרגלי האבטחה שלהם. פיתרון הביניים השכיח בשנים האחרונות — לספק למשתמש חיווי בולט על חוזקה של הסיסמה שלו מבלי לאלץ אותו לחזק אותה — עוצר את בריחת המשתמשים אבל ככל הנראה מסייע לחיזוק האבטחה במידה מוגבלת מאוד.

איור: ערן מנדל

פיתרון שעשוי לחולל שינוי מהותי בתופעה הוא ההטמעה של מנגנוני זיהוי דו־שלביים, כאלו שדורשים בנוסף לסיסמה להזין קוד זמני שנשלח באימייל, בהודעת טקסט או שנוצר באפליקציית המובייל של המשתמש. חברות האינטרנט הגדולות כמו גוגל, פייסבוק, טוויטר ומיקרוסופט כבר שילבו אפשרות זו בשירותיהן ופועלות ליידע את המשתמשים בקיומה ולשכנע אותם להפעיל אותה.

אך גם כאן קיימות שורת בעיות שמעכבות את הפיכת הזיהוי הדו־שלבי לטכנולוגיה משנת משחק. בתעשיות רבות, אפילו בתחומים רגישים כמו בנקאות, אימוץ השיטה על ידי ספקיות השירות רחוק מלהיות גורף. במקרים רבים מדובר במנגנון אופציונלי שהמשתמש נדרש להפעיל אקטיבית דרך תפריטי ההגדרות, ולא בכלי מחייב. אך יותר מכך, בגירסאות הפופולריות של הטכנולוגיה שמשתמשות בהודעת טקסט או אימייל כדי להעביר למשתמש את קוד הגישה קיימות חולשות אבטחה מובנות, שכבר אפשרו פיצוח בפרקטיקות של הנדסה חברתית.

יש עם זאת לא מעט צעדים שענקיות האינטרנט וחברות אחרות שמספקות שירותים דרך הרשת יכולות לבצע כדי לאפשר שימוש בטוח ורגוע יותר בשירותים שלהן. למשל, למצוא דרכים חכמות יותר לשכנע משתמשים לבחור בססמאות חזקות, כמו באמצעות תגמול סמלי כלשהו. להפוך את הזיהוי הדו־שלבי לברירת המחדל ולפרקטיקה מובנת מאליה ולעבור לצורות החזקות יותר שלו, כמו אפליקציית מובייל שמייצרת קוד זמני. להרחיב את האפשרות להזדהות באתרים ושירותי רשת עם חשבונות גוגל, פייסבוק או טוויטר המאובטחים יחסית, ובכך לצמצם את מספר מאגרי המידע שבהם נשמר מידע אישי. לשלב בדפדפנים מנגנונים שיתריעו בעת שימוש חוזר בססמאות. או לספק למשתמשים התרעות טובות ומהירות יותר כאשר מאגרי נתונים המכילים את פרטיהם נפרצים. 2017, אנחנו מקווים, תהיה השנה בה נראה תפנית חיובית בנושא.