19 מיליארד סיסמאות דלפו השנה. נחשו מה עדיין במקום הראשון?

94% מהסיסמאות שדלפו לא היו ייחודיות, ובראשן "123456" כמובן

{ אבטחה וסייבר }
ניב גילינסקי
6.5.25

תמונה: נוצרה באמצעות ChatGPT

קבלו נתון מטריד: מעל 19 מיליארד סיסמאות דלפו השנה. ומבין כולן, 94% לא היו ייחודיות. כן, כמעט כולכם, או לפחות המשתמשים שאתם אחראים עליהם, ממחזרים סיסמאות כאילו אנחנו עדיין ב-2007.

אתם יודעים בדיוק על מה מדובר. "123456", "admin" או פשוט "password" עדיין מככבות במיליוני חשבונות, כולל חשבונות עבודה, שירותי ענן, מערכות קריטיות ואפילו פאנלים לניהול רשת. וזה לא רק המשתמשים. גם הארגון לא יוצא נקי. יותר מדי מערכות עדיין מגיעות עם סיסמאות ברירת מחדל, ואף אחד לא טורח להחליף אותן. נתב שמגיע עם "admin/admin"? נשאר ככה. פורטל ERP עם סיסמה זמנית? נשאר זמני לנצח. ואז, כשיש דליפה, אתם מתחילים להתרוצץ ולמזער נזקים.

המחקר שמנפץ לכם את האשליה

הנתונים מגיעים ממחקר חדש של Cybernews, שבחן כ־200 מקרים של דליפות מהשנה החולפת, שכללו כ-19 מיליארד סיסמאות שנפגעו והציג כמה מסקנות מביכות:

  • הסיסמה "123456" עדיין במקום הראשון, עם יותר מ־338 מיליון הופעות.

  • "admin" ו־"password" לא נעלמו. הן עדיין נפוצות מדי.

  • שמות פרטיים הופיעו בכ־8% מהסיסמאות, השם Ana לבדו הופיע ב־178 מיליון מהן.

  • גם מילים חיוביות, שמות של דמויות (Mario, Joker, Thor), קללות, ערים, מאכלים ובעלי חיים חוזרים שוב ושוב.

  • כמעט חצי מהסיסמאות היו באורך של 8-10 תווים, כי זו הדרישה המינימלית ברוב האתרים. שליש כללו רק אותיות קטנות ומספרים, בלי אותיות גדולות או סימנים.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

מתכון בטוח לאיבוד כל המשתמשים

חשוב להבין: מספיק שתדלוף סיסמה אחת וההאקר ינסה אותה בכל שירות אפשרי. אם זו אותה סיסמה ל־VPN, ל־Office 365 ולפאנל הניהול שלכם – הפריצה היא לא עניין של אם, אלא של מתי. האשמה היא לא רק על משתמשים עצלנים, גם מנהלי המערכת לא תמיד עושים את מה שצריך ולא פעם רואים בארגונים מדיניות סיסמאות רופפת, בלי החלפה תקופתית, בלי מעקב אחרי שימוש חוזר, ולעיתים אפילו בלי MFA.

אז מה כן עושים? הנה הרשימה ש-Cybernws ממליצים לתלות על הקיר:

  • הפעילו מנהל סיסמאות ארגוני. עכשיו.

  • דרשו לפחות 12 תווים, עם שילוב של אותיות גדולות, קטנות, מספרים וסימנים.

  • אכפו MFA בכל שירות אפשרי.

  • בדקו מי לא החליף סיסמה כבר שנה ותחסמו את החשבון עד שזה יקרה.

  • סרקו דליפות סיסמאות באופן שוטף. יש כלים שעושים את זה בזמן אמת.

כי אם אתם לא תעשו את זה, מישהו אחר כבר יעשה את זה בשבילכם. והוא לא בצד שלכם של הפיירוול.

מיקרוסופט מודיעה: אין יותר סיסמאות

 

תגיות: , , , , , ,

Geektime Insider

הבא
הקודם

אירועים קרובים

לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

הקודם
הבא