יצירת סיסמאות חזקות – ההמלצות העדכניות

בשנים האחרונות גופי אבטחת מידע מובילים בעולם שינו את הגישה בכל הנוגע לסיסמאות. המלצות עדכניות מצד ארגונים כמו NIST האמריקאי ומרכז הסייבר הבריטי (NCSC) מדגישות: עדיף סיסמה ארוכה וקלה לזכירה על פני סיסמה "מסובכת" וקצרה. בעבר נהגו להמליץ על שילובי תווים מורכבים והחלפה תכופה של סיסמאות, אך כיום ידוע שסיסמה ארוכה (למשל ביטוי או רצף מילים) יעילה ובטוחה יותר, ואין צורך להחליפה לעיתים קרובות ללא סיבה.

להלן מספר המלצות של "עשה" ו"אל תעשה" כאשר אתם באים לבחור את הסיסמה הבאה שלכם:

עשה – טיפים ליצירת סיסמה חזקה

• העדיפו ביטוי סיסמה (Passphrase) ארוך: רצף מילים בעל משמעות עבורכם שקל לזכור אך קשה לניחוש. סיסמה באורך 12 תווים ומעלה חזקה לאין שיעור מסיסמה קצרה. למשל, בשיטת "שלוש מלים אקראיות" שממליץ מרכז הסייבר הבריטי, ניתן לבחור שלוש מילים לא קשורות ולחבר אותן לכדי ביטוי ייחודי (למשל: `נהרכלבשמש`). סיסמה ארוכה כזו יכולה להכיל גם רווחים וסימנים מיוחדים אם תרצו – תוספות שמחזקות עוד יותר את הסיסמה.
• שימוש בראשי תיבות של משפט משמעותי: בחרו משפט אישי והפכו אותו לראשי תיבות, תוך שילוב אותיות גדולות וקטנות, מספרים וסימנים.

למשל: *"גרתי פעם בקומה 10 ברחוב בן יהודה 32 תל אביב"* → `iUtl10f32bYsTLV`. השיטה יוצרת סיסמה קשה לניחוש אך קלה לזכירה עבורכם.

• שילוב תרגיל מתמטי עם מילים: שילוב בין מילה לבין תרגיל חשבון פשוט יכול לייצר סיסמה מקורית וחזקה, לדוגמה: `Hundred-3=97`.
• השתמשו בסיסמה ייחודית לכל חשבון: אל תמחזרו סיסמה ישנה לחשבון חדש. כך, גם אם חשבון אחד נפרץ – שאר החשבונות יישארו מוגנים.
• הפעילו אימות דו-שלבי (2FA): הוסיפו שכבת הגנה נוספת בכל חשבון אפשרי, כמו קוד חד-פעמי ב-SMS, אפליקציה או אימות ביומטרי. גם הסיסמה הטובה ביותר לא מספיקה לבדה מול שיטות פריצה מתוחכמות.
• שקלו שימוש במנהל סיסמאות – רק לאחר הפעלת אימות דו-שלבי (MFA) ועם סיסמת-מאסטר חזקה מאוד: מנהל סיסמאות הוא כלי מרכזי שיכול לייצר ולשמור סיסמאות ארוכות ומאובטחות לכל חשבון. אך חשוב: השתמשו בו רק לאחר שהפעלתם אימות דו-שלבי לחשבון שלכם במנהל הסיסמאות עצמו, וודאו כי סיסמת-האב שתבחרו היא מהחזקה ביותר – בהתאם לעקרונות המפורטים במסמך זה.

אל תעשה – טעויות שיש להימנע מהן

• אל תמחזרו ואל תשתפו סיסמאות: שימוש חוזר בסיסמה באתר אחר מסכן את כל החשבונות שלכם. ואל תשתפו אותה עם אחרים – אפילו לא עם אנשי תמיכה.
• אל תשתמשו במידע אישי כסיסמה: שמות, תאריכים, קבוצות אהודות – קל לנחש מידע כזה, במיוחד כשחלק ממנו גלוי ברשתות החברתיות.
• אל תבחרו סיסמאות נפוצות או צפויות: `123456`, `password`, `qwerty` – אלו סיסמאות שמופיעות ראשונות בכל ניסיון פריצה. גם תחליפים נפוצים כמו `0` במקום `O` או `$` במקום `S` לא באמת מקשים על תוקפים.
• אין צורך להחליף סיסמה טובה לעיתים קרובות: החלפה תכופה גורמת לעייפות ואימוץ סיסמאות חלשות יותר. החליפו סיסמה רק כשיש סיבה מוצדקת (למשל דליפה או חשד לפריצה).

לסיכום:

סיסמה חזקה היא:

• ארוכה (12 תווים ומעלה)
• ייחודית לכל חשבון
• קלה לזכירה (באמצעות שיטות כמו ביטויי סיסמה, ראשי תיבות או תרגיל מילולי-מתמטי)
• מגובה באמצעי אבטחה נוספים כמו אימות דו-שלבי

גם אם אתם משתמשים בכלי לניהול סיסמאות – עשו זאת בזהירות, ורק לאחר שווידאתם שיש שכבת אבטחה נוספת וסיסמת־על איכותית באמת.

זכרו: הגנה על החשבונות שלכם מתחילה בסיסמה – אך לא נגמרת בה.

לדיווח על אירוע סייבר / פישינג / פייק, מלאו את הטופס המקוון או חייגו למוקד 119 של מערך הסייבר הלאומי.