בתור מנהל IT, אני נתקל כמעט כל יום באותו תרחיש. עובד או לקוח מנסה להתחבר למערכת, בוהה במסך, מנסה שלוש וריאציות של שם הכלב שלו בתוספת שנת הלידה, ננעל מחוץ לחשבון, ושולח לי הודעה בהולה לאפס לו את הגישה.
הבעיה היא לא הזיכרון של העובד. הבעיה היא שהמוח האנושי לא נועד לזכור שמונים מחרוזות אקראיות של אותיות, מספרים וסימנים. המציאות הזו מובילה אנשים לעשות את הדבר הכי מסוכן בעולם אבטחת המידע: למחזר סיסמאות.
רגע לפני שאנחנו צוללים להשוואה בין ענקית הטכנולוגיה גוגל לבין תוכנת הפרימיום 1Password, אנחנו חייבים להבין למה בכלל צריך את הכלים האלה.
למה חובה להשתמש במנהל סיסמאות?
מיחזור סיסמאות הוא החלום הרטוב של כל האקר. נניח שאתם משתמשים באותה סיסמה חזקה ומורכבת גם לג’ימייל שלכם, גם לפייסבוק וגם לאתר של חנות נעליים קטנה שקניתם בה פעם אחת. לחנות הנעליים אין תקציבי סייבר, והאתר שלה נפרץ. ההאקרים גונבים את בסיס הנתונים ומוכרים אותו ברשת האפלה. עכשיו, יש להם את כתובת המייל שלכם ואת הסיסמה.
הם מריצים סקריפטים אוטומטיים שמנסים את השילוב הזה על כל הבנקים, רשתות חברתיות ותיבות מייל אפשריות. ברגע שמיחזרתם, מספיקה פריצה לאתר הכי חלש בשרשרת כדי להפיל לכם את כל החיים הדיגיטליים.
מנהל סיסמאות פותר את זה. הוא מייצר עבור כל אתר סיסמה ייחודית, ארוכה ובלתי ניתנת לניחוש. אתם לא צריכים לזכור אותה, אלא רק סיסמת מאסטר אחת חזקה שפותחת את הכספת שלכם. בנוסף, מנהלי סיסמאות מגינים עליכם מפני אתרי פישינג מתקדמים. אם נכנסתם לאתר שמתחזה לבנק שלכם, העין האנושית אולי תפספס שכתובת ה-URL שונה באות אחת, אבל מנהל הסיסמאות לא יזהה את הדומיין ופשוט לא ימלא את הפרטים אוטומטית. זו חומת ההגנה האנושית והטכנולוגית הטובה ביותר שקיימת היום לכל משתמש.
השוואת פיצ’רים: משתמש פרטי מול משתמש פרטי
כדי לעשות סדר, בואו נשווה את השירות החינמי שמובנה בדפדפן כרום ובמכשירי אנדרואיד, מול שירות הפרימיום הייעודי של 1Password בגרסה הפרטית שלו.
| תכונה | גוגל מנהל סיסמאות | 1Password |
| עלות חודשית | חינמי לחלוטין | בתשלום מנוי חודשי או שנתי |
| פלטפורמות נתמכות | אנדרואיד, דפדפן כרום, אפל בסיסי | מותאם מקיף לווינדוס, מאק, לינוקס, אנדרואיד ואפל |
| אחסון קבצים מאובטח | לא קיים | קיים כולל מסמכים, צילומי דרכון ומפתחות תוכנה |
| התרעה על פריצות נתונים | קיים סריקה בסיסית ברשת האפלה | קיים מנגנון מתקדם שמתריע בזמן אמת |
| שיתוף סיסמאות בטוח | מסורבל מאוד תלוי משפחה גוגל | קל ונוח כולל שיתוף קישור מאובטח לזמן מוגבל |
| שמירת קודי אימות דו שלבי | לא קיים | קיים ומובנה בתוך המערכת |
| תמיכה ב-Passkeys | קיימת ומובנית היטב | קיימת ומנוהלת לרוחב כל המכשירים |
| הצפנה ואבטחה | מוצפן בשרתי גוגל תלוי אבטחת החשבון | הצפנת קצה לקצה בתוספת מפתח סודי ייחודי |
יכולות, יתרונות וחסרונות: גוגל מול המתחרה
היתרונות של גוגל:
היתרון העצום של הפתרון מבית גוגל הוא הנוחות והשקיפות שלו. הוא כבר שם. אם אתם משתמשים בדפדפן כרום ובמכשיר אנדרואיד, אתם אפילו לא צריכים להתקין שום דבר. הכל מסונכרן באופן מיידי, החוויה חלקה לחלוטין, והמערכת מציעה לשמור ולייצר סיסמאות באופן אוטומטי. היתרון השני הוא כמובן המחיר, מדובר בפתרון חינמי שנגיש למיליארדי משתמשים בעולם.
החסרונות של גוגל:
החיסרון המרכזי הוא התלות המוחלטת באקוסיסטם של חברה אחת. אם החלטתם יום אחד לעבור לדפדפן פיירפוקס או אדג’, או לעבור ממכשיר אנדרואיד לאייפון, חווית השימוש נפגעת משמעותית והמעבר של הנתונים מסורבל. בנוסף, חסרות כאן יכולות מתקדמות שנדרשות לאנשים שמנהלים חיים דיגיטליים עמוסים. אי אפשר לשמור שם הערות מאובטחות, קודי שחזור או כרטיסי אשראי באותה רמת אבטחה של כספת ייעודית.
היתרונות של 1Password:
המוצר הזה נבנה מראשיתו אך ורק למטרה אחת, וזה מורגש בכל קליק. הוא עובד בצורה מושלמת וזהה על כל דפדפן ועל כל מערכת הפעלה. היכולת לארגן סיסמאות בתגיות וכספות שונות, ולשתף סיסמה ספציפית עם בן זוג או שותף עסקי בצורה מאובטחת, היא פשוט פנטסטית. יתרון נוסף הוא מנגנון אזהרות האבטחה שסורק אתרים חלשים, מתריע על סיסמאות כפולות ומעדכן אם שירות שהשתמשתם בו נפרץ לאחרונה.
החסרונות של 1Password:
החסם העיקרי הוא כלכלי, מדובר בשירות שדורש תשלום חודשי או שנתי. מעבר לכך, נדרשת עקומת למידה קלה של התקנת אפליקציה ותוסף לדפדפן, והתרגלות להקשת סיסמת מאסטר בכל פעם שפותחים את הדפדפן מחדש, מה שעבור משתמשים מסוימים עלול להרגיש קצת פחות זורם מהשמירה האוטומטית של הדפדפן.
הקרב הגדול: מה מאובטח יותר ומה נוח יותר?
בגזרת האבטחה: הניצחון הולך בצורה חד משמעית ל-1Password. החברה משתמשת בארכיטקטורה שנקראת אפס ידיעה. זה אומר שגם אם מישהו יפרוץ מחר לשרתים של החברה, הוא ימצא שם רק ג’יבריש מוצפן. כדי לפתוח את הכספת חייבים שני דברים שנמצאים אך ורק אצלכם: סיסמת המאסטר שבראש שלכם, ומפתח סודי ארוך שנוצר לוקאלית על המכשיר שלכם בזמן ההרשמה. אף אחד בחברה לא יודע מה הם.
לעומת זאת, גוגל מאובטחת מאוד, אבל האבטחה שלה תלויה לחלוטין באבטחת חשבון הג’ימייל שלכם. אם מישהו השיג גישה לחשבון הגוגל שלכם, ולא הגדרתם אימות נוסף כמו אפליקציית מאמת או מפתח חומרה, הוא מקבל גישה ישירה לכל הסיסמאות שלכם. כל הביצים נמצאות בסל אחד, וזה סל שמושך הרבה מאוד אש מהאקרים.
בגזרת הנוחות: כאן הקרב צמוד יותר ותלוי בהרגלים שלכם. למשתמש הממוצע שחי אך ורק בתוך דפדפן כרום ומחזיק מכשיר אנדרואיד, הפתרון של גוגל ירגיש שקוף ונוח יותר. אין צורך להקליד סיסמת מאסטר פעמיים ביום. עם זאת, עבור משתמשי מחשבי אפל, או עבור מי שמשלב עבודה בין מערכות הפעלה שונות דפדפנים שונים וטלפונים סלולריים של יצרניות שונות, הנוחות של מוצר צד שלישי שמרחף מעל כולם היא מנצחת.
הרישוי העסקי: להכניס סדר לארגון
כשעולים לרמת הארגון והעסק, התמונה משתנה לגמרי. כמנהל IT, אני יכול לומר לכם שניהול הרשאות הוא אחד הכאבים הכי גדולים בעסק.
יש בהחלט אפשרות לרכוש רישוי עסקי ב-1Password. הגרסה העסקית מאפשרת למנהלי המחשוב בארגון לפתוח כספות צוותיות. אפשר להגדיר שכל צוות השיווק מקבל גישה לכספת שמכילה את הסיסמאות לרשתות החברתיות של החברה, בזמן שצוות הפיתוח מקבל גישה לשרתי הקוד. כשעובד עוזב את החברה, מנהל המערכת מנתק אותו מהכספת בלחיצת כפתור אחת, וכל הסיסמאות נשארות בארגון. בנוסף, הגרסה העסקית מתממשקת למערכות ניהול זהויות ארגוניות כך שעובדים יכולים להתחבר לכספת דרך חשבון המיקרוסופט או הגוגל הארגוני שלהם.
הפתרון של גוגל בסביבה העסקית מנוהל דרך מערכת הניהול המרכזית של גוגל וורקספייס. אפשר לאכוף שם מדיניות סיסמאות ולדרוש אימות נוסף מהעובדים, אבל אין שם מערכת כספות צוותית אמיתית וחלוקת משאבים היררכית ברמה שמספק מוצר ייעודי. זה פתרון שמתאים לעסקים קטנים מאוד, אבל ארגונים בצמיחה חייבים לעבור לכלי ייעודי.
שאלות נפוצות בנושא מנהלי סיסמאות
1. האם זה לא מסוכן לשים את כל הסיסמאות במקום אחד?
זו השאלה הנפוצה ביותר. נכון, כל הביצים בסל אחד, אבל הסל הזה עשוי מטיטניום משוריין לעומת סלסלת הפלסטיק של הזיכרון האנושי. מנהלי סיסמאות משתמשים בהצפנות צבאיות. הסיכון שמישהו יפרוץ למנהל הסיסמאות שלכם שואף לאפס אם יש לכם סיסמת מאסטר חזקה ואימות נוסף. הסיכון שמישהו יפרוץ אליכם כי השתמשתם באותה סיסמה חלשה בשלושה אתרים שונים הוא ודאי כמעט לחלוטין.
2. מה קורה אם שכחתי את סיסמת המאסטר שלי?
בגוגל אפשר לשחזר גישה באמצעות תהליך שחזור החשבון הרגיל שלהם עם מייל חלופי או מספר טלפון. בתוכנות ייעודיות בארכיטקטורת אפס ידיעה, המצב קשוח יותר. החברה לא יודעת את הסיסמה שלכם ולא יכולה לשחזר אותה עבורכם. אם איבדתם את הסיסמה ואת מפתח השחזור שהדפסתם בהרשמה, הקבצים שלכם אבודים. זה המחיר של פרטיות מוחלטת.
3. איך אני מעביר את כל הסיסמאות שלי מגוגל לתוכנה חדשה?
התהליך פשוט מאוד. בתוך ההגדרות של דפדפן כרום יש אפשרות לייצא את כל הסיסמאות לקובץ טקסט פשוט. את הקובץ הזה אתם מייבאים לתוך התוכנה החדשה. לאחר מכן, חובה למחוק את קובץ הטקסט מהמחשב ולרוקן את סל המיחזור, כי הוא מכיל את כל המידע שלכם בצורה גלויה.
4. האם החברות האלה יכולות לראות את הסיסמאות שלי?
חברות שמכבדות את עצמן ומשתמשות בהצפנה מקומית לא יכולות לראות שום נתון שלכם. ההצפנה והפענוח קורים אך ורק על המכשיר שלכם. מה שעולה לשרתי החברה הוא קובץ חסר משמעות שאפשר לפתוח רק עם המפתח המקומי שלכם.
5. מה זה בכלל מפתחות אבטחה והאם הם יחליפו את מנהלי הסיסמאות?
הטכנולוגיה החדשה מאפשרת להתחבר לאתרים באמצעות טביעת אצבע או זיהוי פנים במקום להקליד סיסמה. זה בטוח הרבה יותר כי אין סיסמה שאפשר לגנוב. למרות זאת, הטכנולוגיה עדיין לא נתמכת בכל האתרים. מנהלי הסיסמאות המובילים כיום כבר תומכים באחסון המפתחות האלה, כך שהם לא נעלמים אלא פשוט עוברים לנהל עבורנו את מפתחות האבטחה במקום את הסיסמאות המסורתיות.
6. האם אני חייב אימות דו שלבי אם יש לי מנהל סיסמאות?
חד משמעית כן. מנהל סיסמאות פותר את בעיית מורכבות הסיסמה ומיחזור הסיסמאות. אימות דו שלבי פותר את הבעיה של פריצה במקרה שהסיסמה בכל זאת נגנבה בדרך כלשהי כמו תוכנה זדונית על המחשב. שני האמצעים האלה יחד הם בסיס הברזל של אבטחת מידע מודרנית ואי אפשר לוותר על אף אחד מהם.
כתיבת תגובה
יש להתחבר למערכת כדי לכתוב תגובה.