אבטחת סיסמאות בשנת 2026 היא הרבה יותר קשה מאשר לפני 5 שנים. השילוב של פיצוח המופעל על ידי AI, הפרות נתונים המוניות והתקפות של מילוי אישורים פירושו שרוב הסיסמאות ה"מאובטחות" כבר נפגעות.
האמת על סיסמאות:
- הסיסמה הממוצעת נמצאת ב-47 פרצות מידע ידועות (בדוק את שלך ב האם נפלתי)
- סיסמאות של 8 תווים עם רישיות מעורבות + מספרים + סמלים נסדקות תוך 39 דקות במעבדי GPU מודרניים
- סיסמאות אקראיות של 16 תווים לוקחות 5+ מיליארד שנים לפצח
- הדבר החשוב ביותר הוא LENGTH, לא מורכבות
אסטרטגיית 3 שכבות:
שכבה 1: חשבונות קריטיים (בנקאות, דוא"ל, מנהל סיסמאות)
- השתמש בסיסמה אקראית ייחודית של 25+ תווים
- אפשר 2FA עם אפליקציית אימות (Authy, Aegis) - לא SMS
- עבור דוא"ל + בנקאות, אפשר גם מפתח אבטחת חומרה (YubiKey 5 - $50)
- להחליף כל 12 חודשים
שכבה 2: חשבונות חשובים (קניות, מדיה חברתית, עבודה)
- סיסמאות אקראיות ייחודיות של 18 תווים
- 2FA מופעל
- נוצר על ידי מנהל הסיסמאות
שכבה 3: חשבונות בעלי ערך נמוך (פורומים, כלים בחינם, הרשמות חד פעמיות)
- סיסמאות אקראיות ייחודיות של 15 תווים (עדיין מנוהלות על ידי מנהל הסיסמאות)
- דלג על 2FA אם לא מוצע בקלות
- השתמש בכינויי אימייל (SimpleLogin, Apple Hide My Email) כדי להגביל את החשיפה
מנהלי סיסמאות שכדאי להשתמש בהם:
- 1 סיסמה ($36 לשנה) - הטוב ביותר בסך הכל, שיתוף משפחתי, הערות מאובטחות
- Bitwarden ($10 לשנה או בחינם) - קוד פתוח, פחות מלוטש אבל אמין
- מחזיק מפתחות של אפל (חינם) - בסדר אם אתה 100% מערכת אקולוגית של אפל
- לא LastPass (הפרות מרובות, אמון שאבד)
אימות דו-גורמי מדורג:
1. מפתח אבטחת חומרה (YubiKey, Titan) - חסין דיוג
2. אפליקציית Authenticator (Authy, Aegis, 1Password TOTP)
3. SMS (פגיע להחלפת SIM - השתמש רק אם שום דבר אחר לא זמין)
4. 2FA מבוסס דוא"ל (עדיף מכלום)
מחולל הסיסמאות החינמי הטוב ביותר: מחולל הסיסמאות של Wikishopline - מייצר סיסמאות אקראיות מאובטחות בדפדפן שלך, מעולם לא נשמרו, ללא הרשמה.
מיתוסים נפוצים שהופרכו:
- "שנה סיסמאות כל 90 יום" → הנחיית NIST מיושנת, מזיקה יותר מאשר מועילה
- "אל תכתוב סיסמאות" → בסדר אם ננעל פיזית, רק אל תאחסן בצורה דיגיטלית לא מוצפן
- "אותיות מעורבות + סמלים הופכים סיסמאות לאבטחות" → האורך משנה הרבה יותר
- "מילוי אוטומטי של דפדפן בסדר" → בסדר עבור חשבונות בסיכון נמוך; השתמש במנהל סיסמאות אמיתי עבור חשובים
מה לעשות אם הפרה:
1. בדוק האם נפלתי - מזהה אילו אתרים
2. שנה סיסמה באתר שנפרץ + כל אתר אחר באמצעות אותה סיסמה
3. הפעל את 2FA בכל החשבונות החשובים
4. לרוץ האם יש לי Pwned בדיקת סיסמה כדי לראות אם הסיסמה שלך מופיעה באופן ספציפי בפרצות