מנהל סיסמאות

מנהל סיסמאות (בלועזית: Password Manager) הוא תוכנה, יישום או אתר אשר מאגד, מנגיש, מייצר ומנהל את סיסמאות המשתמש.

בשל המידע הרגיש המאוחסן בהם והשימוש היומיומי, שמים מנהלי הסיסמאות דגש גדול בעיקר על אבטחה וזמינות.

קיימים סוגים ושירותים רבים של מנהלי סיסמאות, חלקם אף בקוד פתוח וללא גישה מובנית לשירותי ענן.

לתוכנות מסוג זה יש מאפיינים רבים ושונים, אך לרוב הן מציעות:

• זמינות במגוון רחב של פלטפורמות ושימוש בשירותי ענן לנוחיות המשתמש בהזנת הסיסמה באופן אוטומטי.
• הצפנה במאגרי מידע למקרה של זליגת מידע או פריצה.
• אמצעי כניסה מאובטחים כגון אימות רב שלבי (MFA).
• שירות יצירת סיסמאות חזקות ושונות (בעלות אנטרופיה סטטיסטית גבוהה).
• מילוי הסיסמאות באופן אוטומטי בכניסה.

בנוסף הן יכולות להיכלל בתוך שירות/תוכנה אחר (כגון להיות מובנים בדפדפן).

קיימים מספר סוגים של מנהלי סיסמאות. להלן פירוט של הסוגים הנפוצים ביותר:^[1]

מנהלי סיסמאות אלה מובנים ישירות בדפדפני אינטרנט כמו Chrome, Safari, Firefox ו-Edge. הם מציעים גישה נוחה לניהול סיסמאות בסיסי במכשיר שבו נעשה שימוש בדפדפן. עם זאת, חלקם עשויים לא לכלול תכונות כמו סנכרון מאובטח בין מכשירים או הצפנה חזקה.

אלו יישומים עצמאיים המותקנים במכשירו של המשתמש. הם מציעים אבטחה חזקה היות שהסיסמאות מאוחסנות באופן מקומי, אך הגישה עשויה להיות מוגבלת למכשיר הספציפי הזה. מנהלי סיסמאות מקומיים בקוד פתוח כוללים לדוגמה את KeepassXC, KeePass ו-Password Safe.

מנהלי סיסמאות אלה מאחסנים סיסמאות בצורה מוצפנת בשרתים מרוחקים (בענן), ומאפשרות גישה ממכשירים נתמכים המחוברים לאינטרנט. הם מציעים בדרך כלל תכונות כמו סנכרון אוטומטי, שיתוף מאובטח והצפנה חזקה. דוגמאות למנהלי סיסמאות מסוג זה: 1Password, Bitwarden ו-Dashlane.

יישומים אלה מיועדים לעסקים ומשמשים (נוסף על ניהול הסיסמאות) גם לניהול אישורי גישה למידע בתוך ארגון. מנהלי סיסמאות אלה משתלבים עם שירותי ספרייה קיימים ומערכות בקרת גישה, ומציעים לרוב תכונות מתקדמות כמו הרשאות מבוססות תפקידים וניהול גישה מועדף. הספקים המובילים כוללים לדוגמה את CyberArk ו-Delinea (לשעבר Thycotic).

מנהלי סיסמאות אלה כוללים התקנים פיזיים, לרוב מפתחות USB. על ידי כך הם מספקים שכבת אבטחה נוספת לניהול סיסמאות. חלקם מתפקדים כאסימונים מאובטחים לגישה לחשבון/מסד נתונים, כגון Yubikey ו-OnlyKey, אשר מציע גם אחסון לא מקוון עבור סיסמאות.

לאדם הממוצע כיום יש מספר רב של חשבונות, ומטעמי אבטחה מומלץ ורצוי שבכל אחד מהם תהיה סיסמה טובה ושונה מסיסמאות בחשבונות אחרים.

על מנת לעמוד בכך, על המשתמש הממוצע לחשוב ולזכור בעצמו בכל פעם את הסיסמאות, דבר שנהפך קשה עד בלתי אפשרי לאחר מספר רב של חשבונות, ולכן הרוב המוחלט בוחר למחזר סיסמאות (כמו להוסיף אות או סימן בסוף או אף להשתמש בסיסמה גנרית), מה שמאפשר פריצה בקלות, במיוחד לאחר זליגות מידע או שימוש בהנדסה חברתית.

מנהל הסיסמאות מציג פתרון לבעיה זו בכך שהוא מאפשר ליצור סיסמה חזקה (בדר"כ בעלת אנטרופיה גבוהה, שכן המשתמש לא צריך לזכור אותה בע"פ) ושונה בכל פעם שנוצר חשבון, לאחר מכן על המשתמש רק לזכור את הסיסמה למנהל הסיסמאות עצמו (אשר מכיל את הסיסמאות הרצויות) ובכך יוכל לגשת לחשבונותיו השונים.

מנהל סיסמאות הוא עדיין נקודת תורפה גדולה שכן אם מתגלה הסיסמה אליו כל הסיסמאות של המשתמש יהיו חשופות (במידה ואין אימות רב שלבי), כמו כן אם החברה עצמה נפרצת ולא נקטה אמצעים כמו מדיניות אפס אמון והצפנות, הסיסמאות עלולות לדלוף.

בנוסף, מנהל הסיסמאות אינו מגן מפני הנדסה חברתית.

תוכנת מנהל הסיסמאות הראשונה הייתה Password Safe (אנ') שנוצרה על ידי ברוס שנייר (Bruce Schneier) (אנ'). תוכנה זו שוחררה כשירות חינמי ב-15 בינואר 2002. עקב מגבלות על יצוא תוכנות הצפנה של ארצות הברית שהיו בתוקף אז, רק אזרחי ארצות הברית וקנדה ותושבי קבע בארצות הברית הורשו להשתמש בה.

לאחר שגוגל כרום הפך לדפדפן הנפוץ ביותר, מנהל הסיסמאות של Google המובנה בדפדפן זה הפך למנהל הסיסמאות הנפוץ ביותר החל מדצמבר 2023.

• סיסמה
• סיסמה חד-פעמית