דוחות חדשים חושפים: למרות איומי הסייבר - הסיסמה הכי נפוצה עדיין קלה לפיצוח

בעולם שבו כמעט כל שירות דורש שם משתמש וסיסמה, ב-2025 אנשים עדיין בחרו שוב ושוב בסיסמאות הכי צפויות שיש, ובראשן "123456", שממשיכה להיות אחת הסיסמאות הנפוצות בעולם.

לפי דוחות עדכניים של חברות האבטחה NordPass ו-Comparitech, הסיסמה "123456" שוב תפסה את המקום הראשון ברשימות הסיסמאות השכיחות, כשאחריה מופיעות וריאציות מספריות פשוטות כמו "12345678", "123456789", "12345" וגם "admin". בחלק מהדירוגים, רבע מבין אלף הסיסמאות הנפוצות מורכב מצירופי מספרים בלבד, מה שמוכיח שנוחות עדיין מנצחת את שיקולי האבטחה.

המחקרים מתבססים על ניתוח של יותר משני מיליארד סיסמאות אמיתיות שדלפו בפריצות ומאגרי מידע שונים ברחבי העולם. במילים אחרות, מספיק שאותה סיסמה חלשה חוזרת על עצמה בין כמה שירותים, ומתקפה אחת מוצלחת על שירות קטן יחסית יכולה להפוך מהר מאוד לדלת כניסה לחשבון דוא"ל, לרשתות חברתיות ואפילו לחשבונות ארגוניים רגישים. יש לזכור כי שנת 2025 התאפיינה בקפיצת מדרגה בפריצות ותקיפות בעזרת כלי AI, מה שהיה אמור להיות תמרור אזהרה רציני לכולנו.

"סיסמה חלשה היא כמו דלת סגורה בלי מנעול"

"בחירה בסיסמה קלה לניחוש דומה לסגירת דלת מבלי לנעול אותה באמת", אומר אלכס שטיינברג, מנהל מוצר בחברת האבטחה ESET בקומסקיור, המפיצה הרשמית של מוצרי החברה בישראל. "לתוקפים יש היום כלים אוטומטיים שמנסים כמויות עצומות של צירופי התחברות בזמן קצר, כך שבמקרים רבים הפריצה הראשונית בכלל לא דורשת מתקפה מתוחכמת - מספיק סיסמה חלשה או ממוחזרת שלא הייתה אמורה להגן על שום דבר חשוב".

ב-ESET מדגישים כי מי שמזהה את סיסמתו ברשימות הסיסמאות הנפוצות - או משתמש בסיסמאות כמו "123456", "12345678", "password" או וריאציות דומות, צריך להחליף אותה מיד ולהגדיר לכל שירות סיסמה שונה, ארוכה וחזקה. ההמלצה: לשלב אותיות גדולות וקטנות באנגלית, ספרות ותווים מיוחדים, ולוותר על שמות פרטיים, תאריכי לידה או רצפים צפויים.

שטיינברג מוסיף כי הפעלה של אימות דו שלבי (קוד ב-SMS, אפליקציית אימות או מפתח אבטחה פיזי) בחשבונות רגישים, כמו דוא"ל, שירותי ענן וחשבונות עסקיים, יכולה להפוך פריצה שבשגרה לסיפור כמעט בלתי אפשרי עבור תוקף מזדמן.

למה סיסמה "קטנה" יכולה לייצר נזק גדול

הסיכון גדל במיוחד בסביבות ארגוניות. שימוש בסיסמאות חלשות או ממוחזרות בחשבונות עבודה עלול להוביל לנזק כספי, השבתת מערכות, חשיפה רגולטורית ופגיעה במוניטין, לעיתים על בסיס משתמש אחד ש"נפל" על סיסמה גרועה. גם כאן, נקודת הכניסה הראשונית הרבה פעמים אינה מתקפה חדשה או מתוחכמת, אלא פשוט סיסמה שלא תוכננה מעולם להגן על מידע רגיש.

מחקרי Comparitech מצביעים על כך שחלק גדול מהסיסמאות שדלפו ב-2025 היו קצרות במיוחד, פחות מ-12 תווים, ורבות מהן התבססו כמעט רק על מספרים. מומחי אבטחה ממליצים כבר שנים לעבור לסיסמאות ארוכות יותר, לרוב 12 תווים ומעלה, שמקשות משמעותית על ניסיונות פריצה אוטומטיים.

במקביל, חסמי הכניסה לעברייני סייבר ממשיכים לרדת: מאגרי סיסמאות שדלפו זמינים בפורומים וברשתות מוצפנות, וכלי פריצה "מוכנים לשימוש" מאפשרים גם לתוקפים לא מקצועיים לבדוק בתוך שניות כמויות עצומות של פרטי התחברות.

בעוד חלק מהמשתמשים עדיין דבקים בסיסמאות קצרות, חלק מהפלטפורמות הגדולות כבר מנסות לדחוף את העולם לשלב הבא: התחברות ללא סיסמה, באמצעות passkeys וטכנולוגיות מבוססות FIDO. מיקרוסופט, למשל, כבר מגדירה ברירת מחדל של חשבונות חדשים ללא סיסמה, עם דגש על כניסה באמצעות passkeys, זיהוי ביומטרי ואפליקציות אבטחה.

גם שירותים של חברות כמו אפל וגוגל תומכים יותר ויותר ב-passkeys דרך מנהלי הסיסמאות המובנים בטלפונים ובדפדפנים, כשמנהל סיסמאות אחד יכול לשמש הן ליצירת סיסמאות חזקות והן לניהול מפתחות גישה. בפועל, ברוב המקרים מתקבל מודל היברידי, גם סיסמאות, גם אימות דו-שלבי וגם passkeys, כשהמשתמשים עוברים בהדרגה להרגלי התחברות בטוחים יותר.