Brute Force ו-Credential Stuffing — ניחוש סיסמאות בקנה מידה
צוות CyberHub · לפני 17 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
תוקפים מנסים אינסוף סיסמאות (brute force) או משתמשים בסיסמאות שדלפו מאתרים אחרים (credential stuffing). נסביר ואיך עוצרים.
שתי מתקפות נפוצות על התחברות, ששתיהן מנצלות סיסמאות חלשות או חוזרות.
Brute Force — ניסוי וטעייה
התוקף מנסה המון סיסמאות אוטומטית עד שאחת עובדת. וריאציות:
- Dictionary attack — רשימת סיסמאות נפוצות.
- Password spraying — סיסמה אחת נפוצה ("Spring2026!") על הרבה חשבונות (מתחמק מנעילה).
Credential Stuffing — ניצול דליפות
התוקף לוקח שמות+סיסמאות שדלפו מאתר אחר ומנסה אותם אצלכם. עובד כי אנשים חוזרים על אותה סיסמה בכמה אתרים. זו הסיבה מספר 1 לפריצות חשבונות.
איך מתגוננים (כמשתמש)
- סיסמה ייחודית לכל אתר + מנהל סיסמאות.
- 2FA — חוסם גם אם הסיסמה דלפה.
- בדקו ב-haveibeenpwned אם דלפתם.
איך מתגוננים (כמפתח)
- הגבלת קצב ונעילה זמנית אחרי כשלונות.
- CAPTCHA בכניסות חשודות.
- בדיקת סיסמאות מול רשימות שדלפו.
- ניטור התחברויות חריגות.
הלקח: סיסמה חוזרת = פצצת זמן. ייחודיות + 2FA פותרים את רוב הבעיה.
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
🔴 עוד התקפה
SQL Injection מוסבר בפשטות
SQL Injection היא אחת החולשות הוותיקות והמסוכנות ב-web: התוקף 'מזריק' פקודות לבסיס הנתונים דרך שדה תמים. נסביר איך זה עובד ואיך מתגוננים.
XSS מוסבר — כשאתר מריץ קוד של תוקף בדפדפן שלכם
XSS (Cross-Site Scripting) היא חולשה שבה תוקף מזריק קוד JavaScript לאתר, והקוד רץ אצל משתמשים אחרים. נסביר את הסוגים ואיך מתגוננים.
Man-in-the-Middle — כשמישהו מקשיב באמצע
מתקפת MITM היא כשתוקף מתמקם בין שני צדדים ומיירט/משנה את התקשורת. נפוצה ברשתות Wi-Fi ציבוריות. נסביר ואיך מתגוננים.