ניהול סיסמאות בעסק: ממדיניות ועד מנהל סיסמאות ארגוני
17.68 מיליארד חשבונות שנפרצו כבר מסתובבים ברשת, ולפי Verizon אישורי גישה גנובים מעורבים ב-39% מהפרצות — והבעיה האמיתית היא סיסמאות ממוחזרות, לא חלשות. מדריך מעשי לעסק: מדיניות סיסמאות מודרנית לפי NIST 800-63B, מה תקנות אבטחת המידע הישראליות באמת דורשות, איך בוחרים ומטמיעים מנהל סיסמאות ארגוני — ומה עושים כבר היום עם Passkeys.
התוקף שנכנס למייל של מנהלת החשבונות לא ״פרץ״ לשום דבר — הוא פשוט התחבר. הסיסמה שלה למייל העסקי שימשה אותה גם באתר קניות שנפרץ לפני שנתיים, והצירוף מייל+סיסמה ישב מאז בקובץ דליפות שמסתובב ברשת. תוכנה אוטומטית ניסתה את הצירוף הזה מול מאות שירותים — ובמייל של העסק הוא עבד. מכאן הדרך קצרה: איפוס סיסמאות למערכות אחרות, חשבונית ״מעודכנת״ ללקוח עם מספר בנק אחר, וגישה לכל התכתובת העסקית. זה התרחיש הנפוץ באמת — לא האקר גאון שמנחש סיסמאות, אלא סיסמה ממוחזרת אחת שדלפה במקום אחר. ובדיוק בגלל זה, מדיניות סיסמאות טובה ב-2026 נראית שונה לגמרי ממה שרוב העסקים עדיין אוכפים.
מתקפת ״הצפת אישורים״: תוקפים לוקחים מיליוני צירופי מייל+סיסמה מדליפות ישנות, ומריצים אותם באופן אוטומטי מול שירותים אחרים — מייל, ענן, מערכות CRM, בנקאות. המתקפה מצליחה מסיבה אחת בלבד: אנשים משתמשים באותה סיסמה בכמה מקומות. לא צריך לנחש כלום — הסיסמה כבר ידועה, השאלה רק איפה עוד היא עובדת.
הבעיה האמיתית היא לא סיסמה חלשה — היא סיסמה ממוחזרת
כמה חומר גלם יש לתוקפים? מאגר Have I Been Pwned, שירות ההתרעה על דליפות של חוקר האבטחה טרוי האנט, מכיל נכון להיום 17.68 מיליארד חשבונות שנחשפו מ-1,015 אתרים שנפרצו. ב-2025 לבדו נוסף אליו מאגר Credential Stuffing אחד (Synthient) עם כמעט 2 מיליארד כתובות מייל ייחודיות וכ-1.3 מיליארד סיסמאות — מתוכן 625 מיליון סיסמאות שלא נראו באף דליפה קודמת. אלה לא נתונים תיאורטיים: אלה בדיוק הרשימות שנטענות לכלי התקיפה האוטומטיים.
והנזק מתועד היטב: לפי דוח חקירות הפרצות של Verizon (DBIR 2026), אישורי גישה גנובים מעורבים ב-39% מהפרצות שנחקרו. החשבון הפשוט של התוקף עובד ככה: עובד ממוצע מחזיק עשרות חשבונות, ואם אותה סיסמה חוזרת בעשרה מהם — מספיק שהחלש שבהם ידלוף כדי שכולם ייפלו, כולל המערכות של העסק. לכן היעד של מדיניות סיסמאות מודרנית הוא אחד: סיסמה ייחודית, ארוכה וחד-פעמית לכל מערכת. וכפי שנראה מיד, את זה אי אפשר להשיג עם חוקים על נייר — רק עם כלי.
מה NIST אומר היום: אורך במקום מורכבות, ובלי החלפות כפויות
הסטנדרט המקצועי המקובל בעולם לניהול אימות הוא NIST SP 800-63B האמריקאי, שגרסתו העדכנית (Revision 4) פורסמה באוגוסט 2025. הוא הופך על הראש כמעט כל מה שהיה כתוב במדיניות הסיסמאות הקלאסית של ארגונים:
- אורך הוא המדד המרכזי. סיסמה שמשמשת כגורם אימות יחיד חייבת להיות באורך 15 תווים לפחות; סיסמה שהיא חלק מאימות רב-שלבי — 8 תווים לפחות. והמערכת צריכה לאפשר סיסמאות ארוכות, לפחות עד 64 תווים — כדי לתמוך במשפטי-סיסמה.
- בלי חוקי מורכבות. התקן אוסר במפורש לדרוש תמהיל של אותיות גדולות, ספרות וסימנים. הדרישות האלה מייצרות דפוסים צפויים (!P@ssw0rd1) — לא אבטחה.
- בלי החלפה תקופתית כפויה. אסור לדרוש החלפת סיסמה לפי לוח זמנים; מחליפים סיסמה רק כשיש אינדיקציה שהיא נחשפה — ואז מיד. רוטציה כפויה גורמת לעובדים ״לקדם את הספרה בסוף״, וכל גרסה חדשה ניתנת לניחוש מהקודמת.
- בדיקה מול רשימת סיסמאות שדלפו. כל סיסמה חדשה חייבת להיבדק מול רשימה של סיסמאות נפוצות וסיסמאות שהופיעו בדליפות — ולהיפסל אם היא שם. שירות Pwned Passwords, למשל, מציע בדיקה כזו בחינם ומטפל ביותר מ-18 מיליארד בקשות בחודש.
- בלי רמזים ושאלות אבטחה. ״שם הנעורים של אמא״ הוא מידע שנמצא בפייסבוק, לא אמצעי אימות.
ההיגיון מאחורי כל השינויים זהה: המדיניות הישנה נלחמה במתמטיקה, והחדשה נלחמת בהתנהגות האנושית ובדליפות — כי שם המשחק האמיתי. סיסמה בת 8 תווים ״מורכבת״ שממוחזרת בין אתרים חלשה בהרבה ממשפט-סיסמה בן ארבע מילים שקיים רק במקום אחד.

רגע, ומה עם החוק הישראלי?
כאן נדרש דיוק, כי עסק ישראלי לא כפוף ל-NIST — הוא כפוף לתקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017. תקנה 9 לתקנות עוסקת בזיהוי ואימות, וקובעת לכל מאגר מידע חובה כללית להבטיח שהגישה נעשית רק בידי מורשים. למאגרים שחלה עליהם רמת אבטחה בינונית או גבוהה התקנה מוסיפה דרישות מפורשות: הזיהוי ייעשה ככל האפשר באמצעי פיזי הנתון לשליטתו הבלעדית של המורשה (כרטיס חכם או מפתח אבטחה — לא רק סיסמה); נוהל האבטחה חייב להסדיר את חוזק הסיסמה ואת מספר ניסיונות הגישה השגויים; נדרש ניתוק אוטומטי לאחר פרק זמן של אי-פעילות; ותדירות החלפת הסיסמאות תיקבע לפי תפקיד — ובכל מקרה לא תעלה על שישה חודשים.
שימו לב לפער: NIST כבר ויתר על החלפה תקופתית, אבל התקנות הישראליות עדיין דורשות החלפה לפחות אחת לשישה חודשים במאגרים ברמת אבטחה בינונית וגבוהה — והחוק גובר. המשמעות המעשית: במערכות שניגשות למאגר כזה שומרים על רוטציה כנדרש בתקנות, ובשאר המערכות מאמצים את הגישה המודרנית. מאז תיקון 13 הפרת תקנות אבטחת המידע היא גם עילה לעיצום כספי ישיר, כך שכדאי לדעת לאיזו רמת אבטחה המאגרים שלכם שייכים לפני שכותבים מדיניות.
מנהל סיסמאות ארגוני: הכלי שהופך מדיניות למציאות
וכאן האמת הפשוטה: אף עובד לא מסוגל לזכור סיסמה ייחודית בת 15+ תווים לכל אחת מעשרות מערכות. בלי כלי, המדיניות הכי טובה מתנקזת לאחת משתי תוצאות — מחזור סיסמאות או פתקים. מנהל סיסמאות ארגוני (Business Password Manager) פותר את זה: כספת מוצפנת שמייצרת סיסמה אקראית וייחודית לכל שירות, ממלאת אותה אוטומטית, ומשאירה לעובד לזכור סיסמת-אב אחת בלבד. הפתרונות הארגוניים המקובלים הם שירותי ענן ברישוי לעסקים; לארגונים עם דרישות מיוחדות קיימות גם חלופות בהתקנה עצמית (Self-Hosted). מה בודקים כשבוחרים:
- ארכיטקטורת Zero-Knowledge. הספק עצמו לא יכול לפענח את הכספות שלכם — ההצפנה נעשית אצלכם, לפני שהמידע עולה לענן.
- כספות משותפות (Shared Vaults) עם הרשאות לפי תפקיד. לסיסמאות שכל צוות צריך — סושיאל, ספקים, מערכת הנהלת חשבונות — במקום קובץ אקסל ״סיסמאות.xlsx״ שמשוכפל במיילים.
- חיבור למערכת הזהויות. התחברות ב-SSO, אכיפת אימות רב-שלבי על הכספת עצמה, וניהול אוטומטי של צירוף והסרת משתמשים (SCIM).
- ניטור דליפות מובנה. התרעה כשסיסמה של עובד מופיעה בדליפה חדשה, ודוח סיסמאות חלשות וממוחזרות ברמת הארגון.
- יומני ביקורת (Audit Logs). מי ניגש לאיזו סיסמה ומתי — קריטי גם לחקירת אירועים וגם לביקורות של לקוחות ורגולציה.
- תהליך עזיבה מסודר. כשעובד עוזב — ניתוק החשבון בלחיצה אחת, והכי חשוב: רשימה ברורה של הסיסמאות המשותפות שהיו לו, כדי להחליף אותן. הכספת המשותפת נשארת אצל העסק — הידע לא עוזב עם העובד.
Passkeys: מה שיחליף את הסיסמה — ומה עושים איתו כבר היום
במקביל לכל זה, תקן FIDO2 מקדם את המחליף האמיתי של הסיסמה: Passkey — מפתח קריפטוגרפי שנשמר במכשיר או במנהל הסיסמאות, והאימות מולו נעשה בטביעת אצבע או זיהוי פנים. אין סיסמה שאפשר לגנוב, לנחש או להדליף, ואין מה להקליד באתר פישינג — המפתח פשוט לא עובד מול דומיין מתחזה. אפל, גוגל ומיקרוסופט תומכות ב-Passkeys לרוחב המערכות שלהן, ורוב מנהלי הסיסמאות הארגוניים כבר יודעים לשמור ולסנכרן אותם. ההמלצה המעשית לעסק: לא לחכות. הפעילו Passkeys במערכות המרכזיות שכבר תומכות בהן — חשבונות Google Workspace או Microsoft 365 למשל — והשאירו את הסיסמה כגיבוי בלבד. המעבר יהיה הדרגתי ויימשך שנים, אבל כל מערכת שעברה ל-Passkey היא מערכת אחת פחות בסיכון פישינג.
תוכנית הטמעה בשישה צעדים
מניסיוננו, הטמעה של מנהל סיסמאות בעסק קטן-בינוני היא פרויקט של שבועות בודדים — אם עושים אותו בסדר הנכון:
- בחירה לפי הקריטריונים, לא לפי המחיר. השוו 2–3 פתרונות מול הרשימה שלמעלה; רישוי עסקי עולה בדרך כלל דולרים בודדים למשתמש לחודש.
- פיילוט קצר. שבועיים עם צוות אחד + גורם ה-IT. הפיילוט מגלה את החיכוכים האמיתיים לפני שהם פוגשים את כל הארגון.
- ייבוא והחלפה. מייבאים את הסיסמאות השמורות בדפדפנים, ואז עוברים על דוח הסיסמאות החלשות והממוחזרות — ומחליפים קודם את הקריטיות: מייל, בנקאות, ענן, מערכות ליבה.
- כספות משותפות לפי צוות. מעבירים את כל הסיסמאות המשותפות מהאקסל ומהוואטסאפ לכספות עם הרשאות מוגדרות — ומוחקים את העותקים הישנים.
- הדרכה ופריסה מלאה. חצי שעה לעובד מספיקה: סיסמת-אב חזקה (משפט של ארבע מילים ומעלה), התקנת התוסף והאפליקציה, ואיך שומרים סיסמה חדשה. מכאן — פריסה הדרגתית לכל הארגון.
- שגרה. מנהל הסיסמאות נכנס לתהליך קליטת עובד חדש ולצ׳קליסט עזיבה, ומישהו מוגדר כאחראי לעבור על התרעות הדליפות ודוח הבריאות אחת לחודש.

ההתנגדויות שתשמעו — והתשובות
- ״מנהל סיסמאות הוא נקודת כשל יחידה.״ תיאורטית נכון, ולכן בוחרים פתרון Zero-Knowledge ומגינים על הכספת ב-MFA. אבל ההשוואה הרלוונטית היא לא מול עולם מושלם — היא מול המצב הקיים: אותה סיסמה בעשרות אתרים, קבצי אקסל ופתקים. הכספת מנצחת בפער.
- ״העובדים לא יסתדרו עם זה.״ ההפך — אחרי שבוע של מילוי אוטומטי, אף אחד לא רוצה לחזור אחורה. ההתנגדות נעלמת כשמפסיקים גם לדרוש החלפת סיסמאות כל 90 יום.
- ״יש לנו SSO, לא צריך.״ SSO מצוין למערכות שמחוברות אליו — אבל בכל עסק יש זנב ארוך של עשרות שירותים שלא: ספקים, סושיאל, כלים קטנים. בשבילם בדיוק צריך את הכספת.
- ״אין תקציב.״ עלות שנתית של מנהל סיסמאות לעסק של 20 עובדים נמוכה מעלות של שעות ההשבתה הראשונות באירוע השתלטות אחד. זו אחת ההשקעות הזולות והאפקטיביות באבטחת מידע.
צ׳קליסט לשבוע הקרוב
- בדקו את כתובות המייל הארגוניות מול מאגר הדליפות — כך בודקים אם המייל והסיסמאות שלכם נחשפו.
- עדכנו את מסמך מדיניות הסיסמאות: אורך במקום מורכבות, ביטול החלפה תקופתית במערכות שאינן כפופות לתקנות, בדיקת סיסמאות חדשות מול רשימות דליפה.
- ודאו שאתם יודעים אילו מהמאגרים שלכם ברמת אבטחה בינונית או גבוהה — ושבמערכות שניגשות אליהם נשמרת החלפת סיסמאות לפחות אחת לשישה חודשים, כנדרש בתקנות.
- הפעילו אימות רב-שלבי על המייל, הענן ומנהל הסיסמאות — לפי מחקר של Microsoft מ-2023, MFA מפחית את סיכון ההשתלטות ב-98.56% גם כשהסיסמה כבר דלפה.
- בחרו 2–3 מועמדים למנהל סיסמאות ארגוני וקבעו פיילוט לצוות אחד.
- מפו את הסיסמאות המשותפות בעסק (Wi-Fi, סושיאל, ספקים, בנקים) — ותכננו את העברתן לכספת משותפת ואת החלפתן.
סיסמאות הן שכבת ההגנה הכי בסיסית של העסק — ובדיוק בגלל זה היא השכבה שהכי קל לתוקפים לנצל כשהיא מנוהלת לפי כללים של 2005. מדיניות מודרנית, מנהל סיסמאות ארגוני ו-MFA הם שלישייה שסוגרת את וקטור התקיפה הנפוץ ביותר — במאמץ קטן ובעלות נמוכה כמעט מכל השקעת אבטחה אחרת.
לא בטוחים איך מדיניות הסיסמאות שלכם עומדת מול התקנות ומול הסטנדרטים המקובלים? שירות ה-CISO החיצוני של Cybertis בונה לעסק שלכם מדיניות אבטחה מעשית — כולל בחירת והטמעת מנהל סיסמאות ארגוני — ומלווה אותה עד לשגרה. הפגישה הראשונה עלינו.
לשירות CISO כשירות*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. חובות אבטחת המידע החלות על עסק תלויות ברמת האבטחה של מאגרי המידע שלו ובנסיבותיו, ומחייבות בחינה פרטנית.*