אימות דו-גורמי 2FA

אימות דו-גורמי 2FA

למה סיסמאות לא מספיק טובות?

לפני שנעסוק בשאלה מה זה אימות דו-גורמי או מה זה 2FA, בואו ניקח בחשבון מדוע חשוב לעשות כל שביכולתכם כדי לשפר את אבטחת החשבון המקוון שלכם . כשכל כך הרבה מחיינו מתרחשים במכשירים ניידים ובמחשבים ניידים, אין פלא שהחשבונות הדיגיטליים שלנו הפכו לאבן שואבת לפושעים. התקפות זדוניות נגד ממשלות, חברות ואנשים פרטיים נפוצות יותר ויותר. ואין סימנים לכך שהפריצות, הפרות הנתונים וצורות אחרות של פשיעת רשת מאטות!

למרבה המזל, קל לעסקים להוסיף רמה נוספת של הגנה לחשבונות משתמשים בצורה של אימות דו-גורמי, המכונה בדרך כלל 2FA.

עלייה בפשיעה ברשת דורשת אבטחה חזקה יותר עם 2FA

בשנים האחרונות אנו עדים לגידול עצום במספר האתרים שמאבדים נתונים אישיים של המשתמשים שלהם. וככל שפשעי רשת מתחכמים יותר, חברות מגלות שמערכות האבטחה הישנות שלהן אינן מתאימות לאיומים ולתקפות מודרניות. לפעמים זו טעות אנושית פשוטה שהותירה אותם חשופים. ולא רק אמון המשתמש יכול להיפגע. כל סוגי הארגונים – חברות גלובליות, עסקים קטנים, חברות סטארט-אפ ואפילו מלכ"רים – עלולים לסבול מהפסד כספי ומוניטין קשה.

עבור הצרכנים, תופעות הלוואי של פריצה ממוקדת או גניבת זהות עשויות להיות הרסניות. תעודות גנובות משמשות לאבטחת כרטיסי אשראי מזויפים ולמימון עלויות קניות, העלולות לפגוע בדירוג האשראי של הקורבן. וניתן לרוקן את כל חשבונות הבנקים והקריפטוגרפיים בן לילה . מחקר שנערך לאחרונה העלה כי בשנת 2016 נלקחו מעל 16 מיליארד דולר מ -15.4 מיליון צרכנים אמריקאים. מדהים עוד יותר, גנבים מזהים גנבו מעל 107 מיליארד דולר רק בשש השנים האחרונות.

ברור שאתרים מקוונים ואפליקציות חייבים להציע אבטחה הדוקה יותר. וככל שניתן, על הצרכנים להרגיל להגן על עצמם במשהו חזק יותר מאשר סיסמה בלבד. עבור רבים, רמת אבטחה נוספת זו היא אימות דו-גורמי.

אימות דו-גורמי 2FA
אימות דו-גורמי 2FA

סיסמאות:  פתרון גרוע אך עדיין בשימוש

כיצד ומתי סיסמאות היו כה פגיעות? בשנת 1961 פיתח המכון הטכנולוגי של מסצ'וסטס את מערכת שיתוף הזמן התואמת (CTSS). כדי לוודא שלכולם יש סיכוי שווה להשתמש במחשב, MIT דרשה מכל התלמידים להיכנס באמצעות סיסמה מאובטחת . די מהר, התלמידים הבינו שהם יכולים לפרוץ את המערכת.

למרות זאת, והעובדה שישנן אלטרנטיבות הרבה יותר מאובטחות, שמות משתמש וסיסמאות נותרים הצורה הנפוצה ביותר של אימות משתמשים. כלל האצבע הכללי הוא כי סיסמה צריכה להיות משהו שרק אתה יודע, בעוד שקשה לנחש מישהו אחר. ובעוד שימוש בסיסמאות עדיף על כל הגנה כלל, הם אינם חסינים בפני טיפשות, הנה למה:

  • לבני אדם יש זיכרונות עלובים. דו"ח שנערך לאחרונה בדק למעלה מ -1.4 מיליארד סיסמאות גנובות ומצא כי רובן פשוטות בצורה מביכה. בין הגרועים ביותר הם "111111", "123456", "123456789", "qwerty" ו- "סיסמה". קל לזכור את אלה, אך כל האקר הגון יכול לפצח את הסיסמאות הפשוטות הללו תוך זמן קצר.
  • יותר מדי חשבונות: ככל שמשתמשים נעים יותר לעשות הכל באינטרנט, הם פותחים יותר ויותר חשבונות. בסופו של דבר זה יוצר יותר מדי סיסמאות לזכור ומסלול דרך להרגל מסוכן: מיחזור סיסמאות. זו הסיבה שהאקרים אוהבים את המגמה הזו: תוכנות פריצה נדרשות שניות לבדוק אלפי סיסמאות כניסה גנובים מול בנקים מקוונים פופולריים ואתרי קניות. אם ממוחזרים שם משתמש וסיסמה, סביר מאוד להניח שהוא יפתח הרבה חשבונות עם אותם שמות משתמש וסיסמא.
  • עייפות אבטחה נכנסת: כדי להגן על עצמם, ישנם צרכנים שמנסים להקשות על התוקפים על ידי יצירת סיסמאות וביטויי סיסמה מורכבים יותר. אך מרוב הפרות נתונים שמציפות את רשת ה Darknet במידע של משתמשים, גם את הסיסמאות הכי מורכבות ניתן היום לאתר שם.

2FA להצלה

2FA היא שכבת אבטחה נוספת המשמשת כדי לוודא שאנשים שמנסים לקבל גישה לחשבון מקוון הם מי שהם אמורים להיות ולא מישהו מתחזה. ראשית, משתמש יזין את שם המשתמש והסיסמה שלו. ואז, במקום לקבל גישה מיידית, הם יידרשו לספק מידע נוסף. גורם שני זה יכול להגיע מאחת מהקטגוריות הבאות:

  • משהו שאתה יודע: זה יכול להיות מספר זיהוי אישי (PIN), סיסמה, תשובות ל"שאלות סודיות או דפוס הקשה ספציפי
  • משהו שיש לך: בדרך כלל, משתמש יהיה ברשותו, כמו כרטיס אשראי, טלפון חכם או אסימון חומרה קטן
  • משהו פיזי שלכם: קטגוריה זו מתקדמת מעט יותר ועשויה לכלול תבנית ביומטרית של טביעת אצבע, סריקת קשתית העין או הדפסה קולית

עם 2FA, כישלון אימות של אחד הגורמים הללו לא תפתח את החשבון שלכם. לכן, גם אם הסיסמה שלכם נגנבת או שהטלפון שלכם אבד, הסיכוי שמישהו אחר יקבל את המידע שלך מהגורם השני הוא מאוד לא סביר. אם מסתכלים על זה מזווית אחרת, אם צרכן משתמש נכון ב- 2FA, אתרים ואפליקציות יכולים להיות בטוחים יותר בזהות המשתמש ולפתוח את החשבון.

סוגים נפוצים של 2FA

אם אתר שאתה משתמש בו דורש רק סיסמה כדי להיכנס ואינו מציע 2FA, יש סיכוי טוב שבסופו של דבר הוא ייפרץ. זה לא אומר שכל 2FA זהה. כיום משתמשים במספר סוגים של אימות דו-גורמי ; חלקם עשויים להיות חזקים או מורכבים יותר מאחרים, אך כולם מציעים הגנה טובה יותר מאשר סיסמאות בלבד. בואו נסתכל על הצורות הנפוצות ביותר של 2FA.

אסימונים לחומרה עבור 2FA

ככל הנראה הצורה העתיקה ביותר של 2FA,  אסימוני חומרה  קטנים, כמו דיסק און קי שמייצרים קוד מספרי חדש כל 30 שניות. כאשר משתמש מנסה לגשת לחשבון, הוא מעיף מבט אל המכשיר ומכניס בחזרה לאתר או לאפליקציה את קוד 2FA המוצג. גרסאות אחרות של אסימוני חומרה מעבירות אוטומטית את קוד 2FA כאשר הם מחוברים ליציאת ה- USB של המחשב.

יש להם כמה חסרונות. עבור עסקים, המחיר של החומרה הזאת היא יקרה. וקל לאבד אותם. והכי חשוב, הם לא לגמרי בטוחים מפני פריצה .

הודעת טקסט SMS ו- 2FA מבוססי קול

2FA מבוסס SMS  מתקשר ישירות עם הטלפון של המשתמש. לאחר קבלת שם משתמש וסיסמה, האתר שולח למשתמש קוד גישה ייחודי חד פעמי (OTP) באמצעות הודעת טקסט. כמו תהליך אסימון החומרה, על המשתמש להזין את ה- OTP בחזרה ליישום לפני שהוא מקבל גישה. באופן דומה, 2FA מבוסס קול מחייג אוטומטית למשתמש ומספק מילולית את קוד 2FA. אמנם הוא לא נפוץ, אך עדיין משתמשים בו במדינות בהן סמארטפונים יקרים או שבהם שירות הסלולר גרוע.

לפעילות מקוונת אימות באמצעות טקסט או קול עשוי להיות כל מה שאתה צריך. אך עבור אתרים המאחסנים את המידע האישי שלך – כמו חברות שירות, בנקים או חשבונות דוא"ל – ייתכן שדרגה זו של 2FA אינה בטוחה מספיק . למעשה,  SMS נחשב לדרך הפחות בטוחה לאמת משתמשים. בגלל זה, חברות רבות משדרגות את האבטחה שלהן על ידי מעבר ל 2FA מבוסס SMS .

אסימונים לתוכנה עבור 2FA

הצורה הפופולארית ביותר של אימות דו-גורמי ( ואלטרנטיבה מועדפת ל- SMS וקול) משתמשת בקוד סיסמה חד פעמי מבוסס-תוכנה (שנקרא גם TOTP , או "soft-token").

ראשית, על המשתמש  להוריד ולהתקין אפליקציית 2FA בחינם בסמארטפון או בשולחן העבודה. לאחר מכן הם יכולים להשתמש באפליקציה עם כל אתר התומך באימות מסוג זה. בעת הכניסה, המשתמש מזין תחילה שם משתמש וסיסמה, ולאחר מכן, כאשר הוא מתבקש, הוא מזין את הקוד המוצג באפליקציה. כמו אסימוני חומרה, האסימון הרך תקף בדרך כלל פחות מדקה. ומכיוון שהקוד נוצר ומוצג על אותו מכשיר, אסימונים רכים מסירים את הסיכוי ליירוט האקרים. זה עניין גדול בשיטות SMS או מסירה קולית.

החשוב מכל, מכיוון  שפתרונות 2FA מבוססי אפליקציה זמינים לפלטפורמות ניידות, לבישים או שולחניים – ואפילו עובדים במצב לא מקוון – אימות משתמשים אפשרי כמעט בכל מקום.

הודעת דחיפה עבור 2FA

במקום להסתמך על קבלה והכניסה של אסימון 2FA, אתרים ואפליקציות יכולים כעת לשלוח למשתמש הודעת דחיפה כי ניסיון אימות מתרחש. בעל המכשיר פשוט מציג את הפרטים ויכול לאשר או למנוע גישה בנגיעה אחת . מדובר באימות ללא סיסמה ללא הזנת קודים וללא צורך באינטראקציה נוספת.

על ידי חיבור  ישיר ומאובטח בין הקמעונאי, שירות 2FA והמכשיר, הודעת דחיפה מבטלת כל הזדמנות לדיוג, להתקפות אדם באמצע או גישה לא מורשית. אבל זה  עובד רק עם מכשיר המחובר לאינטרנט, כזה שמסוגל להתקין אליו אפליקציות. כמו כן, באזורים בהם האינטרנט אינו אמין, 2FA מבוסס SMS עשוי להיות בעייתי. אך היכן שזו אפשרות, התראות דחיפה מספקות אבטחה ידידותית יותר ומאובטחת יותר .

צורות אחרות של אימות דו-גורמי

אימות ביומטרי 2FA, אימות שמתייחס למשתמש כאסימון, נמצא ממש מעבר לפינה. החידושים האחרונים כוללים אימות זהותו של האדם באמצעות  טביעות אצבע,  דפוסי רשתית וזיהוי פנים. נבדקים גם רעשי סביבה, דופק, דפוסי הקלדה והדפסים קוליים. זה רק עניין של זמן עד שאחת משיטות 2FA אלה תמריא … והאקרים ביומטריים יבינו כיצד לנצל אותם.

אל תלכו לאיבוד.....

צרו קשר איתנו, וקבלו מענה לכל השאלות שלכם

צרו קשר

דילוג לתוכן