מה זה 'אימות כפול' ולמה זה בדיוק מה שחסר לכם

כולכם ודאי שמעתם המלצות למה אתם צריכים להשתמש בסיסמאות חזקות לחשבונות ולפרופילים המקוונים שלכם, אבל ודאי גם שמעתם שכל סיסמה יכולה להיפרץ עם הכלים המתאימים וקצת סבלנות. גיל נוילנדר, מנכ"ל ESET ישראל, מסביר מה זה אימות כפול ולמה כדאי להתחיל להשתמש בו כבר עכשיו.

מימי בראשית (של האינטרנט) היו הסיסמאות המנגנון היחידי שהפריד בין המידע האישי שלנו, לבין עיניהן הבוחנות של המוני הגולשים במרחב הווירטואלי. ולמרות שמפתחים בכל העולם מנסים לפתח חלופה ראויה ובטוחה יותר, עדיין הסיסמאות הן הכלי הנפוץ ביותר לשמירה על מידע אישי ברשת. אבל האם הוא מספיק?

אנחנו מדגישים פעמים רבות ללקוחותינו ולקוראנו על החשיבות של סיסמה חזקה. וכשאנחנו אומרים סיסמה חזקה אנחנו מתכוונים לשילוב אקראי של אותיות, ספרות וסמלים שלא ינחשו בקלות על ידי אדם מזדמן, ושלא יפרצו בקלות על ידי הכלים המתקדמים יותר של האקרים מיומנים.

למה שמישהו ירצה את הסיסמה שלי?

אנשים רבים שואלים אותי "אבל למה שמישהו ירצה את הסיסמה שלי? מה כבר יש לי להסתיר?" ובכן, גם אם אתם לא "ידוענים" וגם אם מדובר בחשבונות מדיה חברתית או דואר אלקטרוני, לפושעי הסייבר יש הרבה מה לעשות עם מידע אישי שזולג מהחשבונות שלכם, החל מגניבת זהות ועד ביצוע מעשים פליליים.

לצורך הדוגמה, אם מישהו השיג את סיסמת הפייסבוק שלכם, הוא יכול לשלוח לאנשים הודעות בשמכם או לפרסם בשמכם דברים על הקיר שלכם. ההודעות שהוא שולח עלולות להכיל תוכנות זדוניות ווירוסים ולהישלח לכל חברי הפייסבוק שלכם. חשיפה של סיסמת הג'ימייל שלכם עלולה להיות אפילו מסוכנת יותר, במיוחד אם אתם בעלי סמארטפון מבוסס אנדרואיד. סיסמת הג'ימייל שלכם היא למעשה אותה סיסמה לכל שירותי גוגל – כולל חנות האפליקציות Google Play, דרכה ניתן להתקין לכם אפליקציות על המכשיר מרחוק.

מנגנון האימות הכפול

בנוסף לסיסמה הרגילה שלכם, מנגנון האימות הכפול יצריך מכם להזין קוד אימות חד פעמי שבדרך כלל נשלח אליכם בהודעת טקסט או נוצר על ידי אפליקציה ייעודית. כלומר, אם עד היום, כאשר רציתם להיכנס לחשבון הג'ימייל שלכם נדרשתם להזין סיסמה בלבד, עם מנגנון האימות הכפול תתבקשו לבצע צעד נוסף – הזנת קוד האימות שנשלח אליכם לנייד – לפני שתוכלו להתחבר לחשבון שלכם.

בשביל הגולש הפשוט 'מנגנון האימות הכפול' עלול להיראות ככאב ראש מיותר. זה מספיק גרוע בשבילו שהוא צריך לזכור כל מיני סיסמאות בראש (ובדרך כלל הוא משתמש באותה סיסמה לכל השירותים אליהם הוא מנוי) ועכשיו אנחנו עוד רוצים שהוא יכניס קוד נוסף שהוא קיבל ב SMS, כשכל מה שהוא רצה זה להתחבר לחשבון הפייסבוק שלו. אבל חשוב להבין ולהפנים ששימוש במנגנון אימות דו-שלבי כזה יכול להיות ההבדל בין הפיכת קורבן לבין להיות מוגן, והאמת היא שזה לא כל כך נורא.

גוגל, טוויטר, Dropbox ו- לינקדאין הם רק חלק קטן מהשירותים המקוונים שממליצים לגולשים שלהם לעבור לשיטת האימות הכפול כמנגנון אבטחה אופציונלי נוסף - ולא בכדי. לינקדאין וטוויטר, לדוגמה, הוסיפו את האופציה רק לאחר כמה מתקפות סייבר רציניות, שגרמו לדליפה של כמה מיליוני סיסמאות, של השרתים שלהן. זה לא מן הנמנע שבעתיד אנחנו נראה שירותים מקוונים שמחייבים את המשתמשים שלהם להשתמש במנגנון אימות כפול, אבל אם זה יקרה, זה יתרחש באופן הדרגתי ותלוי הרבה במידת האימוץ של המנגנון, באופן התנדבותי, על ידי המשתמש הביתי.

בטוח בעשרות מונים משימוש בסיסמה בלבד

שימוש במנגנון אימות כפול מעלה את רמת האבטחה של המשתמש בעשרות מונים לעומת שימוש במנגנון הסיסמה הבודדת המקובל היום. הרבה ממתקפות הסייבר הרציניות יותר, עליהן שמענו בשנים האחרונות, לא היו צולחות אם מנגנון כזה היה בשימוש. שכן, ללא קוד האימות ההאקר לא היה מצליח להיכנס לחשבונות הקורבנות, אפילו אם היו ברשותו הסיסמאות.

חשוב לזכור - לא קיימים פתרונות קסם, ולכל מנגנון אבטחה יש נקודות תרפה או מעקפים. מנגנון האימות הכפול הוא אמנם הרבה יותר בטוח מסיסמה רגילה, והרבה יותר פשוט מאבטחה ביומטרית, אך האקרים מנסים, ולפעמים גם מצליחים, למצוא דרכים לעקוף גם אותו. אבל שימוש במנגנון האימות הכפול שם אתכם אוטומטית בקבוצה פחות אטרקטיבית לפושעי הרשת, והם יעדיפו להתמקד במשתמשים בקיאים פחות בנושא האבטחה שעדיין משתמשים בסיסמה "1234". 

איך מפעילים את השירות?

כאמור, הרבה מהשירותים המקוונים שלכם כבר מציעים לכם לעבור למנגנון אימות כפול, אך ייתכן שאינכם יודעים את זה. לרוב, תמצאו את הרישום והפעלת המנגנון תחת 'הגדרות פרטיות' או 'אבטחה', וברוב המקרים האתר גם ילווה אתכם בתהליך הרישום והפעלת השירות בצורה די קלה וברורה.

האם כדאי להפעיל אימות כפול בכל אתר?

הרבה מאיתנו נרשמים שירותים מקוונים רבים ולעיתים לא מרבים להשתמש בהם. אין צורך של ממש להשתמש במנגנון האימות באתרים שלא מכילים מידע אישי או רגיש אודותיכם, אך המצב הוא שונה כשמדובר באתרים כמו רשתות חברתיות בהן אתם נחשבים למשתמשים פעילים, או באתרי אחסון כ Dropbox ודומיו.

הפעלתי את השירות, האם אני חסין מפריצות?

לא, אבל האימות הכפול מוסיף לך שכבת אבטחה נוספת שהופכת אותך למטרה הרבה פחות אטרקטיבית בעיני ההאקרים. אבל זה לא אומר שאתה חסין, קיימות הונאות אינטרנט שונות שעלולות לגרום לך להוריד אפליקציות או תוכנות מזויפות המתחזות לאפליקציות אמיתיות, ובכך לעקוף את מנגנוני האימות. אבל לרוב מנגנון האימות הכפול מציע שכבת הגנה בעלת ערך רב לגולשים.

בנוסף, אם כבר הפעלת את שירות האימות ולפתע אתה מקבל SMS עם קוד הכניסה לשירות, מבלי שניסית להיכנס לחשבון שלך, אתה מיד יכול לדעת שמישהו מנסה להיכנס לחשבון שלך ותוכל להחליף את הסיסמא מבלי שהמידע שלך עמד בסיכון.

האם הגולש הממוצע באמת יכול להפיק תועלת מהשירות?

בהחלט כן. גם אם אינך בעל עסק או רשת מחשבים, המידע האישי שלך הוא מספיק חשוב. דוגמה לכך הוא שימוש בשירותי אחסון הקבצים כדוגמת Dropbox – בו משתמשים אנשים רבים כדי לאחסן את התמונות המשפחתיות שלהם או מידע אישי אחר, או פייסבוק שבנוסף לתמונות וקבצים מכיל גם הרבה מידע אישי ואת העדפות שלנו בכל מיני נושאים.

האם מנגנון האימות יכול לעזור גם לעסק שלי?

בוודאי. מסקר שערכנו לאחרונה עולה ששני שליש מהחברות שמאפשרות לעובדים שלהן לעבוד באמצעות חיבור מרחוק או הבית לא מספקות גישה מאובטחת לרשת הארגונית, ובכך מעמידה את המידע הארגוני בסכנה. מנגנוני אימות כפולים קיימים גם לסביבה הארגונית, ויכולים לתת למעסיקים לאפשר עבודה מרחוק ועדיין לשמור על רמת אבטחה טובה.

לכתבות נוספות בנושא אבטחה, מחשבים ואינטרנט

גיל נוילנדר - מנכ"ל ESET ישראל

ESETאודות

חברת ESET הינה ספקית בינלאומית של תוכנת האנטי וירוס NOD32 וחבילת האבטחה ESET Smart Security לארגונים בגדלים שונים וצרכנים פרטיים. החברה מיוצגת ברחבי העולם כולו ביותר מ-180 מדינות וסניפיה המרכזיים ממוקמים היום באנגליה, ארגנטינה, סלובקיה וכמובן ארצות הברית. בישראל, מיוצגת ESET באופן בלעדי על ידי חברת קומסקיור, המפעילה בארץ מרכז פתרונות ותמיכה טכניים בשפה העברית.