מציאות שבה הסיסמאות ה"רגילות" כבר אינן מספקות כדי להגן על החיים הדיגיטליים שלנו היא לא רחוקה, למעשה היא כבר ממש כאן. גיל נוילנדר, מנכ"ל ESET ישראל, מסביר למה זה הזמן לעבור לאימות כפול, ומרגיע – זה פחות מסובך ממה שזה נשמע.
במהלך השנתיים האחרונות ראינו יותר ויותר שירותים מקוונים (טוויטר, פייסבוק, Dropbox ועוד) מציעים למשתמשים שלהם לעבור לשיטת האימות הכפול או "אימות דו-שלבי", המספק לגולשים שכבה נוספת להגנה על החשבונות שלהם מפני פריצה או ניסיונות פישינג (גניבת סיסמאות).
בנוסף לסיסמה הרגילה שלכם, מנגנון האימות הכפול יצריך מכם להזין קוד אימות חד פעמי שבדרך כלל נשלח אליכם בהודעת טקסט או נוצר על ידי אפליקציה ייעודית. כלומר, אם עד היום, כאשר רציתם להיכנס לחשבון הג'ימייל שלכם נדרשתם להזין סיסמה בלבד, עם מנגנון האימות הכפול תתבקשו לבצע צעד נוסף – הזנת קוד האימות שנשלח אליכם לנייד – לפני שתוכלו להתחבר לחשבון שלכם.
בשביל הגולש הממוצע מנגנון האימות הכפול עלול להיראות, לפחות בהתחלה, כעונש. זה מספיק גרוע בשבילו שהוא צריך לזכור כמה סיסמאות בראש (ובדרך כלל הוא משתמש באותה סיסמה לכל השירותים אליהם הוא מנוי) ועכשיו אנחנו עוד רוצים שהוא יכניס קוד נוסף שהוא קיבל ב SMS שכל מה שהוא רצה זה להתחבר לחשבון הפייסבוק שלו. אבל חשוב להבין ולהפנים ששימוש במנגנון אימות דו-שלבי כזה יכול להיות ההבדל בין הפיכת קורבן לבין להיות מוגן, והאמת היא שזה לא כל כך נורא.
גוגל, טוויטר, Dropbox ו- לינקדאין הם רק חלק קטן מהשירותים המקוונים שממליצים לגולשים שלהם לעבור לשיטת האימות הכפול כמנגנון אבטחה אופציונלי נוסף - ולא בכדי. לינקדאין וטוויטר, לדוגמה, הוסיפו את האופציה רק לאחר כמה מתקפות סייבר רציניות, שגרמו לדליפה של כמה מיליוני סיסמאות, השרתים שלהן. זה לא מן הנמנע שבעתיד אנחנו נראה שירותים מקוונים שמחייבים את המשתמשים שלהם להשתמש במנגנון אימות כפול, אבל אם זה יקרה, זה יתרחש באופן הדרגתי ותלוי הרבה במידת האימוץ של המנגנון, באופן התנדבותי, על ידי המשתמש הביתי.
בטוח בעשרות מונים משימוש בסיסמה בלבד
שימוש במנגנון אימות כפול מעלה את רמת האבטחה של המשתמש בעשרות מונים לעומת שימוש במנגנון הסיסמה הבודדת המקובל היום. הרבה ממתקפות הסייבר הרציניות יותר, עליהן שמענו בשנים האחרונות, לא היו צולחות אם במנגנון כזה היה בשימוש. שכן, ללא קוד האימות ההאקר לא היה מצליח להיכנס לחשבונות הקורבנות, אפילו אם היו ברשותו הסיסמאות.
חשוב לזכור - לא קיימים פתרונות קסם, ולכל מנגנון אבטחה יש נקודות תרפה או מעקפים. מנגנון האימות הכפול הוא אמנם הרבה יותר בטוח מסיסמה רגילה, והרבה יותר פשוט מאבטחה ביומטרית, אך האקרים מנסים, ולפעמים גם מצליחים, למצוא דרכים לעקוף גם אותו. אבל שימוש במנגנון האימות הכפול שם אתכם אוטומטית בקבוצה פחות אטרקטיבית לפושעי הרשת, והם יעדיפו להתמקד במשתמשים בקיאים פחות בנושא האבטחה שעדיין משתמשים בסיסמה "1234".
איך מפעילים את השירות?
כאמור, הרבה מהשירותים המקוונים שלכם כבר מציעים לכם לעבור למנגנון אימות כפול, אך ייתכן שאינכם יודעים את זה. לרוב, תמצאו את הרישום והפעלת המנגנון תחת 'הגדרות פרטיות' או 'אבטחה', וברוב המקרים האתר גם ילווה אתכם בתהליך הרישום והפעלת השירות בצורה די קלה וברורה.
האם כדאי להפעיל אימות כפול בכל אתר?
הרבה מאתנו נרשמים שירותים מקוונים רבים ולעיתים לא מרבים להשתמש בהם. אין צורך של ממש להשתמש במנגנון האימות באתרים שלא מכילים מידע אישי או רגיש אודותיכם, אך המצב הוא שונה כשמדובר באתרים כמו רשתות חברתיות בהן אתם נחשבים למשתמשים פעילים או באתרי אחסון כ Dropbox ודומיו.
הפעלתי את השירות, האם אני חסין מפריצות?
לא, אבל האימות הכפול מוסיף לך שכבת אבטחה נוספת שהופכת אותך למטרה הרבה פחות אטרקטיבית בעיני ההאקרים. אבל זה לא אומר שאתה חסין, קיימות הונאות אינטרנט שונות שעלולות לגרום לך להוריד אפליקציות או תוכנות מזויפות המתחזות לאפליקציות אמתיות ובכך לעקוף את מנגנוני האימות. אבל לרוב מנגנון האימות הכפול מציע שכבת הגנה בעלת ערך רב לגולשים.
בנוסף, אם כבר הפעלת את שירות האימות ולפתע אתה מקבל SMS עם קוד הכניסה לשירות, מבלי שניסת להיכנס לחשבון שלך, אתה מיד יכול לדעת שמישהו מנסה להיכנס לחשבון שלך ותוכל להחליף את הסיסמא מבלי שהמידע שלך עמד בסיכון.
האם הגולש הממוצע באמת יכול להפיק תועלת מהשירות?
בהחלט כן. גם אם אינך בעל עסק או רשת מחשבים, המידע האישי שלך הוא מספיק חשוב. דוגמה לכך הוא שימוש בשירותי אחסון הקבצים כדוגמת Dropbox – בו משתמשים אנשים רבים כדי לאחסן את התמונות המשפחתיות שלהם או מידע אישי אחר, או פייסבוק שבנוסף לתמונות וקבצים מכיל גם הרבה מידע אישי ואת העדפות שלנו בכל מני נושאים.
האם מנגנון האימות יכול לעזור גם לעסק שלי?
בוודאי. מסקר שערכנו לאחרונה עולה ששני שליש מהחברות שמאפשרות לעובדים שלהן לעבוד באמצעות חיבור מרחוק או הבית לא מספקות גישה מאובטחת לרשת הארגונית, ובכך מעמידה את המידע הארגוני בסכנה. מנגנוני אימות כפולים קיימים גם לסביבה הארגונית ויכולים למעסיקים לאפשר עבודה מרחוק ועדיין לשמור על רמת אבטחה טובה.