מנגנון אימות כפול: מה זה, ולמה אני צריך את זה?
כבר היום אנחנו חיים במציאות שבה סיסמאות "סטטיות" אינן באמת מספקות כדי להגן עלינו מהאקרים ומניסיונות פישינג (גניבת סיסמאות). איך מנגנון האימות הכפול יעזור לכם להישאר מוגנים?
טוויטר, גוגל, לינקדאין ו- Dropbox הם רק חלק קטן משירותים רבים אחרים שמציעים לגולשים שלהם שירות אימות דו-שלבי כמנגנון אבטחה אופציונלי נוסף - ולא בכדי. טוויטר ולינקדאין הוסיפו את מנגנון האימות הכפול לאחר כמה מתקפות סייבר רציניות על השרתים שלהם, שהביאו לדליפה של מיליוני סיסמאות של משתמשים לרשת. מנגנון האימות הכפול משתנה משירות לשירות, אבל הוא תמיד כולל יצירת קוד חד פעמי הנשלח אל המשתמש באמצעות הודעת טקסט אל הנייד שלו או באמצעות אפליקציה ייעודית ליצירת קודים. לאחר שהזנת את הסיסמה הרגילה שלך, לשירות אליו אתה מנסה להתחבר, אתה תתבקש להזין גם את הקוד שקיבלת לנייד, ורק אז תוכל להתחבר לשירות.
שימוש במנגנון האימות הכפול הוא הרבה יותר בטוח משימוש בסיסמה בודדת. הרבה מתקפות סייבר רציניות לא היו צולחות אם היה נעשה שימוש במנגנון הזה. אפילו אם האקר כלשהו היה מצליח לגנוב סיסמאות מאתר כלשהו או להחדיר וירוס לגניבת סיסמאות למחשבי הקורבנות עצמם, הוא עדיין לא היה מצליח להיכנס לחשבונות ללא קוד האימות. אבל צריך לזכור שאין פתרונות קסם - מנגנון האימות הכפול הוא טוב יותר מסיסמה רגילה, ופשוט יותר מאבטחה ביומטרית, אך האקרים מנסים, ומצליחים, למצוא דרכים לעקוף גם אותו. אבל לכל הפחות הוא יכול לעשות להם עבודה הרבה יותר קשה. דוגמה לכך היא מתקפה מהחודש שעבר על משתמשיWar of Warcraft שהצליחה בחלק מהמקרים לעקוף את מנגנוני האימות על ידי יצירת אתר המתחזה לחנות למכירת אביזרי המשחק הווירטואלי. אך לשם כך דרושה מתקפה ברמה הרבה יותר גבוהה מהמתקפות הרגילות לגניבת סיסמאות.
איך מפעילים את מנגנון האימות הכפול?
כאמור, שירותים מקוונים רבים כבר מציעים לגולשים שימוש במנגנון אימות כפול כשירות הניתן בחינם, אך תצטרכו להירשם ולהפעיל אותו בעצמכם. בדרך כלל תמצאו את הפעלת המנגנון תחת 'הגדרות' , 'פרטיות' או 'אבטחה', ורוב האתרים גם ילוו אתכם בתהליך הפעלת השירות. שימוש במנגנון הכפול הופך לחשוב במיוחד אם אתם משתמשים בשירות המקוון כדי לאחסן מידע אישי, חשוב או עסקי.
האם אני צריך את זה בכל אתר?
התשובה הקצרה היא – לא. באופן אידיאלי מומלץ להשתמש באימות כפול בשירותים החשובים יותר, אלה שמכילים מידע שלא הייתם מוכנים לסכן בשום מצב. הרבה מגולשי הרשת רשומים או נרשמים לעשרות שירותים מקוונים שברבים מהם הם מבקרים פעם אחת בלבד, ואין טעם להפעיל אימות כפול באתרים אלו.
האם השירות חסין מפריצות?
לא, אבל האימות הכפול מוסיף לגולש שכבת אבטחה נוספת שהופכת אותו למטרה פחות אטרקטיבית בעיני ההאקרים. הונאות אינטרנט מסוימות יגרמו למשתמש להוריד אפליקציות או תוכנות המתחזות לאפליקציות אמתיות ובכך לעקוף את מנגנוני האימות, אבל ברוב המקרים מנגנון האימות הכפול מציע שכבת הגנה בעלת ערך גבוה לגולשים.
כמו כן, במידה והפעלתם אימות דו-שלבי וקיבלתם לפתע סמס עם קוד הכניסה לשירות שלכם, תוכלו לדעת שמישהו מנסה להיכנס לחשבון שלכם בזה הרגע – הזדמנות מעולה להחליף סיסמא ולמנוע גניבה של המידע הרגיש שלכם.
האם המשתמש הממוצע באמת יכול להפיק תועלת מהמנגנון?
כן. במיוחד בשירותי אחסון כדוגמת Dropbox – בו משפחות רבות משתמשות כדי לאחסן כמות אדירה של מידע, ואינן משתמשות במנגנון האימות הכפול. כמו כן, כדאי לשקול שימוש במנגנון גם ברשתות החברתיות - פייסבוק, טוויטר ולינקדאין – שכן גם שם מאוחסן הרבה מהמידע האישי שלנו.
האם זה יכול לעזור לעסק שלי?
כן. סקר שערכנו לאחרונה הראה ששני שליש מהחברות שמאפשרות לעובדיה לעבוד מהבית לא מספקות גישה מאובטחת לרשת הארגונית, ולמעשה מעמידה את המידע של הארגון בסכנה. מנגנוני אימות כפולים יכולים לאפשר עבודה מרחוק על הרשת הארגונית ועדיין לשמור על רמת אבטחה טובה.
גיל נוילנדר, הוא מנכ"ל ESET ישראל
נא להמתין לטעינת התגובות