כאשר אימות דו-שלבי הוצג לראשונה, זה חולל מהפכה באבטחת המכשיר ועזר להקשות על גניבת זהות הרבה יותר - במחיר קל של אי נוחות קלה שנוספה לכניסות.
תוכן
- מהו בעצם אימות דו-גורמי?
- זה נשמע די בטוח. מה הבעיה?
- האם עלי להמשיך להשתמש באימות דו-גורמי?
- כיצד ניתן לשפר אימות דו-גורמי?
אבל זה לא מושלם, וגם לא פתר את כל בעיות הפריצה וגניבת הנתונים שלנו. כמה חדשות אחרונות סיפקו יותר הקשר לאופן שבו האקרים עקפו אימות דו-גורמי ושחוקו חלק מהאמון שלנו בו.
מהו בעצם אימות דו-גורמי?
אימות דו-גורמי מוסיף שכבת אבטחה נוספת לתהליך הכניסה למכשירים ושירותים. בעבר, לכניסות היה גורם יחיד לאימות - בדרך כלל, סיסמה או התחברות ביומטרית כמו סריקת טביעת אצבע או Face ID, מדי פעם בתוספת שאלות אבטחה. זה סיפק קצת אבטחה, אבל זה היה רחוק מלהיות מושלם, במיוחד עם סיסמאות חלשות או סיסמאות במילוי אוטומטי (או אם מסדי נתונים של כניסה נפרצו והמידע הזה מתחיל להופיע ברשת האפלה).
קָשׁוּר
- זו הסיבה שאנשים אומרים להימנע מ-M2 Pro MacBook Pro ברמת הכניסה
- אימות דו-גורמי SMS של טוויטר נתקל בבעיות. הנה איך להחליף שיטות
- סיסמאות הן קשות ואנשים עצלנים, כך עולה מדוח חדש
אימות דו-גורמי מטפל בבעיות הללו על ידי הוספת גורם שני, דבר נוסף שאדם צריך לעשות כדי להבטיח שזה באמת הוא ויש לו סמכות לגשת. בדרך כלל, זה אומר שנשלח קוד דרך ערוץ אחר, כמו קבלת הודעת טקסט או דוא"ל מהשירות, שאותו עליך להזין.
חלקם משתמשים בקודים רגישים לזמן (TOTP, Time-Based One Time Password), וחלקם משתמשים בקודים ייחודיים המשויכים למכשיר ספציפי (HOTP, HMAC One Time Password). גרסאות מסחריות מסוימות עשויות אפילו להשתמש במפתחות פיזיים נוספים שעליך להחזיק בהישג יד.
סרטונים מומלצים
תכונת האבטחה הפכה כל כך נפוצה, שאתה כנראה רגיל לראות הודעות בנוסח, "שלחנו לך אימייל עם קוד מאובטח להזין, אנא בדוק מסנן הספאם שלך אם לא קיבלת אותו." זה נפוץ ביותר עבור מכשירים חדשים, ולמרות שזה לוקח קצת זמן, זה קפיצה עצומה באבטחה בהשוואה לגורם אחד שיטות. אבל יש כמה פגמים.
זה נשמע די בטוח. מה הבעיה?
לאחרונה יצא דיווח מחברת אבטחת הסייבר Sophos שפירט דרך חדשה ומפתיעה לכך האקרים מדלגים על אימות שני גורמים: עוגיות. שחקנים רעים "גנבו עוגיות", מה שנותן להם גישה כמעט לכל סוג של דפדפן, שירות אינטרנט, חשבון דואר אלקטרוני או אפילו קובץ.
איך פושעי הסייבר האלה מקבלים את העוגיות האלה? ובכן, Sophos מציין ש-Emotet הבוטנט הוא אחד כזה של תוכנה זדונית גניבת קובצי Cookie שמתמקדת בנתונים בדפדפני Google Chrome. אנשים יכולים גם לרכוש עוגיות גנובות דרך שווקים תת-קרקעיים, שהתפרסם במקרה האחרון של EA שבו פרטי ההתחברות הגיעו לשוק בשם Genesis. התוצאה הייתה 780 גיגה-בייט של נתונים גנובים ששימשו כדי לנסות ולסחוט את החברה.
אמנם זה מקרה בעל פרופיל גבוה, אבל השיטה הבסיסית נמצאת בחוץ, והיא מראה שאימות דו-גורמי רחוק מלהיות כדור כסף. מעבר לגניבת עוגיות בלבד, ישנן מספר בעיות אחרות שזוהו במהלך השנים:
- אם האקר יש השגת את שם המשתמש או הסיסמה שלך עבור שירות, ייתכן שיש להם גישה לדוא"ל שלך (במיוחד אם אתה משתמש באותה סיסמה) או למספר הטלפון שלך. זה בעייתי במיוחד עבור אימות דו-גורמי מבוסס SMS/טקסט, מכיוון שקל למצוא מספרי טלפון וניתן להשתמש בהם כדי להעתיק את הטלפון שלך (בין שאר הטריקים) ולקבל את הקוד המסומס. זה דורש יותר עבודה, אבל להאקר נחוש עדיין יש דרך ברורה קדימה.
- אפליקציות נפרדות לאימות דו-גורמי, כמו Google Auth או Duo, מאובטחות הרבה יותר, אך שיעורי האימוץ נמוכים מאוד. אנשים נוטים לא לרצות להוריד אפליקציה נוספת רק למטרות אבטחה עבור שירות יחיד, וכן לארגונים קל הרבה יותר פשוט לשאול "אימייל או טקסט?" במקום לדרוש מלקוחות להוריד א אפליקציה של צד שלישי. במילים אחרות, לא ממש נעשה שימוש בסוגים הטובים ביותר של אימות דו-גורמי.
- לפעמים קל מדי לאפס סיסמאות. גנבי זהות יכולים לאסוף מספיק מידע על חשבון כדי להתקשר לשירות לקוחות או למצוא דרכים אחרות לבקש סיסמה חדשה. לרוב זה עוקף כל אימות דו-גורמי המעורב וכאשר זה עובד, הוא מאפשר לגנבים גישה ישירה לחשבון.
- צורות חלשות יותר של אימות דו-גורמי מציעות מעט הגנה מפני מדינות לאום. לממשלות יש כלים שיכולים להתמודד בקלות עם אימות דו-גורמי, כולל ניטור הודעות SMS, כפיית ספקים אלחוטיים או יירוט קודי אימות בדרכים אחרות. אלו לא חדשות טובות למי שרוצה דרכים לשמור על פרטיות הנתונים שלהם מפני משטרים טוטליטריים יותר.
- תוכניות גניבת נתונים רבות עוקפות אימות דו-גורמי לחלוטין על ידי התמקדות בהטעיית בני אדם במקום זאת. רק תסתכל כל ניסיונות הדיוג שמתיימרים להיות מבנקים, סוכנויות ממשלתיות, ספקי אינטרנט וכו', המבקשים מידע חשוב בחשבון. הודעות דיוג אלה יכולות להיראות אמיתיות מאוד, ועשויות לכלול משהו כמו, "אנחנו צריכים את שלך קוד אימות בצד שלנו כדי שנוכל גם לאשר שאתה בעל החשבון", או טריקים אחרים לקבל קודים.
האם עלי להמשיך להשתמש באימות דו-גורמי?
בהחלט. למעשה, עליך לעבור על השירותים והמכשירים שלך ולאפשר אימות דו-גורמי היכן שהוא זמין. הוא מציע אבטחה טובה משמעותית מפני בעיות כמו גניבת זהות מאשר שם משתמש וסיסמה פשוטים.
אפילו אימות דו-גורמי מבוסס SMS הוא הרבה יותר טוב מאשר אף אחד בכלל. למעשה, המכון הלאומי לתקנים וטכנולוגיה המליץ פעם לא להשתמש ב-SMS באימות דו-גורמי, אבל אז החזיר את זה לאחור בשנה הבאה כי למרות הפגמים, זה עדיין היה שווה.
במידת האפשר, בחר שיטת אימות שאינה מחוברת להודעות טקסט, ותהיה לך צורה טובה יותר של אבטחה. כמו כן, שמור על הסיסמאות שלך חזקות ו השתמש במנהל סיסמאות כדי ליצור אותן לכניסות אם אתה יכול.
כיצד ניתן לשפר אימות דו-גורמי?
התרחקות מאימות מבוסס SMS הוא הפרויקט הגדול הנוכחי. יתכן שאימות דו-גורמי יעבור לקומץ של אפליקציות של צד שלישי כמו Duo, אשר מסירות רבות מהחולשות הקשורות לתהליך. ועוד שדות בסיכון גבוה יעברו ל-MFA, או אימות רב-גורמי, מה שמוסיף דרישה שלישית, כמו טביעת אצבע או שאלות אבטחה נוספות.
אבל הדרך הטובה ביותר להסיר בעיות עם אימות דו-גורמי היא להציג היבט פיזי מבוסס חומרה. חברות וסוכנויות ממשלתיות כבר מתחילות לדרוש זאת עבור רמות גישה מסוימות. בעתיד הקרוב, יש סיכוי סביר שלכולנו יהיו כרטיסי אימות מותאמים בארנקנו, מוכנים להחליק לעבר המכשירים שלנו בעת הכניסה לשירותים. זה אולי נשמע מוזר עכשיו, אבל עם ה עלייה תלולה של התקפות אבטחת סייבר, זה יכול בסופו של דבר להיות הפתרון האלגנטי ביותר.
המלצות עורכים
- מדוע Nvidia RTX 4060 Ti פשוט לא מספיק ל-2023
- דרגות האקרים מתפוצצות - כך תוכל להגן על עצמך
- מדוע מצב גלישה בסתר של Google Chrome אינו מה שהוא מתיימר להיות
- זו הסיבה שאנשים אומרים ש-Nvidia RTX 4090 לא שווה לחכות לו
- זו הסיבה שאנשים אומרים לקנות את ה-M1 MacBook Air במקום את ה-M2
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
