אבל אימות דו-גורמי הוא לא איזה כדור כסף שמסוגל לעצור את האקרים על עקבותיהם. זהו אמצעי נגד שימושי בין ההגנות שלך, אבל בסופו של דבר, זה לא תחליף לידע פעיל על האיומים הגדולים ביותר שאנו מתמודדים איתם באינטרנט.
סרטונים מומלצים
הפעל אימות דו-גורמי בכל מקום שבו ניתנת ההזדמנות - אך אל תטעה להסתמך על ההגנה שלו אם אינך מבין מפני מה הוא יכול וממנו לא יכול להתגונן. כפי שהוכיחה 2016, שמירה על אבטחת הנתונים מורכבת, וביטחון עצמי מופרז עלול להשאיר אותך פתוח להתקפה.
קָשׁוּר
- סיסמאות הן קשות ואנשים עצלנים, כך עולה מדוח חדש
- טוויטר כבר לא זקוקה למספרי טלפון עבור אימות דו-שלבי
- גוגל מציעה מפתח אבטחה USB מסוג 'טיטאן' משלה לכניסות ללא סיסמה
האם אתה מי שאתה אומר שאתה?
בבסיסו, אימות דו-גורמי עוסק בבדיקת אישורים. זוהי דרך לוודא שמישהו הוא מי שהוא טוען שהוא, על ידי אימות שני סוגי ראיות ברורים. מערכת כזו קיימת כבר שנים.
אם אינך מבין את היסודות של אבטחת מחשבים, אין לאפשר לך לבצע בנקאות באינטרנט.
תשלומי כרטיס אשראי באמצעות שבב ו-PIN הם אולי הדוגמה הנפוצה ביותר; הם מסתמכים על כך שלמשתמש יהיה כרטיס פיזי ברשותו, וידע על ה-PIN שלו. בעוד שגנב יכול לגנוב קלף ו למד את ה-PIN, זה לא קל לנהל את שניהם.
הייתה תקופה, לא כל כך מזמן, שבה עסקאות פיננסיות היו הסיבה היחידה שאנשים יצטרכו לאמת את זהותם על בסיס קבוע. כיום, לכל מי שמשתמש באינטרנט יש מערך של חשבונות שהוא לא היה רוצה שלכל אחד תהיה גישה אליהם, ממגוון סיבות.
התעשייה הפיננסית הצליחה ליישם אימות דו-גורמי בקלות רבה, מכיוון שהחומרה היחידה שצריך להפיץ הייתה כרטיס בנק. הפצת מערכת דומה עבור אתרי אינטרנט יומיומיים היא כמעט בלתי אפשרית, ולכן דו-גורמי מתאפשר באמצעים אחרים. ולשיטות האלה יש פגמים משלהן.
חוויית משתמש
"ממש נמאס לי מכל הדברים הנוחים בחיים הופכים פתאום למסורבלים מדי לשימוש", נכתב בתגובה שפורסמה ב-2005 SlashDot מאמר על העלייה הקרובה של אימות דו-גורמי ביחס לבנקאות מקוונת. "ממש ממש אשמח שיהיה לי אסימון קשה לסחוב".
"לפוליטיקאים אין מושג איזו השפעה יש לזה על העולם האמיתי", הסכימו שניה, בקינו על האיום שמשתמשים ייאלצו לרכוש חומרה נוספת. "אם אינך מבין את היסודות של אבטחת מחשבים, אסור לאפשר לך לבצע בנקאות באינטרנט", הוסיף מגיב אחר.
כיום, תלונות כאלה נראות מטופשות באופן חיובי, אבל ב-2005 משתמשים היו שקולים יותר לגבי העלות והמטרד של נשיאת אסימון דו-גורמי כלשהו. תגובת המשתמש יכולה להיות שלילית עוד יותר כאשר משהו פחות חשוב מהבנקאות מוגן. בשנת 2012 הוגשה תביעה ייצוגית נגד מפתחת המשחקים Blizzard Entertainment לאחר החברה הציגה ציוד היקפי מאמת שנועד להגן על חשבונות Battle.net של משתמשים, לפי דיווח של BBC.
מעבר אחרון
מאמצים ליישם סוג זה של אימות דו-גורמי היו במקום מאז שנות ה-80, כאשר Security Dynamics Technologies רשם פטנט על "שיטה ומנגנון לזיהוי חיובי של אדם". בשנות ה-2000, התשתית ויכולת הייצור היו במקום עבור ארגונים החל ממוסדות פיננסיים ועד למוציאים לאור של משחקי וידאו כדי לאכוף את האמצעים שלהם דו-גורמיים אימות.
למרבה הצער, המשתמשים החליטו לא לשתף פעולה. בין אם הגורם השני של האימות היה פשוט כמו מסך LCD שמספק קוד ייחודי, או מורכב כמו סורק טביעות אצבע, הרעיון של העובדה שיש עוד פיסת חומרה פיזית - ואולי אחת לכל שירות אחר שדרשה התחברות ייחודית - לא הייתה מושכת את המונים.
אפשר לדמיין היסטוריה חלופית שבה שני גורמים מעולם לא תפסו בגלל הבעיה הזו. למזלנו, אפל הציגה את האייפון, וגוגל הציגה דְמוּי אָדָם. סמארטפונים מעבירים מכשיר המסוגל לאימות דו-גורמי לידיהם של מיליארדים ברחבי העולם, ופותרים את בעיית הנוחות עליה התלוננו משתמשים ב-2005.
סמארטפונים הם נוחים, אבל יש להם סיכונים משלהם
האופי הנפוצה של סמארטפונים אפשר לאתרים ולשירותים להסיר את הטרחה מתהליך האימות הדו-גורמי. "אלה שמשתמשים בטלפון הסלולרי שלך נוטים להיות מאוד קלים לשימוש, השפעה נמוכה מאוד", אמר מומחה האבטחה ועמית הרווארד ברוס שנייר, שדיבר עם Digital Trends מוקדם יותר החודש. "כי זה משהו שכבר יש לך. זה לא משהו חדש שאתה צריך לסחוב איתך".
אפשר לדמיין היסטוריה חלופית שבה שני גורמים מעולם לא תפסו.
בתרחישים מסוימים, גישה זו יכולה להציע יתרונות ברורים. לדוגמה, אם אתה מתחבר לשירות ממחשב חדש, ייתכן שתתבקש להזין קוד שנשלח למכשיר מהימן וכן את הסיסמה הרגילה שלך. זוהי דוגמה טובה לשימוש באימות דו-גורמי; מישהו אחר יכול היה לגנוב את הסיסמה שלך ולנסות להיכנס לחשבון המשויך מהמערכת שלו - אבל אלא אם הוא כבר גנב את הטלפון שלך, הוא לא יוכל לקבל גישה.
עם זאת, ישנם איומים שסוג זה של הגנה פשוט לא יכול להתמודד איתם. בשנת 2005, שנייר כתב כי "אימות דו-שלבי אינו המושיע שלנו" ב- פוסט בבלוג להתעמק בחולשותיו.
הוא המשיך ותיאר כיצד התקפה של איש-באמצע יכולה לגרום למשתמש לחשוב שהוא באתר לגיטימי, ולשכנע אותם להציע את שתי צורות האימות לכניסה מזויפת מָסָך. הוא גם מציין שניתן להשתמש בסוס טרויאני כדי להחזיר כניסה לגיטימית שבוצעה באמצעות שתי צורות של אימות. יש גם בעיה של ריכוז אבטחה במכשיר בודד; רוב האנשים משתמשים בסמארטפון עם שני גורמים עבור אתרי אינטרנט מרובים. אם הטלפון הזה נגנב ונפגע, כל האתרים האלה נמצאים בסיכון.
ידע הוא כוח
"כשאתה נכנס לחשבון שלך, שני גורמים זה נהדר", אמר שנייר. "האוניברסיטה שלי, הרווארד, משתמשת בזה, החברה שלי משתמשת בזה. הרבה אנשים אימצו את זה, וזה מאוד שימושי. אבל על מה שכתבתי אז, הבעיה הייתה שהסתכלו על זה כאל תרופת פלא, זה יפתור הכל. כמובן, אנחנו יודעים שלא".
רווח כספי תמיד יניע האקרים זדוניים לטפח טכניקות חדשות לגישה לחשבונות של אנשים אחרים. כל עוד יש יתרון להחזקת אישורים של מישהו אחר, אנו הולכים לראות פריצה מתפתחת ללא הרף.
"יש הרבה איומים שונים, והרבה מנגנוני אבטחה שונים", הסביר שנייר. "אין רק איום אחד, לא רק מנגנון אחד, יש הרבה איומים ומנגנונים רבים".
ההגנה הטובה ביותר היא זרם מתמשך של אמצעי נגד חדשים ומשופרים. אם נמשיך לשנות ולעדכן את השיטות בהן אנו משתמשים כדי לשמור על אבטחת החשבונות שלנו, אנו מקשים על כל מי שמנסה לקבל גישה ללא רשות.
למרבה הצער, לתוקפים יש את היוזמה. לקח שנים עד שאימות דו-גורמי הפך למקובל על ידי ההמונים. כאשר צורות חדשות של הגנה הופכות לזמינות, אנו כמשתמשים צריכים להתחייב לנצל אותן. וזה מחזיר אותנו מיד לפורומים של סלאשדוט, בסביבות 2005. כולנו שוב הופכים למשתמשים שמתלוננים על נוחות, במקום לדאוג לאבטחה.
קשה להתעלם עד כמה פריצות בקנה מידה גדול הפכו שכיחות, ואין שום סימן שצורה זו של עבריינות עומדת למות. אין הגנה שמסוגלת ב-100 אחוז לחסום כל סוג של התקפה; פושעים תמיד ימצאו דרך לנצל אפילו את החולשה הקטנה ביותר. למרות שזה לא קל, הדרך הטובה ביותר להישאר בטוח באינטרנט היא להיות מודע לאיומים, ומודע למה שניתן לעשות כדי להגן מפני איומים אלה.
אבטחה מקוונת היא כמו לשלם על ביטוח, או ללכת לרופא השיניים. זה לא נראה כל כך חשוב, עד שזה לא. זה לא מספיק פשוט להצטרף לצורות ההגנה שאנו מציעים על ידי אתרים ושירותים שונים. לדעת מאיזה סוג של התקפות ההגנות הללו מגנות עלינו - וממה הן לא - זו הדרך היחידה לקחת אחריות על האבטחה שלך.
המלצות עורכים
- אימות דו-גורמי SMS של טוויטר נתקל בבעיות. הנה איך להחליף שיטות
- זו הסיבה שאנשים אומרים שאימות דו-שלבי אינו מושלם
- האקרים מוצאים דרך לעקוף אימות דו-גורמי של Gmail
