top of page
חיפוש

סיסמה טובה זה לא מספיק: למה צריך אימות דו שלבי

  • תמונת הסופר/ת: binyxisrael
    binyxisrael
  • לפני 6 ימים
  • זמן קריאה 4 דקות

רוב האנשים לא מזלזלים באבטחה בכוונה תחילה. הם פשוט ממהרים ועסוקים בענייניהם ולא שמים לב לחשיבות העניין.

הם נכנסים רגע למייל ממחשב בעבודה, מתחברים לחשבון ממחשב של חבר, מתקינים תוסף שנראה שימושי, משתמשים באותה סיסמה בכמה אתרים, ודוחים שוב ושוב את ההודעה שמציעה להפעיל “אימות דו־שלבי”.

אבל בעולם של היום, סיסמה לבד היא כבר לא הגנה מספיקה.


מה זה בעצם אימות דו־שלבי?

אימות דו־שלבי הוא מנגנון פשוט שאומר: גם אם מישהו יודע את הסיסמה שלך, זה עדיין לא מספיק כדי להיכנס לחשבון.

במקום להסתפק בסיסמה אחת, המערכת מבקשת עוד שלב. למשל קוד שנשלח לטלפון, אישור באפליקציה, טביעת אצבע, זיהוי פנים, או מפתח אבטחה מיוחד.

אפשר לחשוב על זה כמו דלת עם שני מנעולים. אם מישהו השיג את המפתח הראשון, הוא עדיין לא יכול להיכנס בלי המפתח השני.


מה קורה כשאין אימות דו־שלבי?

כאשר אין אימות דו־שלבי, כל החשבון תלוי בסיסמה אחת בלבד. אם מישהו השיג את הסיסמה, הוא עלול להיכנס למייל, לחשבון הבנק, לפייסבוק, לוואטסאפ, לאתר העסק, לחשבון הענן, או לכל שירות אחר שבו השתמשתם באותה סיסמה.

הבעיה היא שסיסמאות יכולות להיחשף בהרבה דרכים. לפעמים האדם עצמו מקליד אותן במקום מסוכן. לפעמים המחשב נגוע בתוכנה זדונית. לפעמים אתר כלשהו נפרץ והסיסמאות דולפות. ולפעמים המשתמש פשוט השתמש באותה סיסמה בכמה מקומות, וכך פריצה קטנה במקום אחד הופכת לסיכון גדול במקום אחר.


רושם ההקשות: כשמישהו מאזין למקלדת שלכם

אחת השיטות המוכרות והמסוכנות ביותר לגניבת סיסמאות נקראת ״רושם הקשות״. באנגלית קוראים לזה Keylogger, אבל הרעיון פשוט מאוד: זו תוכנה שמקליטה את מה שהמשתמש מקליד במקלדת.

אם הקלדתם שם משתמש וסיסמה, התוכנה יכולה לשמור אותם. אם כתבתם הודעה פרטית, גם היא עלולה להישמר. אם הקלדתם פרטי אשראי, גם הם עלולים להיקלט.

לכן מסוכן להיכנס לחשבונות חשובים ממחשב ציבורי, ממחשב לא מוכר, ממחשב מוזנח, או ממחשב שלא ברור מי התקין עליו מה. זה יכול להיות מחשב בספרייה, במשרד, בעמדת שירות, אצל חבר, או אפילו מחשב ביתי שלא טופל הרבה זמן.

המשתמש מרגיש שהוא רק “נכנס רגע לחשבון”. בפועל, ייתכן שכל מה שהוא מקליד נרשם ונשלח למישהו אחר.

על פי נתונים מחברת מייקרוסופט אימות דו־שלבי מציל את המצב ומונע חדירה לחשבון ב- 99.9% מהמקרים. כי גם אם מישהו גנב את הסיסמה, עדיין חסר לו השלב השני.


סוס טרויאני: התוכנה שנראית תמימה

סוג נוסף של איום נקרא סוס טרויאני. גם כאן לא צריך להיבהל מהמונח. מדובר בתוכנה שמתחזה למשהו תמים, אבל בפועל עושה דברים מזיקים.

זה יכול להיראות כמו תוכנת ניקוי למחשב, תוסף לדפדפן, קובץ התקנה, משחק, עדכון מזויף, תוכנה פרוצה, או כלי קטן שנראה שימושי. המשתמש מתקין את זה מרצונו, כי הוא חושב שזה עוזר לו. אבל מאחורי הקלעים התוכנה עלולה לאסוף מידע, לגנוב סיסמאות, לצלם את המסך, לפתוח גישה מרחוק, או לעקוב אחרי הפעולות במחשב.

זו בדיוק הסכנה: לא תמיד תוכנה מסוכנת נראית מסוכנת. לפעמים היא נראית ידידותית מאוד.

גם תוסף לדפדפן יכול להיות בעיה

הרבה אנשים מתקינים תוספים לדפדפן בלי לחשוב יותר מדי. תוסף להורדת סרטונים, תוסף לתרגום, תוסף לשיפור חוויית קנייה, תוסף לעיצוב, תוסף להעתקת טקסטים, ועוד.


חלק מהתוספים באמת טובים ושימושיים. אבל תוסף מקבל לפעמים הרשאות רחבות מאוד: לקרוא מידע מאתרים, לראות מה המשתמש עושה, לשנות תוכן בדפים, או לגשת למידע רגיש. לכן חשוב מאוד להתקין רק תוספים מוכרים, לבדוק מי עומד מאחוריהם, ולא להתקין כל דבר שנראה נחמד.

גם כאן, אם תוסף או תוכנה הצליחו להשיג סיסמה, אימות דו־שלבי מוסיף שכבת הגנה נוספת מפני גישה חדשה לא מורשית.


הסכנה הנפוצה ביותר: אותה סיסמה בכמה אתרים

אחד הדברים הכי מסוכנים שאנשים עושים בניהול סיסמאות הוא להשתמש באותה סיסמה בכמה מקומות.

נניח שמישהו משתמש באותה סיסמה גם באתר קניות קטן, גם במייל, גם בפייסבוק וגם באתר של העסק. אם אתר הקניות נפרץ והסיסמה דולפת, התוקף יכול לנסות את אותה סיסמה גם בשירותים אחרים.

הוא לא צריך להיות גאון מחשבים. הוא פשוט מנסה את אותו צירוף של מייל וסיסמה בעוד מקומות. אם אין אימות דו־שלבי, הוא עלול להיכנס.

כך פריצה לאתר קטן ולא חשוב הופכת לסיכון לחשבון חשוב מאוד.


זה לא סיפור חדש

נוזקות שגונבות סיסמאות קיימות כבר עשרות שנים. כבר משנות השמונים והתשעים הופיעו תוכנות שנועדו להתחפש לכלים תמימים, לפתוח גישה למחשב או לגנוב מידע. בהמשך הופיעו נוזקות בנקאיות, תוכנות שמקליטות הקשות, ותוכנות שמחפשות סיסמאות בדפדפן ובתוכנות הדואר.

ההבדל הוא שהיום כמעט כל החיים שלנו מחוברים לחשבונות דיגיטליים. פעם סיסמה גנובה הייתה אולי בעיה מקומית. היום היא יכולה לפתוח דלת למייל, למסמכים, לתמונות, לחשבונות עסקיים, לאמצעי תשלום, לרשתות חברתיות ולמידע אישי רגיש.


למה אנשים עדיין לא מפעילים אימות דו־שלבי?

כי זה נראה להם מסובך (ולפעמים זה באמת מסובך). כי הם מפחדים להינעל מחוץ לחשבון. כי הם לא רוצים ״להעמיס״ עוד שלב בכניסה. כי הם אופטימיים ואומרים לעצמם: “לי זה לא יקרה”. ולפעמים פשוט כי אף אחד לא הסביר להם את זה בצורה פשוטה.

אבל האמת היא שאימות דו־שלבי הוא אחד הצעדים הקלים והחשובים ביותר באבטחת חשבונות.

לא צריך להיות מומחה סייבר. לא צריך להבין בתכנות. פשוט להיכנס להגדרות האבטחה של השירותים החשובים ולהפעיל אימות דו־שלבי.


איפה הכי חשוב להפעיל?

קודם כול במייל. המייל הוא בדרך כלל החשבון הכי חשוב, כי דרכו אפשר לאפס סיסמאות לשירותים אחרים.

אחר כך כדאי להפעיל אימות דו־שלבי בחשבון הבנק, ברשתות החברתיות, בוואטסאפ, בחשבון גוגל או אפל, באתר העסק, בשירותי ענן, במערכות סליקה, ובכל מקום שבו יש מידע אישי, כספי או עסקי.


בעלי עסקים צריכים להתייחס לזה כחלק בסיסי מתחזוקת המחשוב. כמו שלא משאירים משרד פתוח בלילה, כך לא משאירים חשבונות עסקיים מוגנים בסיסמה בלבד.


סיכום: הסיסמה היא לא סוף הסיפור

סיסמה היא דבר חשוב, אבל היא כבר לא מספיקה לבדה. היא יכולה להיגנב, להיחשף, להירשם על ידי תוכנה זדונית, לדלוף מאתר אחר, או להישמר במחשב לא בטוח.

אימות דו־שלבי מוסיף עוד שכבת הגנה. הוא לא הופך את החשבון לבלתי־חדיר, אבל הוא מקשה מאוד על מי שהשיג רק את הסיסמה.

בעולם שבו כל כך הרבה מהחיים האישיים והעסקיים שלנו נמצאים ברשת, זו לא פעולה למתקדמים בלבד. זו פעולה בסיסית שכל אדם צריך לעשות.

הסיסמה היא המפתח הראשון.


אימות דו־שלבי הוא המנעול השני.


ומי שמגן על החשבונות שלו בשני מנעולים, ישן הרבה יותר בשקט.





פוסטים אחרונים

הצג הכול
שבירת הכלים של המאה ה־21

העולם הדיגיטלי איננו ניטרלי. הוא שדה מעורב של אמת ושקר, אור והסתר, כוונה וישרות מול מניפולציה ולחץ. אבטחת מידע – ובעיקר אבטחת מידע התנהגותית

 
 
 

תגובות

bottom of page