לדלג לתוכן

אימות דו-שלבי - למה כדאי להפעיל אותו בכל מקום שאפשר

אם היו נותנים לי לבחור הגדרה אחת יחידה שכל אדם יפעיל כדי להיות בטוח יותר באינטרנט, זו הייתה אימות דו-שלבי. לא סיסמה חזקה יותר, לא VPN, לא שום דבר אחר. ההגדרה הקטנה הזאת, שלוקחת שתי דקות להפעיל, עוצרת את הרוב המכריע של פריצות החשבונות שקורות בפועל.

מה זה בעצם אימות דו-שלבי

בשיטה הרגילה, כדי להיכנס לחשבון צריך רק סיסמה. הבעיה היא שסיסמאות דולפות, מנוחשות, או נגנבות בהתקפות פישינג, בלי שום קשר לכמה היא הייתה "חזקה".

אימות דו-שלבי (נקרא גם 2FA, או Two-Factor Authentication) מוסיף שכבה שנייה - אחרי הסיסמה, צריך גם קוד נוסף, שמגיע בדרך כלל לטלפון שלכם. הרעיון הוא שגם אם מישהו יודע את הסיסמה שלכם, הוא עדיין לא יכול להיכנס בלי המכשיר הפיזי שלכם.

זה נקרא "שני גורמים" כי משלבים משהו שאתם יודעים (הסיסמה) עם משהו שיש לכם (הטלפון).

למה זה עובד כל כך טוב

רוב הפריצות בפועל לא קורות כי תוקף "פיצח" סיסמה מסובכת. הן קורות כי הסיסמה דלפה במקום אחר, או שהתקפת פישינג גרמה למישהו למסור אותה מרצון. ברגע ששכבה שנייה נכנסת לתמונה, שני הדברים האלה הופכים חסרי תועלת - גם אם התוקף יודע את הסיסמה בדיוק, הוא עדיין תקוע בלי הקוד הנוסף.

זו הסיבה שגם חברות הטכנולוגיה הגדולות ממליצות על זה בתוקף, ולפעמים אפילו מחייבות את זה.

אילו שיטות אימות דו-שלבי יש, ומה עדיף

קוד ב-SMS. הכי נפוץ, הכי פשוט להפעיל, אבל גם החלש מבין השיטות. יש טכניקה נדירה יחסית אבל קיימת שנקראת "השתלטות מספר" (SIM Swap), שבה תוקף משכנע את חברת הסלולר להעביר את המספר שלכם למכשיר שלו. עדיין הרבה יותר טוב מכלום, אבל לא האידיאלי.

אפליקציית אימות (כמו Google Authenticator או Authy). האפליקציה מייצרת קוד שמתחלף כל דקות ספורות, בלי צורך בחיבור לרשת סלולרית, כך שהיא לא רגישה להשתלטות מספר. זו האופציה המומלצת לרוב האנשים - בטוחה משמעותית יותר מ-SMS, ולא מסובכת להפעיל.

מפתח אבטחה פיזי (כמו YubiKey). אביזר קטן שמחברים ל-USB או מקרבים בבלוטות'. הכי בטוח מכולם, אבל דורש רכישה של מכשיר ייעודי, ומתאים בעיקר למי שרוצה את הרמה הגבוהה ביותר של הגנה.

לכל אחד מהם יש עדיפות ברורה על פני לא להשתמש בכלום. גם SMS, עם כל החולשות שלו, עדיין עוצר רוב ההתקפות האוטומטיות.

איפה הכי כדאי להפעיל את זה קודם

לא צריך להתחיל בכל מקום בבת אחת. מתחילים מהחשבונות הכי קריטיים:

מייל. זה הכי חשוב מכולם, כי מייל הוא בדרך כלל מפתח השחזור לכל שאר החשבונות שלכם.

בנקאות ותשלומים. ברור למה.

רשתות חברתיות. חשבון שנפרץ יכול לשמש להונאה של אנשי הקשר שלכם, לא רק לפגוע בכם.

מנהל הסיסמאות, אם יש לכם אחד. זה הדלת לכל שאר הסיסמאות שלכם, אז חשוב שהיא תהיה נעולה חזק.

אחרי אלה, כדאי פשוט להפעיל בכל מקום שמאפשר את זה - זה תמיד עדיף מלא להפעיל.

אבל זה לא מסורבל להיכנס עם עוד שלב בכל פעם

בהתחלה זה מרגיש כמו טרחה נוספת, אבל רוב השירותים זוכרים את המכשיר שלכם אחרי אימות ראשוני, כך שאתם לא נדרשים לקוד נוסף בכל התחברות בודדת, אלא רק ממכשירים חדשים או לא מוכרים. בפועל, אחרי ההגדרה הראשונית, כמעט ולא שמים לב לזה יותר.

חשוב - שומרים קודי גיבוי

כשמפעילים אימות דו-שלבי, כמעט תמיד מקבלים קודי גיבוי חד-פעמיים למקרה שהטלפון אבד או נשבר. שווה לשמור אותם במקום בטוח (לא בתמונת מסך בטלפון עצמו) כדי לא להינעל לגמרי מחוץ לחשבון אם קורה משהו למכשיר.

אם זה מסקרן אתכם ברמה טכנית

אם אתם תוהים איך בדיוק תוקפים עוקפים לפעמים גם אימות דו-שלבי (כן, זה קורה, בטכניקות מתוחכמות יותר), זה בדיוק סוג הדברים שנלמדים בעולם אבטחת המידע וההנדסה החברתית. יש לנו קורס פריצת אתרים חינמי שנוגע גם בזה, למי שרוצה להבין את העומק.

ואם יש לכם שאלות על הפעלת אימות דו-שלבי בשירות מסוים, או סתם בא לכם קהילה שמדברת על הדברים האלה - אתם מוזמנים.

הצטרפו לקהילה בדיסקורד