אימות כפול: מה זה ולמה צריך את זה

בשנתיים האחרונות, יותר ויותר שירותים מקוונים מציעים למשתמשים שלהם שירות אימות כפול או "אימות דו-שלבי" - זהו למעשה אמצעי הגנה או שכבת הגנה נוספת שתצריך מכם להזין קוד אימות חד-פעמי, בדרך כלל מאפליקציה או SMS, בנוסף לסיסמה הרגילה שלכם.

בשביל המשתמש הממוצע מנגנון האימות הכפול יראה בהתחלה כעונש, בשבילו זה מספיק גרוע שהוא צריך לזכור כל מיני סיסמאות בראש, ועכשיו אנחנו גם מכניסים לו שלב ביניים נוסף לפני שהוא מתחבר לשירות המבוקש. אבל שימוש במנגנון האימות הכפול יכול להיות ההבדל בין הפיכת קורבן לבין להיות מוגן. ואחרי שמתרגלים, מגלים שזה לא כל כך נורא.

טוויטר, גוגל, לינקדאין ו-Dropbox הם רק חלק קטן משירותים רבים אחרים שמציעים לגולשים שלהם שירות אימות דו-שלבי כמנגנון אבטחה אופציונלי נוסף - ולא בכדי. טוויטר ולינקדאין הוסיפו את מנגנון האימות הכפול לאחר כמה מתקפות סייבר רציניות על השרתים שלהם, שהביאו לדליפה של מיליוני סיסמאות של משתמשים לרשת.

מנגנון האימות הכפול משתנה משירות לשירות, אבל הוא תמיד כולל יצירת קוד חד-פעמי הנשלח אל המשתמש באמצעות הודעת טקסט אל הנייד שלו או באמצעות אפליקציה ייעודית ליצירת קודים. לאחר שהזנת את הסיסמה הרגילה שלך, לשירות אליו אתה מנסה להתחבר, אתה תתבקש להזין גם את הקוד שקיבלת לנייד, ורק אז תוכל להתחבר לשירות.

שימוש במנגנון האימות הכפול הוא הרבה יותר בטוח משימוש בסיסמה בודדת. הרבה מתקפות סייבר רציניות לא היו צולחות אם היה נעשה שימוש במנגנון הזה. אפילו אם האקר כלשהו היה מצליח לגנוב סיסמאות מאתר כלשהו או להחדיר וירוס לגניבת סיסמאות למחשבי הקורבנות עצמם, הוא עדיין לא היה מצליח להיכנס לחשבונות ללא קוד האימות.

אבל צריך לזכור שאין פתרונות קסם - מנגנון האימות הכפול הוא טוב יותר מסיסמה רגילה, ופשוט יותר מאבטחה ביומטרית, אך האקרים מנסים, ומצליחים, למצוא דרכים לעקוף גם אותו. אבל לכל הפחות הוא יכול לעשות להם עבודה הרבה יותר קשה. דוגמה לכך היא מתקפה מהחודש שעבר על משתמשי War of Warcraft שהצליחה בחלק מהמקרים לעקוף את מנגנוני האימות על-ידי יצירת אתר המתחזה לחנות למכירת אביזרי המשחק הווירטואלי. אך לשם כך דרושה מתקפה ברמה הרבה יותר גבוהה מהמתקפות הרגילות לגניבת סיסמאות.

כבר היום אנחנו חיים במציאות שסיסמאות סטטיות הן אינן מספקות כדי באמת להגן עלינו מפשעי הרשת, במיוחד כשמשתמשים רבים עדיין משתמשים בסיסמאות בנאליות כמו "password", "123456" או סיסמאות דומות. אימות כפול וסיסמאות חד-פעמיות הן הרבה יותר בטוחות, במיוחד אם הן מוטמעות בחומרה, ולא מגיעות רק בצורה של תוכנה.

איך מפעילים את מנגנון האימות הכפול?

כאמור, שירותים מקוונים רבים כבר מציעים לגולשים שימוש במנגנון אימות כפול כשירות הניתן בחינם, אך תצטרכו להירשם ולהפעיל אותו בעצמכם. בדרך כלל תמצאו את הפעלת המנגנון תחת 'הגדרות', 'פרטיות' או 'אבטחה', ורוב האתרים גם ילוו אתכם בתהליך הפעלת השירות. שימוש במנגנון הכפול הופך לחשוב במיוחד אם אתם משתמשים בשירות המקוון כדי לאחסן מידע אישי, חשוב או עסקי.

האם אני צריך את זה בכל אתר?

התשובה הקצרה היא – לא. באופן אידיאלי מומלץ להשתמש באימות כפול בשירותים החשובים יותר, אלה שמכילים מידע שלא הייתם מוכנים לסכן בשום מצב. הרבה מגולשי הרשת רשומים או נרשמים לעשרות שירותים מקוונים שברבים מהם הם מבקרים פעם אחת בלבד, ואין טעם להפעיל אימות כפול באתרים אלו.

האם השירות חסין מפריצות?

לא, אבל האימות הכפול מוסיף לגולש שכבת אבטחה נוספת שהופכת אותו למטרה פחות אטרקטיבית בעיני ההאקרים. הונאות אינטרנט מסוימות יגרמו למשתמש להוריד אפליקציות או תוכנות המתחזות לאפליקציות אמתיות ובכך לעקוף את מנגנוני האימות, אבל ברוב המקרים מנגנון האימות הכפול מציע שכבת הגנה בעלת ערך גבוה לגולשים.

כמו-כן, במידה והפעלתם אימות דו-שלבי וקיבלתם לפתע סמס עם קוד הכניסה לשירות שלכם, תוכלו לדעת שמישהו מנסה להיכנס לחשבון שלכם בזה הרגע – הזדמנות מעולה להחליף סיסמה ולמנוע גניבה של המידע הרגיש שלכם.

האם המשתמש הממוצע באמת יכול להפיק תועלת מהמנגנון?

כן. במיוחד בשירותי אחסון כדוגמת Dropbox – בו משפחות רבות משתמשות כדי לאחסן כמות אדירה של מידע, ואינן משתמשות במנגנון האימות הכפול. כמו-כן, כדאי לשקול שימוש במנגנון גם ברשתות החברתיות - פייסבוק, טוויטר ולינקדאין – שכן גם שם מאוחסן הרבה מהמידע האישי שלנו.

האם זה יכול לעזור לעסק שלי?

כן. סקר שערכנו לאחרונה הראה ששני שלישים מהחברות שמאפשרות לעובדיה לעבוד מהבית לא מספקות גישה מאובטחת לרשת הארגונית, ולמעשה מעמידה את המידע של הארגון בסכנה. מנגנוני אימות כפולים יכולים לאפשר עבודה מרחוק על הרשת הארגונית ועדיין לשמור על רמת אבטחה טובה.