אימות דו-גורמיהיא אחת הדרכים החשובות ביותר להגן על החשבונות שלך. עם זאת, לאחרונה כמה שיטות אימות כמו SMS ספגו אש בשל היותם פגיעים להאקרים, מה שמביס את הנקודה של "משהו שאתה יודע ומשהו שיש לך." החלטנו לבחון את השיטות הנפוצות ביותר ולדרג אותן לפי עד כמה הן באמת בטוחות.
אמנם אנחנו מדברים על אימות דו-גורמי (או 2FA) כאילו מדובר בתכונה בודדת, זה למעשה מגיע במגוון טעמים כולל קודי SMS, קודי דואר אלקטרוני,אפליקציות אימותעֲבוּרהטלפון שלך, או אפילו מפתח חומרה. אם אתה משתמש ב-SMS עכשיו, אל תיבהל.כֹּלצורה של 2FA עדיפה על אין. אל תשבית את 2FA רק כדי להימנע משימוש ב-SMS.
עם זאת, ההמכון הלאומי לתקנים וטכנולוגיהפרסם מחקרמציין ש-SMS הוא פרוטוקול ישןעם הרבה פרצות אבטחה פוטנציאליות ויש להחליפו בשיטות מאובטחות יותר. חברות לא נאלצות לעקוב אחר ההמלצות של NIST, אבל אתה יכול לצפות שרבות יתרחקו מ-SMS עם הזמן. אם יש לך אפשרות, שקול לעבור למשהו אחר עכשיו.
אפליקציות Authenticator כמו Authy ו-Google Authenticator קשות יותר להגדרה, אבל הרבה יותר בטוחות
הרעיון המרכזי מאחורי 2FA הוא להשתמש במשהו שאתה יודע (הסיסמה שלך) ובמשהו שיש לך (הטלפון שלך, למשל). אפליקציות אימות - כמוהאהובה עלינו, אותי-הפוך את הטלפון שלך ל"משהו שיש לך" מבלי לערב אף אחד אחר בדרך.
כך זה עובד: כאשר אתה מגדיר אותו לראשונה,החשבון שלך יוצר מפתח "זרע" מאובטחשהוא משתף עם הטלפון שלך באמצעות קוד QR. הזרע הזה מוצפן משני הקצוות תוך שימוש בזמן הנוכחי כדי ליצור קוד חדש כל 30 שניות בערך. רק אתה והשרת יודעים את ה-Seed, כך שתוקף לא יכול לחזות מה יהיה קוד האימות הבא שלך.
יש לזה מספר יתרונות על פני SMS ואימייל. בתור התחלה, אתה היחיד מלבד השרת עצמו שאי פעם יש לו את היכולת ליצור את הקודים שלך. אין ספק דוא"ל, אין ספק סלולרי או כל מתווך אחר. הקודים נוצרים במכשיר שלך ואתה משדר אותם רק במהלך החלון הקצר של 30 שניות שהם תקפים. גם אם האקר יוכל ליירט את ההודעה, זה יהיה חסר תועלת לפני שהם יוכלו לעשות איתה משהו.
רוב השירותים הגדולים כמו Dropbox, Amazon, Evernote ו-LastPass כולם תומכים באפליקציות האימות הללו, וזה מעודד. ובכל זאת, אפליקציות אלה מהוות כמה סיכונים קלים. אפליקציות צד שלישי כמו Authy מאפשרות לך לסנכרן את אסימוני ה-Seed שלך בין מכשירים מרובים, ועלולה לפתוח לתוקף להחליק מכשיר שאתה לא צופה בו, או לאבד שליטה עליו. קיימת גם אפשרות שתוקף יכול לפרוץ את שירות האימות עצמו ולקבל גישה למפתחות המקור של המשתמש, אם כי אם הם יפרצו, יש סיכוי גבוה יותר שהם יחפשו נתונים שימושיים יותר. בסך הכל, מבחינה טכנית המאמתים הם המאובטחים ביותר כרגע, והפחות מועדים להיפגע כאשר אתה מאבד מכשיר, מתרחק משולחן העבודה שלך או שוכח סיסמה.
דירוג אבטחה: 4/5: אפליקציות אימות הן האפשרות המאובטחת ביותר, מונעת סיכונים שנוצרו על ידי המשתמש
אימות בלחצן אחד הוא פשוט יותר, אך רוב השירותים אינם תומכים בו עדיין
שיטת שני הגורמים החדשה ביותר בבלוק היא "אימות בלחצן אחד." זה עובד בדומה לאפליקציית האימות שלמעלה, אלא שאינך צריך להעתיק ידנית קוד בן שש ספרות מהטלפון שלך לתיבת טקסט. פשוט הקש על "כן, זה אני" ואתה מוכן. כַּיוֹםגוגלוסוּפַת שֶׁלֶגהם שני השמות הגדולים שעובדים על השיטה הזו.
ההבדל העיקרי בין אימות בלחצן אחד לבין אפליקציות אימות הוא שהקודים מטופלים באופן אוטומטי, מבלי שתצטרך להזין אותם. Blizzard תראה לך קוד בטלפון שלך ותשאל אם הוא תואם לזה שבמחשב שלך. גוגל לא מראה לך שום קוד בכלל, אבל אתה יכול להניח שאם אתה מקבל את ההנחיה הזו כשאתה לא מנסה להיכנס לחשבון שלך, כנראה שאתה צריך לדחות אותו.
על פניו, השיטה הזו נראית בטוחה בדיוק כמו קודים שנוצרו באפליקציות אימות, אבל היא עדיין חדשה יחסית. רוב השירותים אפילו לא מציעים את האפשרות, כך שזו עשויה להיות משאלת לב לכל דבר מלבד חשבון Google שלך (או חשבון Battle.net שלך) לזמן מה. ובכל זאת, אם אתה מעדיף להפוך את ההתחברות שלך לפשוט יותר, אתה יכול לסמוך על זה. זו אותה טכנולוגיה כמו אפליקציות אימות שבהן אתה כנראה משתמש כבר, פשוט בפשטות.
דירוג אבטחה:4/5: מאובטח יותר מ-SMS ודוא"ל, אבל חדש ובעיקר לא נתמך.
קודים שנשלחים בדוא"ל הם מעט בטוחים יותר מ-SMS, אך לא ניתן לשלוט בהם
שירותים מסוימים מאפשרים לך לאשר את הכניסה שלך על ידי שליחת קוד אליך בדוא"ל. זה קצת יותר בטוח מקודי SMS, אבל הם עדיין סובלים מכמה חולשות. בתור התחלה, ספק הדוא"ל שלך הופך לחולייה חלשה. אם מישהו יכול לקבל גישה לחשבון האימייל שלך, הוא יכול לקבל את קודי ה-2FA שלך ישירות. בעוד שחברות מסוימות כמו גוגל טובות בהגנה על האבטחה שלך (במיוחד אם חשבון הדוא"ל שלך עצמו נעול מאחורי 2FA), זה עדיין מוסיף שבר פוטנציאלי נוסף בשרשרת.
הדואר האלקטרוני סובל גם מאותן בעיות שנוצרות על ידי משתמשים שקודים של SMS עושים. לדוגמה, לכמה מכשירים ואפליקציות יש כרגע גישה לחשבון האימייל שלך? עבור רוב, זה כנראה כולל טלפון, מחשב נייד או שולחן עבודה, ואולי טאבלט. ייתכן שתשתמש גם בשירותי צד שלישי שיש להם גישה לאימיילים שלך. תוקף שמחליק את הטאבלט שלך או פורץ לאפליקציית אנשי קשר ישנה או למארגן יומן שיש לו גישה לתיבת הדואר הנכנס שלך עשוי להיות מסוגל להיכנס לחשבונות שלך לפני שתבין מה קרה.
הדוא"ל מאובטח מעט יותר מ-SMS, אבל רק. רוב ספקי הדוא"ל הגדוליםלהצפין את ההודעות שלך בזמן המעבר, ואתה לא יכול "לשכפל" את חשבון הדוא"ל שלך כמו שאתה יכול עם SIM. עם זאת, תוקפים עדיין יכולים לקבל גישה לדוא"ל שלך על ידי תקיפת ספק הדוא"ל שלך, צדדים שלישיים עם גישה לדוא"ל שלך, או על ידי החלקת אחד מהמכשירים הרבים שנכנסת אליהם. כל שירות שאתה משתמש בו במכשירים מרובים כנראה לא הולך להיות הדרך הטובה ביותר לקבל קודי אימות מאובטחים שרק אתה צריך לקבל. אם אתה יכול להשתמש במשהו אחר, כנראה עדיף לך.
דירוג אבטחה:2/5: עדיף מסמס אם אין לך ברירה אחרת, אבל עדיין לא אידיאלי.
קודי SMS נמצאים בכל מקום, אך קל לשבור אותם
שליחת קודי SMS לטלפון שלך כדי להוכיח את זהותך היא קלה, אבל זו השיטה הכי פחות בטוחה של אימות דו-גורמי. במילים פשוטות, 2FA מניח שאתה מקבל את הקודים במכשיר שרק אתה שולט בו. SMS כפרוטוקול פשוט לא יכול להבטיח זאת. האקר יכול בפוטנציהליירט הודעות טקסט בדרכן למכשיר שלך, או שהם יכולים לשכפל את ה-SIM של הטלפון שלך ולהתחזה כמוך כדי לקבל גישה לכל החשבונות שלך. מכיוון שגם ספקים מעורבים, קיימת אפילו אפשרות שמישהו יוכל לשכנע אותם להעביר את המספר שלך למכשיר אחר שהם שולטים בהם לפני שתבין מה קרה. כל השיטות הללו קשות, אבל הן קלות יותר מאשר לשבור שיטות 2FA אחרות.
אלה רק הסיכונים הטמונים ב-SMS. בפועל, רבים מאיתנו משתמשים באפליקציות כדי לקרוא את הודעות ה-SMS שלנו.Google Voice ו- MightyTextלארגן ולשלוח טקסטים למחשבים אחרים. חלק מהספקים עדיין תומכיםשליחה וקבלה של SMS מחשבון הדוא"ל שלך.Pushbulletואפילו ווינדוס 10יכול לשקף את ההודעות שלך למחשב אחר. הכלים האלה אינם מאובטחים, אבל הם כן מציעים יותר וקטורי התקפה למי שבאמת רוצה את קודי האימות שלך. רבים מאיתנו (כולל אני) מקבלים את הפשרה הזו, אבל זה כן מערער את עקרון המפתח של הודעות 2FA: שאתהורק אתהיש את הקוד הזה. אם שירות תומך רק ב-2FA מבוסס SMS, זה עדיף מכלום, אבל כדאי להשתמש במשהו אחר כשאפשר.
דירוג אבטחה:1/5: השתמש רק אם אין שיטת 2FA אחרת זמינה.
אלה לא הרַקשיטות זמינות. לא נגענו בשיחות טלפון אוטומטיות, שסובלות מאותן חסרונות כמו SMS, או מפתחות חומרה, שרוב האנשים לא ישתמשו בהם., אבל אלו הן האפשרויות הפופולריות ביותר הזמינות עבור רוב השירותים. זכור, אין פתרון מושלם בכל הנוגע לאבטחה, אך שיטות מסוימות טובות יותר מאחרות. אנחנו עדיין מנסים להגיע לרוב האתריםלאפשר אימות דו-גורמי בכלל, הרבה פחות להשתמש בטוֹב בִּיוֹתֵרשִׁיטָה. עם זאת, אם יש לך ברירה, בחר את האפשרות הטובה והבטוחה ביותר מבין מה שיש לך. .