בעולם של היום אנו משתמשים באתרים ושירותי רשת מרובים, כאשר האופן הבסיסי ביותר להתחברות אליהם הוא שם משתמש וסיסמה. זהו הפתרון הנפוץ ביותר, אך גם הכי פחות בטוח כאשר אנשים רבים משתמשים בסיסמאות פשוטות או באותה הסיסמה במספר אתרים, מה שפוגם בבטיחות המידע שלנו במיוחד כשפריצה לחשבונות, גניבת מידע והתקפות פישינג הן דברים נפוצים בימינו.
לחלל זה נכנס מנגנון ה"אימות דו-שלבי" הידוע גם בתור 2FA (ר"ת Two-factor authentication), כאשר בנוסף קיימים גם פתרונות מרובי שלבים. הרעיון העיקרי של השיטה היא תוספת של מנגנון אימות לזהות המשתמש מעבר לשם המשתמש והסיסמה שנשארים קבועים, כשלרוב מדובר בקוד אימות זמני התקף לזמן מוגבל בלבד.
את האימות הדו-שלבי חברת גוגל הציגה עוד בשנת 2011 כאשר עם הזמן יותר ויותר אתרים ושירותים החלו לתמוך במנגנון הזיהוי המאובטח. אפשר למצוא את הרשימה המלאה באתר twofactorauth.org, רשימה חלקית מאוד המכילה אתרים כמו icloud, dropbox, onedrive, telegram, whatsapp, steam, facebook, reddit, tumbler ועוד רבים אחרים.
החשיבות של האימות בשני שלבים גדלה גם לאור העובדה שישנם אתרים המשתמשים ברשתות חברתיות כמו פייסבוק, טוויטר וגוגל כאמצעי זיהוי מול האתר עצמו, כך שלאתר ניתן להיכנס עם שם משתמש וסיסמה או על ידי שימוש בחשבון חיצוני, מה שמגדיל את חשיבות ההגנה על ההתחברות של המשתמש לשירות.
בעוד שהשלב הראשון הכולל את הזנת שם המשתמש והסיסמה הוא אחיד ברוב המקרים, השלב השני של האימות יכול להתבצע במספר דרכים שונות:
השימוש בהודעות SMS לשם וידוא הזהות קיים באתרים כמו פייסבוק, אך נחשב לפחות אמין ובטוח מאחר וניתן לגנוב את הודעת ה-SMS עם הקוד היעודי באמצעים שונים. לעומת זאת, שימוש בהתקן חומרה לאימות דו-שלבי מאובטח בהרבה אך לא נתמך בהרבה שירותים ודורש השקעה כספית בקניית ההתקן החומרתי.
מה שמשאיר אותנו עם האמצעי המומלץ ביותר, אישור על ידי קוד על ידי תוכנה ועליו ידבר המדריך הזה.
על מנת להתחיל להשתמש באימות דו-שלבי תוכנתי יש צורך בתוכנה אשר תספק לנו את הקודים לאימות הדו-שלבי. אחת המוכרות ביותר והידועה מבינהן היא ה-Google Authenticator של גוגל הזמינה למכשירי אנדרואיד ואפל. קיימות תוכנות נוספות ומתקדמות יותר לשימוש עם אימות דו-שלבי דוגמת Authy, אך ה-Authenticator של גוגל נחשב לתוכנה המובילה והמקובלת ביותר בתחום.
לאחר התקנת האפליקציה נקבל הסבר מקוצר על צורת העבודה עם התוכנה ולאחר מכן נעבור למסך הראשי שלה.
על מנת להתחיל ולייצר קודי אימות מהמכשיר הסלולרי נצטרך להוסיף חשבון לאתרים או שירותים אליהם נרצה להתחבר באמצעות אימות דו שלבי. את הפעולה נבצע באמצעות לחיצה על כפתור ה-"+" בחלק התחתון של האפליקציה שיאפשר לנו להזין קוד הפעלה יעודי או לסרוק קוד QR שיסופק על ידי האתר (הדרך הפשוטה יותר).
לאחר הוספת האתר/שירות ואימות הקוד מול האתר אנו נקבל קוד 6 ספרתי המשתנה פעם בדקה, כשניתן לראות "שעון עצר" המראה כמה זמן נשאר לקוד להיות פעיל, לחיצה ארוכה על הקוד מעתיקה אותו במכשיר הסלולר במידה ורוצים להיכנס לאתר במכשיר עצמו.
מערכת האימות הדו-שלבי של גוגל (Google) מחולקת ל-2 שלבים שונים, הפעלת אימות דו-שלבי "כללי" ולאחר מכן הוספת אימות דו-שלבי תוכנתי דרך המאמת של גוגל. על מנת להפעיל את האימות הדו-שלבי יש לבצע את השלבים הבאים:
לאחר שהפעלנו את האימות הדו-שלבי בחשבון הגוגל הגיע הזמן להוסיף את האימות הדו-שלבי התוכנתי, כך שנוכל לקבל את הקוד אימות היישר מתוכנת ה-Google Authenticator.
בסוף כל התהליך הזה מופעל לנו אימות דו-שלבי בכל יישומי גוגל השונים מה-Gmail ועד אחסון ה-Drive של החברה כשגוגל תבקש מאיתנו קוד לכניסה לחשבון או אימות דרך מכשיר הסלולרי שהוגדר כ-"אמין" על ידי המשתמש להתחברות.
פייסבוק (Facebook), הרשת החברתית הגדולה בעולם, תומכת באישור דו-שלבי באמצעים מרובים כמו SMS והתקני חומרה, אבל במקרה שלנו נגדיר את ה-Google Authenticator בצורה הבאה:
מעכשיו כל פעם שנרצה להיכנס לחשבון הפייסבוק נתבקש להזין את הקוד ה-6 ספרתי אותו מייצר לנו המאמת של גוגל לשם וידוא הזהות שלנו. דרך עמוד ההגדרות בפייסבוק ניתן לבחור גם באילו התקנים או דפדפנים פייסבוק לא תבקש מאיתנו את קוד האימות, אך הדבר פחות מומלץ.
בנוסף לקבלת הקוד דרך תוכנת האימות של גוגל, פייסבוק הכניסה מחולל קוד פנימי בתוך גרסת האפליקציה הרגילה שלה תחת "הגדרות ופרטיות" > "Code Generator".
בתוכנת המסרים וואטסאפ (WhatsApp) האימות הדו-שלבי עובד בצורה אחרת לעומת גוגל ופייסבוק מאחר ואין לתוכנה שם משתמש או סיסמה קבועים, אלא רק קוד אימות המקושר למספר הסלולרי של המשתמש.
האימות הדו-שלבי נועד במקרה זה על מנת לאמת שהאדם שמחזיק במספר הטלפון יודע את הקוד הנוסף, ומהווה הגנה מפני מצב בו אדם אחר משתלט על חשבון הוואטסאפ שלכם על ידי שימוש במספר הטלפון.
מעכשיו אפליקציית וואטסאפ תדרוש מכם את קוד האימות הדו-שלבי כל פעם שתתקינו אותה על מכשיר חדש וגם מפעם לפעם ובאופן אקראי על המכשיר עצמו עליו מותקנת האפליקציה, על מנת לוודא את זהות המשתמש.
בדומה לוואטסאפ, כך גם תוכנת המסרים טלגרם (Telgram) משתמשת באימות דו-שלבי על מנת לוודא שהמשתמש אכן הינו הבעלים המקוריים של החשבון וזאת לאחר האימות של הקוד המתקבל בהודעת ה-SMS.
למרות שהמדריך עוסק באימות דו-שלבי תוכנתי, חשוב להזכיר גם את הפתרון החומרתי שזמין כיום ומתמקד במשתמשים וארגונים המעוניינים באבטחה מוגברת.
אימות דו-שלבי חומרתי משתמש במפתח חיצוני הדומה לזיכרון נייד (DOK) עם חיבור USB או עם חיבור בלוטות' אלחוטי המאפשר ליישומים ואתרים לאמת את הזהות של המשתמש, המפתחות הללו משתמשים בתקן U2F (ר"ת Universal 2nd Factor) ומגיעים מחברות כמו Feitian, Thetis או Yubico כשלאחרונה גם גוגל עצמה החלה לייצר מפתחות משלה תחת המותג Titan.
את היתרונות של המפתחות החומרתיים ניתן לראות בדו"ח של גוגל, שמסרה כי מאז 2017, עת החברה עברה לעבוד עם מפתחות חומרתיים לאימות על ידי יותר מ-85 אלף עובדי החברה לא נרשם אירוע אחד של פישינג (phishing) בו נגנבה או נוצלה זהות של עובד החברה וזאת בניגוד לאחוז הגבוה של אירועים אלו בחברות שאינן משתמשות באבטחה מוגברת.
מפתחות U2F מגיעים במגוון צורות וגדלים כאשר המחיר למפתח בסיס נע באזור ה-20 דולרים.
האימות הדו-שלבי היא הדרך הפשוטה ביותר לקבל הגנה משודרגת בחינם. הדבר היחיד שצריך לעשות הוא להפעיל את האפשרות באתרים השונים מאחר והיא אינה פעילה כברירת מחדל. עבור אלו מכם המעוניינים באבטחה מוגברת מומלץ לשקול שימוש במפתח U2F חומרתי לאימות הדו-שלבי.
במדריך עברנו על שני אתרים ושתי תוכנות מסרים, אך מנגנון האימות הדו-שלבי נמצא באתרים, שירותים ואפליקציות נוספות, כאשר צורת ההפעלה דומה ביניהם ודורשת מכם להפעיל בהגדרות את האימות הדו-שלבי ולבצע סנכון בין האתר לבין אפליקציית האימות בה אתם משתמשים.
מומלץ בחום להשתמש באימות הדו-שלבי בכמה שיותר מקומות על מנת לקבל הגנה מוגברת ולמנוע מצבים בהם גורם זר נכנס לכם לחשבון על ידי גילוי השם משתמש והסיסמה שלכם.