בעולם של היום אנו משתמשים באתרים ושירותי רשת מרובים, כאשר האופן הבסיסי ביותר להתחברות אליהם הוא שם משתמש וסיסמה. זהו הפתרון הנפוץ ביותר, אך גם הכי פחות בטוח כאשר אנשים רבים משתמשים בסיסמאות פשוטות או באותה הסיסמה במספר אתרים, מה שפוגם בבטיחות המידע שלנו במיוחד כשפריצה לחשבונות, גניבת מידע והתקפות פישינג הן דברים נפוצים בימינו.

לחלל זה נכנס מנגנון ה"אימות דו-שלבי" הידוע גם בתור 2FA (ר"ת Two-factor authentication), כאשר בנוסף קיימים גם פתרונות מרובי שלבים. הרעיון העיקרי של השיטה היא תוספת של מנגנון אימות לזהות המשתמש מעבר לשם המשתמש והסיסמה שנשארים קבועים, כשלרוב מדובר בקוד אימות זמני התקף לזמן מוגבל בלבד.

את האימות הדו-שלבי חברת גוגל הציגה עוד בשנת 2011 כאשר עם הזמן יותר ויותר אתרים ושירותים החלו לתמוך במנגנון הזיהוי המאובטח. אפשר למצוא את הרשימה המלאה באתר twofactorauth.org, רשימה חלקית מאוד המכילה אתרים כמו icloud, dropbox, onedrive, telegram, whatsapp, steam, facebook, reddit, tumbler ועוד רבים אחרים.

החשיבות של האימות בשני שלבים גדלה גם לאור העובדה שישנם אתרים המשתמשים ברשתות חברתיות כמו פייסבוק, טוויטר וגוגל כאמצעי זיהוי מול האתר עצמו, כך שלאתר ניתן להיכנס עם שם משתמש וסיסמה או על ידי שימוש בחשבון חיצוני, מה שמגדיל את חשיבות ההגנה על ההתחברות של המשתמש לשירות.

שיטות אימות דו שלבי

בעוד שהשלב הראשון הכולל את הזנת שם המשתמש והסיסמה הוא אחיד ברוב המקרים, השלב השני של האימות יכול להתבצע במספר דרכים שונות:

• הודעת SMS – קבלת SMS למכשיר הסלולר המכיל קוד חד פעמי לאימות הזהות.
• אישור על ידי קוד מתוכנה – שימוש בקוד מוגבל בזמן המיוצר על ידי תוכנה יעודית.
• אישור על ידי התקן נאמן – ייחודי לאנדרואיד ומאפשר להשתמש במכשיר הסלולר לאשר התחברות לחשבון גוגל.
• אישור על ידי התקן חומרה – שימוש בהתקן חומרה יעודי המשתמש לווידוא זהות, התקן הפופולרי בתחום הוא U2F (ר"ת Universal 2nd Factor).

השימוש בהודעות SMS לשם וידוא הזהות קיים באתרים כמו פייסבוק, אך נחשב לפחות אמין ובטוח מאחר וניתן לגנוב את הודעת ה-SMS עם הקוד היעודי באמצעים שונים. לעומת זאת, שימוש בהתקן חומרה לאימות דו-שלבי מאובטח בהרבה אך לא נתמך בהרבה שירותים ודורש השקעה כספית בקניית ההתקן החומרתי.

מה שמשאיר אותנו עם האמצעי המומלץ ביותר, אישור על ידי קוד על ידי תוכנה ועליו ידבר המדריך הזה.

אימות על ידי תוכנה

על מנת להתחיל להשתמש באימות דו-שלבי תוכנתי יש צורך בתוכנה אשר תספק לנו את הקודים לאימות הדו-שלבי. אחת המוכרות ביותר והידועה מבינהן היא ה-Google Authenticator של גוגל הזמינה למכשירי אנדרואיד ואפל. קיימות תוכנות נוספות ומתקדמות יותר לשימוש עם אימות דו-שלבי דוגמת Authy, אך ה-Authenticator של גוגל נחשב לתוכנה המובילה והמקובלת ביותר בתחום.

לאחר התקנת האפליקציה נקבל הסבר מקוצר על צורת העבודה עם התוכנה ולאחר מכן נעבור למסך הראשי שלה.

על מנת להתחיל ולייצר קודי אימות מהמכשיר הסלולרי נצטרך להוסיף חשבון לאתרים או שירותים אליהם נרצה להתחבר באמצעות אימות דו שלבי. את הפעולה נבצע באמצעות לחיצה על כפתור ה-"+" בחלק התחתון של האפליקציה שיאפשר לנו להזין קוד הפעלה יעודי או לסרוק קוד QR שיסופק על ידי האתר (הדרך הפשוטה יותר).

לאחר הוספת האתר/שירות ואימות הקוד מול האתר אנו נקבל קוד 6 ספרתי המשתנה פעם בדקה, כשניתן לראות "שעון עצר" המראה כמה זמן נשאר לקוד להיות פעיל, לחיצה ארוכה על הקוד מעתיקה אותו במכשיר הסלולר במידה ורוצים להיכנס לאתר במכשיר עצמו.

גוגל

מערכת האימות הדו-שלבי של גוגל (Google) מחולקת ל-2 שלבים שונים, הפעלת אימות דו-שלבי "כללי" ולאחר מכן הוספת אימות דו-שלבי תוכנתי דרך המאמת של גוגל. על מנת להפעיל את האימות הדו-שלבי יש לבצע את השלבים הבאים:

1. בחשבון ה-Gmail נלחץ על תמונת הפרופיל בחלק השמאלי העליון ולאחר מכן על "חשבון גוגל".
2. בחלון שנפתח תחת "כניסה ואבטחה" נלחץ על "כניסה לגוגל".
3. נבחר ב-"אימות דו-שלבי" להוספת האימות.
4. נלחץ על "תחילת עבודה" להתחלת התהליך.
5. נאמת את הסיסמה של חשבון הגוגל על מנת לוודא שאנחנו אכן המשתמש.
6. במידה ויש לכם מכשיר סלולרי עם חשבון הגוגל פעיל תתבקשו לאשר את הכניסה בחלון קופץ בסלולר.
7. גוגל תבקש מכם להוסיף את מספר הסלולרי שלכם בתור אמצעי גיבוי.
8. תתבקשו להכניס את הקוד שקיבלתם בהודעת SMS.
9. לאחר אימות הקוד יש ללחוץ על כפתור "הפעל" על מנת להפעיל סופית את האימות הדו-שלבי בחשבון הגוגל שלכם.

לאחר שהפעלנו את האימות הדו-שלבי בחשבון הגוגל הגיע הזמן להוסיף את האימות הדו-שלבי התוכנתי, כך שנוכל לקבל את הקוד אימות היישר מתוכנת ה-Google Authenticator.

1. נלחץ על כפתור ה"הגדרה" תחת "אפליקציית מאמת חשבונות".
2. נבחר בסוג המכשיר בו אנו משתמשים ונלחץ "הבא".
3. את קוד ה-QR שמתקבל נסרוק על ידי אפליקציית המאמת של גוגל.
4. נכניס את הקוד שהתקבל באפליקציה לאימות התקינות.
5. נלחץ על כפתור ה"סיימתי" לסיום התהליך.

בסוף כל התהליך הזה מופעל לנו אימות דו-שלבי בכל יישומי גוגל השונים מה-Gmail ועד אחסון ה-Drive של החברה כשגוגל תבקש מאיתנו קוד לכניסה לחשבון או אימות דרך מכשיר הסלולרי שהוגדר כ-"אמין" על ידי המשתמש להתחברות.

פייסבוק

פייסבוק (Facebook), הרשת החברתית הגדולה בעולם, תומכת באישור דו-שלבי באמצעים מרובים כמו SMS והתקני חומרה, אבל במקרה שלנו נגדיר את ה-Google Authenticator בצורה הבאה:

1. בצד השמאלי של חלון הפייסבוק נלחץ על סימן המשולש לפתיחת התפריט ולאחריו על הגדרות.
2. במסך הגדרות נבחר "אבטחה והתחברות".
3. תחת "אימות דו-שלבי" נלחץ על כפתור העריכה בשורה של "שימוש באימות דו-שלבי".
4. נבחר להוסיף אימות דו-שלבי על ידי לחיצה על כפתור "התחל".
5. בשיטת האבטחה נבחר ב-"אפליקציית אימות" ונלחץ על כפתור "הבא".
6. בחלון שנפתח נקבל קוד QR וקוד אימות ידני, באפליקציית "המאמת של גוגל" נלחץ על הוספת חשבון ונשתמש בקוד QR או בקוד הידני ולאחר ההוספה נלחץ על כפתור "הבא" במסך הפייסבוק.
7. על מנת לוודא את תקינות האימות הדו-שלבי נזין קוד 6 ספרתי אותו מספקת לנו המאמת של גוגל ונלחץ "הבא".
8. פייסבוק יאשר כי האימות הדו-שלבי הופעל בהצלחה ולסיום נלחץ על "סיים".

מעכשיו כל פעם שנרצה להיכנס לחשבון הפייסבוק נתבקש להזין את הקוד ה-6 ספרתי אותו מייצר לנו המאמת של גוגל לשם וידוא הזהות שלנו. דרך עמוד ההגדרות בפייסבוק ניתן לבחור גם באילו התקנים או דפדפנים פייסבוק לא תבקש מאיתנו את קוד האימות, אך הדבר פחות מומלץ.

בנוסף לקבלת הקוד דרך תוכנת האימות של גוגל, פייסבוק הכניסה מחולל קוד פנימי בתוך גרסת האפליקציה הרגילה שלה תחת "הגדרות ופרטיות" > "Code Generator".

וואטסאפ

בתוכנת המסרים וואטסאפ (WhatsApp) האימות הדו-שלבי עובד בצורה אחרת לעומת גוגל ופייסבוק מאחר ואין לתוכנה שם משתמש או סיסמה קבועים, אלא רק קוד אימות המקושר למספר הסלולרי של המשתמש.

האימות הדו-שלבי נועד במקרה זה על מנת לאמת שהאדם שמחזיק במספר הטלפון יודע את הקוד הנוסף, ומהווה הגנה מפני מצב בו אדם אחר משתלט על חשבון הוואטסאפ שלכם על ידי שימוש במספר הטלפון.

1. בתוך אפליקציית וואטסאפ נפתח את חלון האפשרויות על ידי לחיצה על 3 הנקודות בצד העליון של המסך.
2. נלחץ על "הגדרות" > "חשבון" > "אימות דו-שלבי".
3. נבחר להפעיל את האימות הדו-שלבי על ידי כפתור "הפעל".
4. נכניס קוד 6 ספרות ונאמת אותו.
5. נכניס מייל גיבוי שדרכו נוכל לשחזר את קוד האימות.
6. האימות הדו-שלבי בוואטסאפ הופעל.

מעכשיו אפליקציית וואטסאפ תדרוש מכם את קוד האימות הדו-שלבי כל פעם שתתקינו אותה על מכשיר חדש וגם מפעם לפעם ובאופן אקראי על המכשיר עצמו עליו מותקנת האפליקציה, על מנת לוודא את זהות המשתמש.

טלגרם

בדומה לוואטסאפ, כך גם תוכנת המסרים טלגרם (Telgram) משתמשת באימות דו-שלבי על מנת לוודא שהמשתמש אכן הינו הבעלים המקוריים של החשבון וזאת לאחר האימות של הקוד המתקבל בהודעת ה-SMS.

1. באפליקציית טלגרם נבחר ב-"הגדרות" > "פרטיות ואבטחה" > "אימות דו-שלבי".
2. נלחץ על הגדרת סיסמה.
3. נזין סיסמא, אין הגבלה על אורך או סוג תווים, ונאמת אותה.
4. נוסיף רמז לסיסמה.
5. נוסיף אימייל לשחזור סיסמה ונאמת אותו.
6. טלגרם תשלם למייל לינק לאימות המייל שלאחריו הטלגרם יאמת את הפעלת האימות הדו-שלבי בחשבון.

אימות דו-שלבי חומרתי

למרות שהמדריך עוסק באימות דו-שלבי תוכנתי, חשוב להזכיר גם את הפתרון החומרתי שזמין כיום ומתמקד במשתמשים וארגונים המעוניינים באבטחה מוגברת.

אימות דו-שלבי חומרתי משתמש במפתח חיצוני הדומה לזיכרון נייד (DOK) עם חיבור USB או עם חיבור בלוטות' אלחוטי המאפשר ליישומים ואתרים לאמת את הזהות של המשתמש, המפתחות הללו משתמשים בתקן U2F (ר"ת Universal 2nd Factor) ומגיעים מחברות כמו Feitian, Thetis או Yubico כשלאחרונה גם גוגל עצמה החלה לייצר מפתחות משלה תחת המותג Titan.

את היתרונות של המפתחות החומרתיים ניתן לראות בדו"ח של גוגל, שמסרה כי מאז 2017, עת החברה עברה לעבוד עם מפתחות חומרתיים לאימות על ידי יותר מ-85 אלף עובדי החברה לא נרשם אירוע אחד של פישינג (phishing) בו נגנבה או נוצלה זהות של עובד החברה וזאת בניגוד לאחוז הגבוה של אירועים אלו בחברות שאינן משתמשות באבטחה מוגברת.

מפתחות U2F מגיעים במגוון צורות וגדלים כאשר המחיר למפתח בסיס נע באזור ה-20 דולרים.

סיכום

האימות הדו-שלבי היא הדרך הפשוטה ביותר לקבל הגנה משודרגת בחינם. הדבר היחיד שצריך לעשות הוא להפעיל את האפשרות באתרים השונים מאחר והיא אינה פעילה כברירת מחדל. עבור אלו מכם המעוניינים באבטחה מוגברת מומלץ לשקול שימוש במפתח U2F חומרתי לאימות הדו-שלבי.

במדריך עברנו על שני אתרים ושתי תוכנות מסרים, אך מנגנון האימות הדו-שלבי נמצא באתרים, שירותים ואפליקציות נוספות, כאשר צורת ההפעלה דומה ביניהם ודורשת מכם להפעיל בהגדרות את האימות הדו-שלבי ולבצע סנכון בין האתר לבין אפליקציית האימות בה אתם משתמשים.

מומלץ בחום להשתמש באימות הדו-שלבי בכמה שיותר מקומות על מנת לקבל הגנה מוגברת ולמנוע מצבים בהם גורם זר נכנס לכם לחשבון על ידי גילוי השם משתמש והסיסמה שלכם.