סיסמאות הן פתרון אבטחה פופולרי עבור שירותים דיגיטליים שונים, אך אין ספק שמדובר בבעיה. קשה לזכור אותן, הן נגנבות בקלות ולעיתים אף מתפרסמות ב-DarkNet. על פי מחקר שערכה חברת ניהול הסיסמאות LastPass, המספר הממוצע של סיסמאות שעובד צריך לזכור הוא 191. איש אינו יכול לזכור כל כך הרבה סיסמאות.
ובעוד ששירותים שונים דורשים מאיתנו להחליף סיסמה פעם בתקופה, רוב האנשים משתמשים שוב ושוב באותן סיסמאות, או שהן משנים אותן רק מעט. גרוע מכך, הם כותבים אותם איפשהו ליד תחנת העבודה שלהם. לדוגמה, עובד משרד המשפטים האמריקני נראה בעבר כשהוא עובר בבידוק הביטחוני בשדה תעופה בוושינגטון DC, כשכל הסיסמאות שלו ומידע ההתחברות הודבק לתחתית המחשב הנייד שהונפק לו על ידי הממשלה.
לרוע המזל המצב רק יחמיר ככל שיותר ויותר עובדים ימצאו את עצמם זקוקים לגישה לשירותי ענן, שירותים מקוונים ואתרי אינטרנט רבים. בשל המגמה של גולשים להשתמש בכתובת הדואר האלקטרוני כשם המשתמש, חלק אחד ממידע ההתחברות המאובטח הוא כעת ציבורי, ומשאיר את הסיסמה כקו ההגנה היחיד.
"סיסמאות קיימות מאז שהומצאו מחשבים", אמר דן דה-מישל, סמנכ"ל ניהול מוצר בספקית הגישה המאובטחת LogMeIn. "הן לא נעלמות, אפילו כשאנו יוצרים למשתמש הקצה חוויית שימוש חסרת סיסמה".
דה-מישל אמר כי 80 אחוז מהפריצות הן תוצאה של סיסמאות גנובות, שנחשפו בדרך כלל בהתקפות פישניג. במקרים אחרים, לדבריו, הפריצות הן תוצאה של מתקפות בהן התוקף משתמש במחשב כדי לנחש ללא הרף את הסיסמה הנכונה עד שהוא יצליח. כאשר משתמש עושה שימוש חוזר בסיסמה, או משתמש בסיסמאות דומות עם שינוי קל בלבד, זה הופך את העבודה של התוקף להרבה יותר קלה.
זוכרים פחות סיסמאות
פיתרון אחד הוא להחזיק רק סיסמה יחידה, או אולי רק כמה מעטות. הגישה לשלל השירותים הדיגיטליים תנוהל על ידי שכבה של תוכנה המאמתת כל משתמש ואז מעבירה את האימות הזה לכל היישומים או נקודות הגישה האחרות באמצעות סיסמאות ארוכות ומורכבות שהתוכנה יוצרת ושהמשתמש לא רואה אף פעם.
כדי להפוך את הכניסה באמצעות סיסמה יחידה למאובטחת יותר, אך עדיין ניתנת לניהול על ידי צוות ה-IT של הארגון, ניתן להוסיף גורמים נוספים לתהליך האימות. גורמים אלה יכולים להיות כרטיסים חכמים כמו אלה המשמשים את הממשלה הפדרלית בארה"ב, מפתחות אבטחה בתצורת USB או קוראים ביומטריים.
קישור הטלפון החכם
גישה חדשה לגורמי אימות נוספים, המכונה אימות מרובה שלבים, היא להתייחס לסמארטפון של המשתמש כאמצעי אימות. זה עובד טוב מכיוון שרוב הסמארטפונים כוללים אמצעי אימות מאובטח למדי משל עצמם. גם מכשירי אנדרואיד וגם אפל משתמשים כבר בטביעות אצבע או בזיהוי פנים, כלומר תוכלו להשתמש בטלפון כחלק מתהליך ההזדהות.
אם כבר מצאתם את עצמכם מקבלים הודעות אימות בצורה של הודעות טקסט, זהו אמצעי אימות המשמש את הבנקים, הממשלה וארגונים אחרים במאמץ למנוע כניסות הונאה. לרוע המזל, אימות באמצעות מסרונים אינו מאובטח במיוחד מכיוון שניתן ליירט את ההודעות הללו, אך הוא עדיף מכלום.
דרך טובה יותר היא להשתמש באפליקציית אימות בסמארטפון שאינה תלויה במסרונים. יישומים אלה זמינים ממיקרוסופט, מגוגל ומאחרים, כולל LastPass. בדרך כלל אתר המשתמש במאמת דו-שלבי יאמר באיזה יישום להשתמש.
מי אתם?
לעתים קרובות נאמר כי גישת האבטחה האיכותית ביותר צריכה להיות תלויה במשהו שהמשתמש מכיר, ברכוש הקיים אצלו או בתכונה שלפיה הוא מוגדר. פירוש הדבר יכול להיות סיסמה ייחודית או מכשיר אחר, כולל סמארטפון וכן אמצעי לזהות את המשתמש באופן ביומטרי.
סמארטפונים יכולים להתמודד עם סוגים מסוימים של זיהוי ביומטרי, ואילו אמצעי גישה אחרים יכולים לתמוך באמצעים נרחבים יותר עבור זיהוי. לדוגמה, ישנם התקנים שעשויים לדרוש מהמשתמש לסרוק את הרשתית או הקשתית שלו או לסרוק את היד שלו על פי התבנית הייחודית של כלי הדם מתחת לעור.
באופן דומה, יתכן שתידרשו להציג התקן אבטחה פיזי. התקנים אלה מגיעים בתצורת USB או מפתח בלוטות' מאובטח. כל אחד מהם, המשמש בשילוב עם צורה אחרת של אימות, יכול להיות מאובטח באופן סביר מבלי לדרוש מצוות ה-IT בארגון לדרוש כל הזמן לאפס את הסיסמאות.
תכנון עתידי
אם אתם מעוניינים לתכנן את רשת המחשבים הארגונית כך שתהיה תלויה פחות בסיסמאות, כדאי להכיר את תקן FIDO שנועד לפתור את בעיית הסיסמאות בעולם. הקבוצה העומדת מאחוריו קובעת סטנדרטים לאימות, היא מאשרת מוצרים והיא עורכת הדרכה בסדרת אירועים.
אפשר גם ליישם את פתרון הסיסמה היחידה, כשזה מסופק על ידי שירותים רבים, וכן לרכוש מוצרי IT שאינם דורשים הזדהות באמצעות סיסמה, כמו מחשבים ניידים עם חלונות 10 שאימצה את Windows Hello המאפשרת הזדהות ללא סיסמה. ישנם מכשירי אנדרואיד 7.0 העומדים בתקני FIDO2.
נכון שהדבר דורש היערכות רבה מראש ולעיתים גם הוצאות כספיות גבוהות, אך חשוב להבין ששילוב בין שם המשתמש וסיסמה כבר לא מאובטח כפי שהיה, והדבר רק יחמיר.
