מה קורה אם אני מאבד את הטלפון שלי עם מפתח סיסמה?

אם מפתח הסיסמה סונכרן עם חשבון iCloud / Google שלך, תוכל לשחזר אותו על ידי כניסה לחשבון זה במכשיר חדש. אם זה היה קשור למכשיר (מפתח חומרה), בדרך כלל רשמתם גם מכשיר גיבוי - כל אתר שתומך במפתחות סיסמה ממליץ לרשום לפחות שניים. זרימת השחזור חוזרת לאימייל/SMS אם שניהם נכשלים.

האם מפתחות סיסמה זהים לכניסה ביומטרית?

לא בדיוק. הביומטרי (Touch ID, Face ID) הוא זה שפותח את המפתח במכשיר שלך. המפתח עצמו הוא מפתח קריפטוגרפי. טביעת האצבע לעולם לא עוזבת את המכשיר שלך - האתר רואה רק חתימה ממפתח במובלעת המאובטחת שלך. הביומטרי מאשר את ההצפנה; זה לא מועבר.

האם ניתן לגנוב מפתח?

המפתח הפרטי חי בחומרה מאובטחת (Secure Enclave, TPM, TitanM2) ונועד להיות בלתי ניתן לחילוץ. מפתחות סיסמה מסונכרנים בענן יכולים להיחשף אם חשבון iCloud או Google שלך נפגע - וזו הסיבה שחשבונות אלה זקוקים להגנה חזקה משלהם (באופן אידיאלי עם מפתח חומרה 2FA).

האם כל האתרים עובדים עם מפתחות סיסמה?

רק אתרים שהטמיעו WebAuthn. האימוץ הוא רחב אך לא אחיד - אתרי טכנולוגיה ופיננסים גדולים תומכים בו בדרך כלל, אתרים קטנים יותר לרוב לא. כאשר אתר אינו תומך במפתחות סיסמה, אתה חוזר לסיסמה + 2FA, וזה בסדר.

האם מפתחות סיסמה בטוחים יותר ממפתחות חומרה?

בערך שווה ערך למאפיין התנגדות התחזות. למפתחות החומרה יש יתרון אחד: לעולם לא ניתן לחלץ את האישור גם אם המחשב או חשבון הענן שלך נפגעים. מפתחות סיסמה מסונכרנים נוחים יותר ומוגנים באותה מידה להתחזות, אך פחות עמידים בפני חשבון ענן שנפגע לחלוטין. עבור חשבונות עם הימור גבוה, השתמש במפתח חומרה. לשימוש יומיומי, מפתחות סיסמה מסונכרנים הם האיזון הנכון.

הסבר על מפתחות סיסמה: כיצד FIDO2 ו-WebAuthn הורגים את הסיסמה

מפתחות סיסמה הם הדבר הקרוב ביותר עד כה ליורש אמיתי של סיסמאות. הם מאמתים אותך באמצעות קריפטוגרפיה במקום סוד משותף, הם מסונכרנים בין המכשירים שלך באמצעות מחזיק מפתחות מערכת ההפעלה שלך, והם עמידים בפני פישינג בעיצובם. כל מערכת הפעלה, דפדפן וספק זהות מרכזיים מספקים כעת תמיכה במפתחי סיסמה.

גוף המאמר המלא מסופק באנגלית להלן.

A passkey הוא אישור FIDO2 - זוג מפתחות קריפטוגרפי שנוצר ומאוחסן על ידי מערכת ההפעלה של המכשיר שלך, המשמש לאימותך לאתר או לאפליקציה מבלי להקליד סיסמה. הדפדפן מוכיח החזקת המפתח הפרטי על ידי חתימה על אתגר מהאתר; האתר מאמת באמצעות המפתח הציבורי הרשום. אין סיסמאות, אין קודים, אין חיכוך מעבר לטביעת אצבע או להנחיית זיהוי פנים.

איזה מפתחות מחליפים

לזרימת ההתחברות המסורתית יש שלוש בעיות מרובדות:

סיסמאות ניתנות לניחוש. המילים הנפוצות ביותר ודפוסי מילים הם המילים הפשוטות. התקפות של מילוי אישורים ממחזרות מסדי נתונים של סיסמאות שדלפו כנגד כל אתר.
סיסמאות ניתנות לשימוש חוזר. משתמשים עושים בהן שימוש חוזר בשירותים, כך שהפרה אחת מסכנת חשבונות רבים.
2FA ניתנת לשימוש חוזר בקוד של TOXXZ, ניתן לבלוע קוד SMS19XX. התחזות בזמן אמת, רק מפתחות חומרה מוגנים באמת - ומפתחות חומרה כבדי חיכוך מדי עבור משתמשים מזדמנים.

Passkeys מכווצים את חוויית הסיסמה + 2FA לבדיקת ביומטרית או PIN יחידה במכשיר שכבר מאומת למעשה.XPLZ pass24XXXHow. works

הפרוטוקול הבסיסי הוא WebAuthn (תקן W3C) בצד הדפדפן ו-CTAP2 (Protocol Client to Authenticator) כאשר מעורב התקן נפרד כמו מפתח חומרה. יחד הם מיישמים את מסגרת FIDO2.

כאשר אתה רושם מפתח ב-example.com:

האתר מבקש מהדפדפן שלך ליצור אישור.
מערכת ההפעלה מייצרת זוג מפתחות ECC (בדרך כלל ב-Secure Enclave /TXPM3TheSecure Enclave /TXMPL3XXX). משייך את המפתח הציבורי ל-example.com ומזהה אישור.
הדפדפן שולח את המפתח הציבורי לאתר, אשר מאחסן אותו ברשומת החשבון שלך.
המפתח הפרטי לעולם לא עוזב את האחסון המאובטח של המכשיר שלך.

כאשר אתה מתחבר לאתר a47PLZ4XX4 בפעם הבאה: אתגר אקראי.

הדפדפן מבקש ממערכת ההפעלה לחתום על האתגר עם המפתח הפרטי שלך example.com.

מערכת ההפעלה מבקשת ממך לאשר - Touch ID, Face ID, Windows Hello, או PIN.

האתגר החתום חוזר לאתר, אשר מאמת אותו אל המפתח הציבורי'XPL5Z אתה מאוחסן'XPL5ZXReported. in.

למה מפתחות סיסמה חסינים בפני פישינג

הדפדפן קושר את החתימה לדומיין (המקור) שבו המשתמש מבקר בפועל. אם אתה נמצא ב-example.com האמיתי, החתימה היא למשל.com. אם מרמים אותך אל evil-example.com, הדפדפן מייצר חתימה עבור evil-example.com, שאותה ה-example.com האמיתי לא יקבל. התוקף לא יכול ליירט ולהפעיל מחדש את האישורים - אין סוד שניתן להפעיל מחדש כמו סיסמה או קוד TOTP ללכוד.

זהו אותו מאפיין שהפך את מפתחות החומרה ל-FIDO2 להגנה מפני דיוג, כעת מורחבת לאישורים מנוהלים במערכת ההפעלה שאינם דורשים דונגל נפרד.

XPLZ6 device-bound
Tיש שני טעמים של מפתח סיסמה:
Synchroned passkeys. מאוחסנים במחזיק מפתחות מערכת ההפעלה (מחזיק מפתחות iCloud, Google Password Manager, 1Password, Bitwarden) ומסונכרנים בין המכשירים שלך. אתה יכול להיכנס מהמחשב הנייד שלך באמצעות מפתח סיסמה שנוצר בטלפון שלך. הכי ידידותי לצרכן.
מפתחות סיסמה הקשורים למכשיר. הישאר על מכשיר אחד, בדרך כלל מפתח חומרה. ערבויות אבטחה גבוהות יותר (לא ניתן לחלץ גם אם חשבון ה-iCloud שלך נפגע) במחיר של צורך במכשיר הפיזי בכל פעם. מקרי שימוש ארגוניים ובאבטחה גבוהה מעדיפים את אלה.
Cross-device sign-in
אתה יכול להיכנס למכשיר שאין לו את המפתח שלך על ידי שימוש במפתח במכשיר קרוב. הזרימה הסטנדרטית: המחשב הנייד מציג קוד QR, אתה סורק אותו עם הטלפון שלך, הטלפון שלך מאמת עם מפתח הסיסמה ושולח את הטענה למחשב הנייד באמצעות בדיקת קרבה בלוטות'. מהיר, לא דורש שהטלפון יהיה על אותו Wi-Fi, מונע התקפות למרחקים ארוכים מכיוון ש-Bluetooth מוכיח קרבה פיזית.
אימוץ ב-2026
השקת מפתח הסיסמה עברה מהר יותר מתקני אבטחה טיפוסיים:
Apple, Google, Microsoft שלחו תמיכה במפתחות סיסמה במחזיקי המפתחות של מערכת ההפעלה שלהם מאז 2022–2023
1Password, Bitwarden, Dashlane הוסיפו סנכרון של מפתחות סיסמה חוצי מערכות הפעלה ב-2023
אתרים מרכזיים עם תמיכה במפתחות סיסמה כוללים את גוגל, אפל, פייפאל, מיקרוסופט, מיקרוסופט, מיקרוסופט, רכישה, מיקרוסופט, פייפאל, מיקרוסופט, רכישה עוד מאות
אתרים רבים עדיין ברירת המחדל לסיסמה+2FA אך מציעים מפתח סיסמה כאפשרות
החיכוך כעת הוא בעיקר אימוץ האתר והכרת המשתמש. הטכנולוגיה מסודרת.
היכן שמפתחות הסיסמה נופלים
כמה מגבלות כנות:
שחזור החשבון קשה יותר. אבד את כל המכשירים שלך וגישה לספק הסנכרון של המפתח שלך, ואתה עלול לאבד את ספק הסנכרון שלך. אתרים התומכים במפתחות סיסמה עדיין זקוקים לזרימת שחזור חשבון, ולעיתים קרובות נופלים בחזרה לאימייל או ל-SMS - מה שאומר שרצפת האבטחה היא עדיין ספק הדוא"ל או הטלפון.
Lנעילה על ידי ecosystem. מחזיק מפתחות iCloud של אפל מסנכרן מפתחות סיסמה בין מכשירי אפל היטב; סנכרון בין ספקים מחייב מנהל סיסמאות של צד שלישי.
הוכחת דיוג אינה הוכחת השתלטות על חשבון. לא ניתן לדוג מפתח סיסמה, אבל קובצי Cookie של הפעלה לאחר הכניסה עדיין עלולים להיגנב על ידי תוכנות זדוניות.
XPLZ28ForXXPLZ סיסמאות טובות יותר מאשר לרוב החשבונות. ההעברה מתרחשת באתר מרכזי אחד בכל פעם.

שאלות נפוצות

מה קורה אם אני מאבד את הטלפון שלי עם מפתח סיסמה?: אם מפתח הסיסמה סונכרן עם חשבון iCloud / Google שלך, תוכל לשחזר אותו על ידי כניסה לחשבון זה במכשיר חדש. אם זה היה קשור למכשיר (מפתח חומרה), בדרך כלל רשמתם גם מכשיר גיבוי - כל אתר שתומך במפתחות סיסמה ממליץ לרשום לפחות שניים. זרימת השחזור חוזרת לאימייל/SMS אם שניהם נכשלים.
האם מפתחות סיסמה זהים לכניסה ביומטרית?: לא בדיוק. הביומטרי (Touch ID, Face ID) הוא זה שפותח את המפתח במכשיר שלך. המפתח עצמו הוא מפתח קריפטוגרפי. טביעת האצבע לעולם לא עוזבת את המכשיר שלך - האתר רואה רק חתימה ממפתח במובלעת המאובטחת שלך. הביומטרי מאשר את ההצפנה; זה לא מועבר.
האם ניתן לגנוב מפתח?: המפתח הפרטי חי בחומרה מאובטחת (Secure Enclave, TPM, TitanM2) ונועד להיות בלתי ניתן לחילוץ. מפתחות סיסמה מסונכרנים בענן יכולים להיחשף אם חשבון iCloud או Google שלך נפגע - וזו הסיבה שחשבונות אלה זקוקים להגנה חזקה משלהם (באופן אידיאלי עם מפתח חומרה 2FA).
האם כל האתרים עובדים עם מפתחות סיסמה?: רק אתרים שהטמיעו WebAuthn. האימוץ הוא רחב אך לא אחיד - אתרי טכנולוגיה ופיננסים גדולים תומכים בו בדרך כלל, אתרים קטנים יותר לרוב לא. כאשר אתר אינו תומך במפתחות סיסמה, אתה חוזר לסיסמה + 2FA, וזה בסדר.
האם מפתחות סיסמה בטוחים יותר ממפתחות חומרה?: בערך שווה ערך למאפיין התנגדות התחזות. למפתחות החומרה יש יתרון אחד: לעולם לא ניתן לחלץ את האישור גם אם המחשב או חשבון הענן שלך נפגעים. מפתחות סיסמה מסונכרנים נוחים יותר ומוגנים באותה מידה להתחזות, אך פחות עמידים בפני חשבון ענן שנפגע לחלוטין. עבור חשבונות עם הימור גבוה, השתמש במפתח חומרה. לשימוש יומיומי, מפתחות סיסמה מסונכרנים הם האיזון הנכון.