PASSWORD••••••factor 1+YubiKeyfactor 2two factors → access

אימות דו-גורמי

10 דקות קריאהבִּטָחוֹן

סיסמה בלבד היא גורם אחד - "משהו שאתה יודע". תוקף שגונב או מנחש שהוא הבעלים של החשבון. אימות דו-גורמי מוסיף גורם שני ובלתי תלוי - "משהו שיש לך" או "משהו שאתה" - שהופך את אותה סיסמה גנובה לחסרת תועלת. החלק הקשה הוא לא האם להשתמש ב-2FA. זה באיזו שיטה להשתמש, כי השיטות אינן חזקות באותה מידה.

גוף המאמר המלא מסופק באנגלית להלן.

T אימות דו-גורמי (2FA) או multi-factor אימות (MFA) דורש אישור נוסף מעבר לסיסמה כדי להיכנס. קטגוריות הגורמים הן:

  • משהו שאתה יודע - PIN9X, סיסמה אבטחה שאלה
  • משהו שיש לך — טלפון, אסימון חומרה, כרטיס חכם
  • משהו שאתה — טביעת אצבע, פנים, רשתית, קול סטנדרטי. סיסמה בתוספת שאלת אבטחה היא לא 2FA אמיתי - שניהם "משהו שאתה יודע".

    דירוג הגורמים

    מהחלש לחזק ביותר:

    • SMS - 2FA המיינסטרים המקורי. פגיע להחלפת סים (תוקף משכנע את הספק להעביר את המספר שלך) וליירט באמצעות חולשות SS7. עדיין עדיף על שום 2FA, אבל האפשרות החלשה ביותר שעדיין נמצאת בשימוש נרחב.
    • קודים שנמסרו בדואר אלקטרוני - חזק רק כמו חשבון הדוא"ל עצמו, שלעתים קרובות יש לו 2FA חלש יותר. מקובל כשיטת שחזור ממוצא אחרון, לא גורם ראשי.
    • TOTP (סיסמה חד פעמית מבוססת-זמן) - קודים שנוצרו על ידי אפליקציית אימות (Aegis, Authy, Google Authenticator, 1Password) כל 30 שניות, שנגזרו משיתוף. ניתן לדיוג, מכיוון שתוקף בזמן אמת שמערים אותך להזין את הקוד לאתר מזויף יכול להפעיל אותו מחדש.
    • Push notifications — "לאשר את ההתחברות הזו?" התראות במכשיר מהימן. נוח, אך פגיע ל"עייפות MFA" שבה תוקפים אישורי דואר זבל עד שהמשתמש מקיש על כן.
    • Hardware מפתחות אבטחה (FIDO2/WebAuthn) — אסימוני USB/NFC פיזיים כמו YubiKey, Solo, Google Titan. המפתח מסמן אתגר מהאתר, ומחייב את התגובה הצפנה למקור האתר - כלומר דיוג הוא בלתי אפשרי מכיוון שאתר מזויף לא יכול להפעיל את החתימה הנכונה. זהו תקן הזהב.

    איך TOTP עובד בפועל

    כאשר אתה נרשם, האתר מציג קוד QR המכיל סוד משותף של 160 סיביות. אפליקציית המאמת שלך מאחסנת אותו. כדי ליצור קוד, האפליקציה:

    1. T לוקחת את זמן ה-Unix הנוכחי חלקי 30 (נותנת מונה שגדל כל 30 שניות).
    2. HMAC-SHA1 עם הסוד המשותף מעבר לדלפק.
    3. מחלץ את 6 הספרות הדינמיות של HMAC גזירה).

    השרת מחשב באופן עצמאי את אותו ערך ומקבל את הקוד אם הוא תואם. הפרוטוקול מוגדר ב-RFC 6238; זה סימטרי, לא מקוון לחלוטין, ופועל בכל אפליקציית אימות.

    מדוע מפתחות החומרה שונים

    FIDO2/WebAuthn קושר את האימות למקור האתר בפרוטוקול עצמו. מפתח החומרה לעולם אינו חושף את המפתח הפרטי שלו; זה מוכיח את החזקה רק על ידי חתימה על אתגר הכולל את הדומיין של האתר. אם אתר פישינג ב-evil.com מבקש חתימת YubiKey, המפתח חותם על אתגר עבור evil.com - שאתר הבנק האמיתי לא יקבל. עם TOTP, המשתמש יכול להקליד את הקוד בן 6 הספרות שלו ב-evil.com, שמעביר אותו לבנק האמיתי בזמן אמת. מפתחות חומרה סוגרים את החור הזה.

    Code Recovery

    בכל חשבון 2FA מוגן קודי שחזור גיבוי צריכים להיות מודפסים ומאוחסנים פיזית - בכספת, עם מסמכים חשובים, בכל מקום מלבד באותו מכשיר שמכיל את הגורם השני. איבוד הגורם השני ללא קודי שחזור נועל אותך לצמיתות עבור רוב השירותים. זרימת השחזור משתנה: שירותים מסוימים מקבלים אימות זהות על ידי תמיכה, אך המגמה היא לנעילה קשה עבור חשבונות ללא קודי שחזור.

    Passkeys: 2FA בלחיצה אחת

    Passkeys (אישורי FIDO2 המאוחסנים במחזיק מפתחות מערכת ההפעלה או במנהל סיסמאות שלך) לקריסת PIN + סיסמה יחידה שכבר העבירו סיסמא יחידה במכשיר יחיד. אימות ברמת המכשיר. הם חסיני פישינג מאותה סיבה שמפתחות חומרה הם, והם מסונכרנים באמצעות iCloud Keychain, Google Password Manager, 1Password וכו'. הכיוון לטווח הבינוני הוא החלפת סיסמה + 2FA במפתחות סיסמה לאתרים חדשים, תוך שמירה על סיסמה + מפתח חומרה לאתרים מדור קודם.

    היכן 2FA חשוב ביותר

    החשבונות בעלי הערך הגבוה שדורשים 2FA חזק: הדוא"ל הראשי שלך (וקטור שחזור לכל השאר), מנהל הסיסמאות שלך, הבנק שלך, רשם הדומיינים שלך, חשבונות הענן שלך (AWS/GCP/Azure), ומאגרי הקוד שלך (GitHub/GitLab). עבור אלה, מפתח חומרה - רצוי שניים לגיבוי - הוא ההשקעה המתאימה. עבור כל השאר, TOTP באמצעות אפליקציית אימות היא ברירת המחדל המעשית.

שאלות נפוצות

האם כדאי להשתמש ב-SMS 2FA?
כן, אם לא מוצעת אפשרות טובה יותר. SMS 2FA טוב באופן דרמטי מאשר שום 2FA - הוא עוצר את עיקר ההתקפות של מילוי אישורים. אבל עבור כל חשבון שבו אתה יכול להשתמש ב-TOTP או במפתח חומרה במקום זאת, עשה זאת. התקפות החלפת סים נגד חשבונות מוגנים ב-SMS הובילו להפסדים אמיתיים, במיוחד עבור מטבעות קריפטוגרפיים וחשבונות חברתיים בעלי פרופיל גבוה.
באיזו אפליקציית אימות עלי להשתמש?
Aegis (קוד פתוח, אנדרואיד) ו-Raivo (קוד פתוח, iOS) הן בחירות נקיות. 1Password ו-Bitwarden יכולים לאחסן סודות TOTP לצד סיסמאות. הימנע מ-Google Authenticator אם אין לך גיבוי - עד לאחרונה הוא לא הסתנכרן, ומשתמשים רבים איבדו חשבונות לאחר איבוד הטלפון. Authy מסתנכרנת אבל הייתה פרצה במסד הנתונים של אנשי קשר ב-2024.
האם מפתחות חומרה שווים את העלות?
לחשבונות בעלי הערך הגבוה שלך, כן. זוג YubiKeys (אחד ראשי, גיבוי אחד בכספת) הוא בסך הכל בסביבות 90$, והוא ההשקעה האבטחה בעלת המינוף הגבוה ביותר שרוב האנשים יעשו אי פעם. כל חשבון שניתן להגדיר כך שידרוש מפתח חומרה - ורבים קריטיים יכולים - צריך להיות.
האם ניתן לעקוף את 2FA?
ניתן לעקוף הודעות TOTP ו-Push על ידי דיוג בזמן אמת (התוקף מעביר את הכניסה לאתר האמיתי). מפתחות חומרה (FIDO2) אינם יכולים, מכיוון שקישור המקור הופך את החתימה לאתר ספציפי. זרימות שחזור חשבון מחלישות גם את 2FA - אם אתה יכול לאפס את 2FA באמצעות SMS, ה-SMS הופך למשטח ההתקפה.
מדוע חלק מהאתרים תומכים רק ב-SMS 2FA?
עלות ביצוע ונגישות. SMS עובד בכל טלפון ללא התקנת אפליקציה; TOTP/FIDO דורשים הגדרה חד פעמית שלחלק מהמשתמשים מבלבלים. הבנקים הגדולים אימצו לאמץ את FIDO; שירותי ענן וטכנולוגיה אימצו את זה לפני שנים. החדשות הטובות: כל אתר שהכי חשוב לאבטחה שלך תומך לפחות ב-TOTP, ורוב מפתחות החומרה.
אימות דו-גורמי הסבר: TOTP, Push, SMS ומקשי חומרה