מה זה 2FA , אימות דו שלבי?

במילים פשוטות, אימות דו-שלבי משמש בנוסף לסיסמה של המשתמש בעת כניסה לחשבון כצורה שנייה של אימות. כלומר, האימות הדו-שלבי (2FA) מחייב את השתמש להציג שני סוגים שונים של ראיות לזהות לפני שהוא רשאי לגשת לחשבון , משהו שהמשתמש יודע ומשהו שיש לו גישה אליו.

משתמש שיכנס לחשבון מקוון לא יקבל גישה מיידית, עליו לספק מידע נוסף, כגון מספר זיהוי אישי (PIN), קוד אימות חד פעמי, הודעת טקסט לטלפון הנייד וכו….

למה 2FA מהווה מרכיב חשוב בהגנה?

אימות דו-שלבי (2FA) עוזר לחסום תוקפים המנסים לחטוף חשבון משתמש.

אם סיסמת משתמש נגנבת, הגנב לא יוכל לגשת לחשבון המשתמש מכיוון שנדרשת שיטת אימות נוספת. בהפוך, אם מכשיר האימות אבד או נגנב, אף אחד לא יכול לגשת לקוד האימות מבלי לדעת את סיסמת המשתמש.

איך עובד אימות דו-שלבי (2FA)?

אימות דו-שלבי מצריך תמיד צורה שנייה של זיהוי. כאשר ננסה להיכנס לחשבון, יהיה על המשתמש להזין את שם המשתמש והסיסמה שלו, בשלב הבא האימות הדו-שלבי מופעל, המשתמש נדרש לספק הוכחה שנייה לכך שהוא הבעלים של החשבון לפני שיוכל לגשת אליו.

אימות דו שלבי יכול להגיע באמצעות התקן חומרה, הודעת סמס, שיחת טלפון, דוא"ל, אפליקציות כגון: Microsoft, Google, Duo…. Authenticator, התקן ביומטרי ועוד…

מספר דרכים שבהן תוקפים יכולים לעקוף אימות דו-שלבי (2FA).

הודעת דיוג – תוקף יכול לדייג (Phishing) קוד אימות בדיוק כפי שניתן לדייג סיסמאות רגילות. לדוגמה, תוקף שולח למשתמש הודעת דיוג המעתיקה את הסגנון של התראות של נותן שירות כלשהו, ההודעה המציינת שמישהו ניסה להיכנס לחשבון המשתמש. המשתמש שקיבל הודעת המתחזה לניסיון התחברות לאותו שירות (ההודעה תאוכלס בפרטים מותאמים אישית של המשתמש כגון שם המשתמש, כתובת הדואר האלקטרוני, תמונת פרופיל וכו…) ומורה למשתמש לשנות את הסיסמה שלו. לאחר שהמשתמש נכנס לבצע שינוי סיסמה, מופיע דף התחזות נוסף המבקש את קוד האימות.

ברגע שהמשתמש משנה את הסיסמה שלו, התוקף – שעוקב אחר דף ההתחזות – נכנס לחשבון המשתמש באמצעות הסיסמה החדשה. פעולה זו מפעילה הודעת טקסט אמיתית של נותן השירות למשתמש, המכילה את קוד האימות.

המשתמש מזין את הקוד בדף שני של אתר ההתחזות. לקוד האימות יש בד"כ אורך חיים של 30-60 שניות, זה מספיק זמן עבור התוקף לסיים את הכניסה לחשבון המשתמש באמצעות האישורים וקוד האימות שלו ע"מ לשנות את אישורי הכניסה ולהשיג שליטה על החשבון.

התקפות נדסה חברתית – בדומה לפעולות דיוג, התקפות אלה משכנעות משתמשים להיכנס לחשבון מזויף עם האישורים האמיתיים שלהם, ללחוץ על קישור באתר המתחזה לאתר האמיתי המוגן ב FA2. ברגע שהמשתמש לוחץ על הקישור, הוא נוחת באתר דיוג של התוקף ומתבקש להזין את שם המשתמש והסיסמה שלו. ניסיון ההתחברות נכשל ולכן המשתמש עונה על שאלת האבטחה של MFA או מספק את קוד האימות, ומספק לתוקף את כל המידע הדרוש לו כדי לשנות את אישורי הכניסה ולהשיג שליטה על החשבון.

שימוש ב Brute force attack – שימוש בהתקפה קריפטוגרפית בה תוקף מנסה לנחש את קוד האימות עד שנמצא הרצף הנכון. במידה והקודים הם בני 4 ספרות (0000-9999) הדבר "יחסית" קל לביצוע, אך קשה יותר ככל שקוד האימות ארוך יותר.

גניבת קובצי Cookie ו Session hijacking  – בתרחיש זה, המחשב האישי של המשתמש נגוע בתוכנה זדונית והתוקף ממתין עד שהמשתמש ייכנס למצב Session, גונב את מזהה ה Session או קובץ ה-Cookie של Session המשתמש ומשתלט עליו מבלי שיזוהה.

ה Cookie בדפדפן מאפשר למשתמש שכבר נכנס לאתר לא להשתמש בסיסמה שלו בכל פעם, תודות לשימוש ב Cookies המכיל ושומר מידע על המשתמש, על אימות ועקב אחר פעילותו במהלך ה Session.

קובץ ה-Cookie נשאר במהלך ה Session ומתבטל כאשר המשתמש מתנתק ו/או ומוודה מחיקה אוטומטית של ה Cookie.

למרבה הצער, מרבית המשתמשים אינם עושים שימוש באופציה מחיקת ה Cookies עם סגירת חלון דפדפן הגלישה, מה שמאפשר לתוקף להשתמש ב Cookie של המשתמש ולגרום לנזק.

OAuth – שירותים רבים, כגון Amazon, Google, M365, Facebook ואחרים משתמשים בהרשאות פתוחות (OAuth), תקן פתוח המשמש להאצלת גישה. זוהי דרך להעניק לאתר או אפליקציה גישה למידע באתרים/אפליקציות אחרים ללא צורך במתן סיסמאות.

OAuth 2.0 נמצא בשימוש נפוץ, ובחלק מהמקרים מוגדר בצורה שגויה, הדבר מאפשר לתוקפים לגנוב קודי הרשאות או Access Tokens של משתמשים, דבר המאפשר לתוקף לגנוב את הנתונים של המשתמש.

על אף הפגמים שתוארו, אימות דו-שלבי מהווה דרך מצוינת לאבטח חשבונות משתמשים כאשר מבצעים בו שימוש נכון.

כמה טיפים לשמירת בטיחות בעת שימוש באימות דו-שלבי (2FA):

• שימוש במידת האפשר באפליקציות אימות כמו Google או Microsoft Authenticator במקום בקוד או הודעות טקסט.
• אל תשתפו קודי אבטחה עם אף אחד.
• שימוש בקודים עם יותר מ 4 תווים.
• שימוש בסיסמאות מורכבות – עדיפות למחולל ובמנהל סיסמאות.
• אל תעשו שימוש חוזר בסיסמאות.
• הדרכת המשתמשים בנושא טקטיקות נפוצות של הנדסה חברתית.