אימות רב-גורמי (MFA) הוא חלק מהותי מהשיטות המומלצות של ניהול זהויות וגישה של היום. זו גם אחת מדרישות התאימות העיקריות לאימות זהות משתמש. MFA מאפשר לך להוסיף עוד שכבת הגנה לנקודות קצה, נתונים ופונקציונליות קריטיים. התפקיד העיקרי של MFA הוא לוודא שהאדם או הישות שמנסים לגשת לנכסים מוגנים הם באמת מי שהם מתיימרים להיות.
במאמר זה, אנו מסבירים מהו אימות רב-גורמי אמיתי ונסתכל על שיטות האימות הדו-גורמי העיקריות בהן תוכל להשתמש כדי לשפר את אבטחת הסייבר שלך.
מהו אימות רב-גורמי ודו-גורמי?
ישנן שלוש קטגוריות של גורמים. עליך להשתמש בשניים לפחות.
שיטות אימות קלאסיות הן בדרך כלל גורם אחד: סיסמה (אם אתה יודע אותה, אתה מורשה), מפתח (אם יש לך אותה, אתה מקבל גישה), וכן הלאה. אימות רב-גורמי, הידוע גם בשם אימות דו-גורמי או פשוט 2FA, מחייב שתהליך האימות יכלול אימות של גורמים לפחות משתיים מתוך שלוש קטגוריות:
- משהו שמשתמש יודע (סיסמה, PIN, תשובה לשאלה סודית וכו')
- משהו שיש למשתמש (מפתח, אסימון אבטחה, כרטיס בנק, סמארטפון וכו')
- משהו שמשתמש הוא / ביומטריה (טביעת אצבע, קשתית, קול וכו')
ספקים מסוימים עשויים להוסיף אימות מיקום וזמן להגדרה זו.
מהו לא אימות דו-גורמי?
התשובה היא חיונית לאבטחת הנתונים שלך.
עם תשומת הלב הגוברת לאבטחה ולאימות, ספקים רבים משקיעים מאמצים בחיזוק תהליכי האימות שלהם. אבל אל תיתפסו בניסוח השיווקי; לא כל גישות האימות הרב-שלבי יכולות להיקרא MFA אמיתי.
לדוגמה, קבוצה של שאלות סודיות או תמונות סודיות בעקבות מסך אימות האישורים פשוט מייצגת מרכיב ידע נוסף. זוהי גישת ריבוי שלבים אך לא גישת אימות מרובה גורמים. לשאול שאלה כמו מה הכינוי של הבוס שלנו?כנראה לא יהיה קו הגנה שני טוב מספיק. לפחות, לא מעמית שאוהב לשאול סיסמאות.
דוגמה נוספת לאימות מבוסס ידע כפול היא השימוש בסיסמה בצירוף קוד אימות שנשלח לאימייל של המשתמש. ברוב המקרים, ניתן לגשת לאימייל מכל מקום באמצעות פיסת ידע נוספת – סיסמת חשבון הדוא"ל. ולמרות שיש כמה ספקי דוא"ל שתומכים ב-2FA, לא כל המשתמשים שלהם באמת מאפשרים זאת. לדוגמה, מעל לפי הדיווחים, 90% ממשתמשי Gmail אינם משתמשים בתכונת 2FA החינמית שמספקת Google.
קוד אימות SMS שנשלח לסמארטפון המאומת של המשתמש מייצג גורם בעלות. לפיכך, הוא יכול ליצור אימות דו-גורמי אמיתי יחד עם אימות אישורים.
תרחישים המתוארים למעלה הם דוגמאות למה שנקרא אימות חזק.
אבל זכרו: בעוד שכל אימות מרובה גורמים הוא חזק, לא כל אימות חזק הוא רב גורמים.
שיטות לבניית מערכת אימות דו-גורמי
מאיפה כדאי להתחיל?
כפי שציינו, גורם הירושה, המיוצג על ידי ביומטריה, אינו פופולרי בקרב ספקי מערכות מחשוב. אימות ביומטרי משמש בעיקר במערכות בקרה המשרתות מיקומי גישה מוגבלים, לרוב בצורה של תעודות זהות ביומטריות. רשתות חברתיות וספקי מכשירים ניידים גם משתמשים באופן פעיל בביומטריה כאחד מגורמי אימות הזהות.
גישה גנרית יותר שרוב ספקי מערכות המחשב מסתמכים עליה מבוססת על השילוב של גורמי ידע וחזקה.
ידע מיוצג באופן מסורתי על ידי אישורים – שם משתמש וסיסמה. חבורה שלמה של טכנולוגיות בסיסיות משמשות לחיזוק גורם האימות הזה: כספות סיסמאות, מערכות ניהול סיסמאות, סיסמאות חד פעמיות וכן הלאה.
ישנן מספר שיטות ליישום גורמי החזקה בתהליך 2FA. שלושת הפופולריים והנפוץ ביותר הם:
- טוקנים אבטחה
- טוקנים הנמסרים בנייד
- סיסמאות חד פעמיות מבוססות זמן
בואו נסתכל מקרוב על כל אחת מהשיטות הללו.
טוקן אבטחה הוא מכשיר המכיל תוכנה שיכולה ליצור קודי אימות. ישנם שני סוגים של טוקנים:
- טוקנים מחוברים נוצרים כאשר המכשיר מחובר לנקודת הקצה היעד.
- טוקנים מנותקים נוצרים באופן עצמאי, ללא צורך בחיבור המכשיר לנקודת הקצה.
רמה מסוימת של אי נוחות היא אחד החסרונות העיקריים של שימוש באסימוני אבטחה. יש יותר מדי דברים לטפל בהם: ייצור, ניהול, תחזוקה והחלפה של מכשירים רבים.
שלא לדבר על כך שאתה צריך לקחת מכשיר נוסף בכל פעם שאתה רוצה לגשת לנקודת קצה מוגנת.
ניתן לראות בטוקנים הנמסרים לנייד כשיפור לטוקני המכשיר המקוריים. בניגוד למכשירים ייעודיים, שיטה זו משתמשת בדבר היחיד שכמעט לכולם תמיד נמצא איתו – סמארטפון.
כיום, טוקנים הנמסרים לנייד הם אחת משיטות ה-MFA הפופולריות והנפוצות ביותר. בדרך כלל, משתמש המבקש גישה לנקודת קצה או נתונים מוגנים מקבל קוד אישור ב-SMS או הודעה באפליקציה.
למרות שהיא נוחה, לגישה זו יש גם מספר חסרונות:
- יצירת טוקנים – יש ליצור טוקנים באופן דינמי, ואבטחת התהליך תהיה תלויה במידה רבה באלגוריתם המתאים. קוד הגישה צריך להיות תקף לזמן מוגבל בלבד, יפוג לאחר השימוש הראשון, ולהשתנות כל הזמן כדי למנוע ניחוש עיוור.
- מסירה מאובטחת של הקוד – אבטחת מסירת ההודעות תלויה באופן מלא באבטחה התפעולית של המפעיל הסלולרי. ישנן טכניקות כמו האזנות סתר ושיבוט SIM שיכולות לספק לפושעי סייבר את הידע הדרושים להם כדי לקבל גישה לנכסים מוגנים.
- חיבור לרשת – בניגוד לאסימוני מכשיר, על מנת שניתן יהיה לקבל קוד אימות באמצעות סמארטפון, המשתמש צריך להיות מחובר לרשת הסלולרית או לאינטרנט .
סיסמאות חד פעמיות מבוססות זמן. כדי לענות על החסרונות של טוקנים הנמסרים לנייד, התעשייה הציגה כמה אנלוגים של טוקנים מנותקים לסמארטפונים, אחד מהם ידוע כאלגוריתם סיסמא חד פעמי מבוסס-זמן, או TOTP. גישה זו, שזכתה לפופולריות על ידי גוגל ואמזון, מאומצת יותר ויותר.
בקיצור, בשלב האימות, משתמש מתחיל אפליקציה בטלפון החכם שלו ומייצר קוד גישה שהוא מזין בחלון האימות של השירות שאליו הוא מנסה לגשת. בצד המערכת, האלגוריתם מייצר קוד אימות המבוסס על אותו משבצת זמן ואותה וקטור ראשוני שהוקצו למשתמש ולמכשיר הספציפיים הללו. אם קוד הגישה וקוד האימות שסופקו תואמים, ניתנת גישה.
אתגרים של יישום 2FA
למרות שכל הגישות לאימות דו-גורמי שתיארנו משפרות את האבטחה, ישנן מספר בעיות כלליות שעדיין צריך לטפל בהן.
ראשית, ישנה בעיה של תהליך קצת יותר ארוך ומורכב מנקודת המבט של המשתמש. אבל מנקודת מבט של אבטחה 2FA, החלק החלש ביותר במוצרי אימות דו-גורמי רבים הוא תהליך שחזור החשבון.
בדרך כלל, תהליך השחזור כולל רק גורם אחד לאימות זהות – כגון איפוס סיסמה באמצעות קישור שנשלח בדוא"ל – ולכן הוא פגיע. מספר הפרות גדולות של מערכת אימות דו-גורמי שנדונו בתקשורת יוחסו לגורם זה בדיוק. אחד התרחישים האפשריים של הפרה כזו היה מתואר על ידי מתיו פרינס, מנכ"ל מערכת אספקת תוכן האינטרנט CloudFlare.
במערכות עסקיות פנימיות, כאשר מספר המשתמשים קטן יחסית ותהליך האימות נשלט על ידי הצוות הפנימי, תהליך השחזור יכול להיות ידני או ידני למחצה, מה שלוקח יותר זמן אך מספק אבטחה טובה בהרבה.
שנית, התקפות אדם-באמצע ויירוט SMS הם שני איומים שמנגנון ה-2FA הסטנדרטי פגיע ל. פושעי סייבר עשויים להשתמש בצורות שונות של התקפות MITM כדי ליירט חיבורי אינטרנט, להפנות קורבנות לאתר או אפליקציה מזויפים ולגנוב קודים לגיטימיים חד-פעמיים. תוקפים יכולים גם להשתמש בטכניקות שיבוט SIM ובתוכנות זדוניות שונות כדי לחטוף הודעות עם קודי אימות. למעשה, יירוט SMS היה מה שגרם לפריצת Reddit אפשרי בשנת 2018.
אחד הפתרונות האפשריים לאתגרים אלו הוא יישום MFA בשילוב עם כלים ופונקציונליות מתוחכמים יותר, כגון מערכת SMS מבוססת טוקנים (בניגוד למערכות מבוססות טלפון נייד רגיל), ביומטריה התנהגותית והצפנת נתונים. אך למרות שלאימות דו-גורמי יש מגבלות, אין לזלזל ביתרונות של תרגול אבטחת סייבר זה.
כאשר נעשה שימוש באימות דו-גורמי
האם 2FA הוא חובה עבורך?
עבור משתמשים רגילים, השימוש ב-2FA כדי להגן על הנתונים האישיים שלהם הוא אופציונלי. כיום, אתה יכול להפעיל MFA עבור פלטפורמות מדיה חברתית רבות כולל פייסבוק, טוויטר, לינקדאין ואינסטגרם. הוא זמין גם עבור Dropbox, מוצרי Google, מערכות Microsoft והרבה פתרונות פופולריים ופלטפורמות מבוססות ענן.
עבור עסקים, לעומת זאת, אימות רב-גורמי, ו-2FA בפרט, הוא שיטה מומלצת, ובמקרים מסוימים, אפילו דרישה רגולטורית. לדוגמה, PCI DSS דרישה 8.3 (מגרסה 3.2) קובעת שימוש באימות רב-גורמי עבור כל גישה לרשת לסביבת נתוני הכרטיס, הן מרחוק מחוץ לרשת והן בתוך הרשת המהימנה. השימוש ב-MFA נדרש גם על ידי NIST.
על פי נוהלי האבטחה הטובים ביותר, להלן ארבעת סוגי המשימות שאימות הזהות המשופר הזה צריך לשמש עבורן:
- אישור של פעולות ועסקאות קריטיות
- גישה לנקודות קצה קריטיות
- גישה לנתונים קריטיים
- אימות משני עבור חשבונות משותפים
למרות שהמשימות הללו קשורות זו בזו באופן טבעי, אנו מבחינים ביניהן כדי לציין טוב יותר את התהליכים העסקיים שבהם נדרש אימות רב-גורמי.
הפיקו תועלת מפתרון 2FA החינמי של Syteca
ניתן ליישם יכולות אימות רב-שלבי (MFA) מלאות באמצעות כלי ה-2FA החינמי של Syteca. כחלק מפתרונות ניהול הזהות והגישה שלנו, Syteca מספקת אפשרויות מובנות לאימות דו-גורמי המיועדות להגן על הנכסים הארגוניים החשובים ביותר שלכם.
כלי ה-2FA שלנו מבוסס על אימות TOTP (קוד חד-פעמי מבוסס זמן), המנוהל באופן מרכזי כגורם האימות השני. קודי האימות נשלחים למכשירי אנדרואיד ו-iOS דרך האפליקציות Google Authenticator או Microsoft Authenticator. בנוסף, ניתן להפעיל את פונקציונליות ה-2FA על כל שרתי Windows ו-Linux שבהם מותקן לקוח Syteca.
לחלופין, ניתן להשתמש במפתח סודי כאפשרות נוספת לאימות דו-גורמי, בהתאם לצרכים הספציפיים של הארגון שלכם.
מסקנה
אימות דו-שלבי (2FA) הוא מרכיב חיוני להבטחת רמה גבוהה של הגנה על זהות המשתמש וגישה למידע רגיש. חשוב לציין כי אימות רב-גורמי (MFA) ואימות דו-שלבי אינם זהים: MFA אמיתי מחייב שימוש בלפחות שניים מתוך שלושה גורמים לאימות זהות – ידע, החזקה, וירושה.
Syteca מציעה כלי 2FA חינמי המבוסס על שילוב של גורמי ידע (אישורי משתמש) והחזקה (מכשיר משתמש מאומת). שילוב זה אינו רק יעיל ובעלות נמוכה, אלא גם נוח במיוחד, שכן המכשיר הנייד של המשתמש הוא כל מה שדרוש לאימות הזהות.
באמצעות כלי ה-2FA של Syteca, תוכלו:
- להגן על מערכות ונקודות קצה קריטיות.
- להגביל גישה לנתונים רגישים.
- להוסיף שכבת אבטחה נוספת להליכי הכניסה של משתמשים מורשים, עובדים מרוחקים וצדדים שלישיים.
פתרון זה מספק שכבת הגנה נוספת ומשמעותית, המבטיחה את אבטחת הגישה לארגון שלכם בקלות וביעילות.
