אם האקר יגלה את אישורי הכניסה שלך, הם יכולים לגשת לכל הנתונים שלך. אז אם סיסמאות הן הבעיה, איך נוכל להיות ללא סיסמאות?
סיסמאות היו חלק קריטי באבטחה מקוונת מאז שחר האינטרנט, והן עדיין צורת האימות הנפוצה ביותר הזמינה כיום. עם זאת, עם עלייתן של מתקפות סייבר נגד אימות מבוסס סיסמאות ופריצות נתונים הרות אסון, סיסמאות סטטיות לא יכולות לחתוך אותה יותר.
אז אם לסיסמאות יש סיכוני אבטחה רציניים, האם נוכל פשוט להיפרד מהן ובמקום זאת להשתמש בכניסות ללא סיסמה?
מה הבעיה בשימוש בסיסמאות?
למרות שסיסמאות פשוטות למדי לשימוש ועובדות היטב עם שיטות אימות אחרות, הן אינן מאובטחות כפי שהיינו רוצים שהן יהיו. וזה בעיקר הטעויות שלנו.
רוב הסיסמאות שקל לזכור אינן חזקות, ו הסיסמאות החזקות ביותר לא קל לזכור. כדי להתמודד עם הדילמה הזו, אנחנו יכולים להמציא סיסמה אחת או שתיים כמעט בלתי ניתנות לפיצוח ולהשתמש בהן בכל החשבונות המקוונים שלנו ובמכשירים שונים. הבעיה עם זה היא שאם אחת מהסיסמאות שלך מגיעה לידיים הלא נכונות, כל האפליקציות והשירותים שחולקים את הסיסמה הזו עלולים להיפגע גם הם.
לפי א מחקר של Verizon, למעלה מ-80 אחוז מהפרצות מידע הקשורות לפריצה נגרמות מססמאות גרועות או גנובות, שהם בממוצע של ארבע מתוך חמש הפרות ברחבי העולם. זה לא עוזר שאנשים רבים לא משנים סיסמאות ברירת מחדל מיד (או בכלל) ואלה מופצות לפעמים דרך פורומי האקרים.
בינתיים, הכלים לפיצוח סיסמאות הופכים טובים יותר בניחוש סיסמאות, מה שאומר שזה רק עניין של זמן עד שסיסמה "בלתי ניתנת לפיצוח" תיפצח. כמו כן, סיסמאות נגנבות באמצעות התקפות הנדסה חברתית, ואלה הולכות ומתוחכמות הודות לבינה מלאכותית (AI) - אפילו ChatGPT נתפס כותב תוכנה זדונית.
בנוסף, סיסמאות נשלחות לפעמים דרך רשתות לא מאובטחות, מה שהופך את גניבתן למשחק ילדים עבור פושעי סייבר. אם אי פעם השתמשת ב-Wi-Fi בבית הקפה האהוב עליך, כנראה שביצעת את החטא הביטחוני הזה.
אז אם סיסמאות אינן מצליחות להצליח, מהן האלטרנטיבות המאובטחות ביותר?
מהן חלופות הסיסמאות הטובות ביותר לאבטחה טובה יותר?
מכיוון שסיסמאות סטטיות ומערכות אימות עם סיסמה אחת עלולות לגרום לבעיות אבטחה חמורות, נוכל להחליף אותן בחלופות מאובטחות יותר ולהפסיק לדאוג לבטיחות שלנו באינטרנט. אבל איזו חלופה לסיסמה היא הטובה ביותר לאבטחה?
1. ביומטריה
בהקשר של אבטחת סייבר, ביומטריה או אימות ביומטרי היא שיטת אבטחה הבודקת את המאפיינים הביולוגיים הייחודיים שלך כדי לאשר את זהותך. בין אם אנחנו מדברים על מיפוי טביעות אצבע, סריקות רשתית, אימות קולי או זיהוי פנים, ביומטריה עוסקת במזהים הייחודיים שלך.
לעומת זאת, מכיוון שסיסמה מאובטחת היא שילוב של אותיות גדולות וקטנות, מספרים וסמלים - בקיצור, קשה לזכור - היא עלולה להחליק את הזיכרון שלך כאילו זה כלום. אימות ביומטרי מאובטח פירושו סיסמה אחת (כלומר הפנים, הקול או טביעת האצבע שלך) ולעולם לא תשכח זאת.
בעוד פושעי סייבר יכולים להשתמש בעותק של הפנים, הקול או טביעת האצבע שלך בהתקפת זיוף, שימוש בכלי אבטחה חכמים והוספת שיטות אימות נוספות יכולים למזער סיכון זה באופן משמעותי. שימוש ביומטרי גם מפחית את הסיכון להתחזות מוצלחת וסוגים אחרים של התקפות הנדסה חברתית.
עם זאת, בעוד ביומטריה מאובטחת וידידותית יותר למשתמש מאשר סיסמאות, יש להן גם כמה חסרונות. כלומר, אימות ביומטרי דורש חומרה ותוכנה מיוחדים, שיכולים לשים את זה על הצד היקר. כמו כן, נתונים ביומטריים הם די אישיים, כך שאנשים מסוימים עשויים להרגיש לא בנוח להשתמש בהם לצורך אימות.
2. אימות רב-גורמי
כמו שהשם מרמז, אימות רב-גורמי (או בקיצור MFA) היא שיטת אימות המבקשת שני גורמי אימות או יותר לפני שהיא מאפשרת גישה לאפליקציה או שירות מקוון.
לכן, במקום להסתפק בשם משתמש וסיסמה סטטית, MFA מבקש גורמי אימות נוספים כגון סיסמאות חד פעמיות, מיקום גיאוגרפי או סריקת טביעת אצבע. על ידי הקפדה על גניבת אישורי משתמש, MFA מפחיתה את הסיכוי להתרחשות הונאה מוצלחת או גניבת זהות.
למרות ש-MFA מאובטח יותר משימוש בסיסמה סטטית בלבד, זה גם פחות נוח מכיוון שהמשתמשים נדרשים לבצע מספר שלבים. לדוגמה, אם אתה מאבד מכשיר שבו אתה משתמש לאימות השני, אתה עלול להינעל מחוץ לכל החשבונות המקוונים שלך המשתמשים ב-MFA.
3. סיסמאות חד פעמיות
ידוע גם בשם סיסמאות דינמיות, מספרי PIN חד-פעמיים וקודי הרשאה חד-פעמיים (OTACs), סיסמאות חד פעמיות (OTP) הן סיסמאות שניתן להשתמש בהן להפעלת התחברות אחת בלבד. לכן, כפי שהשם מרמז, ניתן להשתמש בשילוב זה של תווים רק פעם אחת, מה שעוזר לו להימנע מכמה פגמים בסיסמאות סטטיות.
בעוד ששמות הכניסה של המשתמשים נשארים זהים, הסיסמה משתנה עם כל כניסה חדשה. לכן, מכיוון שלא ניתן להשתמש ב-OTP בפעם השנייה, גניבתו אינה הגיונית עבור פושעי סייבר, מה שהופך סוגים מסוימים של גניבת זהות ללא יעילים.
שלושת הסוגים הנפוצים ביותר של OTP הם אימות SMS, דואר אלקטרוני וקישור דוא"ל (המכונה קישור קסם), וכולם מציעים כניסה פשוטה ומאובטחת למשתמשים שלהם. מכיוון שאין סיסמאות סטטיות, אין סיכון שמשתמשים לא יצליחו לזכור או יאבדו אותן בדרך אחרת.
עם זאת, יש כמה חסרונות גם עם OTPs, ויש להם כל מה לעשות עם שירות תלות בספק - לא תקבל OTP או קישור קסם אם ספק הדוא"ל או ה-SMS שלך לא ישלח אותו לך. אפילו משלוחי דואר אלקטרוני עלולים להתעכב בגלל מהירות חיבור אינטרנט איטית או גורמים דומים.
4. כניסה חברתית
כניסה חברתית או התחברות חברתית היא תהליך המאפשר למשתמשים להיכנס לאפליקציות ולפלטפורמות מקוונות על ידי באמצעות מידע מאתרי רשתות חברתיות (כגון פייסבוק, טוויטר ולינקדאין) שבהם הם משתמשים כעת. צורה זו של כניסה פשוטה ומהירה במיוחד היא אלטרנטיבה נוחה ליצירת חשבון רגילה שגוזלת זמן רב.
אבל הפרות והדלפות גרמו למשתמשים רבים לחוסר אמון בכניסה חברתית מבחינת אבטחה. מאחר שחברות ממשיכות לאסוף נתוני משתמשים, חששות הפרטיות בכניסות חברתיות ממשיכות לעלות.
5. אימות מפתח אבטחה
כדי לוודא שלמשתמשים הנכונים תהיה גישה לנתונים הנכונים, סוג זה של MFA מאבטח את הסיסמאות שלך על ידי הוספת מה שנקרא מפתח אבטחה, מכשיר פיזי שמחובר למחשב שלך (דרך יציאת USB או חיבור Bluetooth) בכל פעם שאתה נכנס לשירות זה אמצעי הגנה.
מפתחות אבטחה מבולבלים לפעמים לאסימוני אבטחה, שהם גם מכשירים פיזיים אבל כאלה שמייצרים קוד מספרי בן שש ספרות כאשר מתבקשים על ידי MFA. למרות שהם חולקים מטרה, הם אינם זהים.
בעוד שמפתחות אבטחה יכולים להילחם בהתקפות מבוססות סיסמאות (דיוג, מילוי אישורים, סיסמאות למילון, וכאלה), הם עדיין שחקן חדש יחסית במשחק אבטחת הסייבר, אז אולי הם לא כאן כדי להישאר. בנוסף, אם מפתח האבטחה שלך נגנב או אובד, זו בעיה מרכזית.
חלופות ראויות לציון אחרות לסיסמאות
אחת החלופות היותר מעוררות מחשבה לסיסמאות היא סוג של אימות ביומטרי שמזהה טיפוסי צורות גל שנוצרות על ידי קצב פעימות הלב של כל משתמש ומשתמשות בו לזיהוי - זה נקרא פעימות לב או דופק הַכָּרָה. למרות שזה בטח נהדר לא לעשות שום דבר (חוץ מלהיות חי ובועט) כדי לקבל גישה לשלך חשבונות, סוג זה של אימות מיועד לסביבות אבטחה גבוהות והוא יקר מדי עבור שימוש אישי.
חלופות נוספות ראויות לציון לכניסות מאובטחות יותר הן אימות הקשה (אשר קולט את דפוס ההקלדה הייחודי של המשתמש כדי לאשר הזהות שלהם), כניסה יחידה (המאפשרת למשתמש לקבל גישה לכל האפליקציות והשירותים שלו עם סט יחיד של אישורים), וכן מפתחות (כניסה ללא סיסמה שדורש מהמשתמשים ליצור מפתח סיסמה חדש באמצעות מאמת בכל פעם שהם רוצים לגשת לאפליקציות ולשירותים שלהם).
כמו כן, עלינו להעלות מנהלי סיסמאות אלא כשדרוג מאשר תחליף לסיסמאות - אחרי הכל, זה נקרא מנהל סיסמאות, לא מנהל ללא סיסמאות. לכן, אם אתה מעדיף להישאר עם סיסמאות, כלי מסוג זה יכול לעזור לך לאבטח את האישורים שלך, ליצור סיסמאות חזקות ולאחסן את כל כניסותיך לחוויה מקוונת חלקה יותר.
האם העתיד נטול סיסמה?
ישנם מספר סוגי אימות שבהם אתה יכול להשתמש מבלי להקליד סיסמה, אך רק חלקם מנסים לזרוק לחלוטין את הסיסמה מהתהליך - וזו לא אמורה להיות בעיה. עם שילוב של שיטות אימות מרובות, ניתן לבטל נקודת כשל אחת ולשפר את האבטחה המקוונת שלך.
באשר לעתיד, אנו מצפים שהשוק לאימות ללא סיסמה יתרחב ככל שיותר ויותר ארגונים ויחידים מחפשים פתרונות אבטחה שיכולים להילחם על בסיס סיסמאות מתקפות סייבר.