גוגל לא מסופקת: מפתחת אמצעי אבטחה פיזי לחשבונות האינטרנט שלנו

LizGannes
לפני מספר ימים קרה והצצתי בזרם ההודעות בטוויטר ושמתי לב למשהו מוזר. אחת מכתבות הטכנולוגיה של הבלוג AllThingsD אחריה אני עוקב בטוויטר פירסמה הודעות שהכילו קישורים מוזרים המעודדים שיטת הרזיה כלשהי. ליז הודתה מאוחר יותר דרך כתבה בבלוג כי היא נפלה קורבן לפריצה לחשבון הטוויטר שלה ולא הייתה אחראית בפועל לכתיבת ההודעות הכה לא אופייניות לפעילותה בחשבון ואף התחילה להשתמש במנהל סיסמאות שאולי ימנע מהישנות המקרה בעתיד.

למזלה של ליז, חשבונה הוחזר לידיה במהרה ע”י דיווח כי נפרץ ואיפוס סיסמא, אך ישנם אלו שלא זכו לתחיה מחודשת ועצם הפריצה לחשבון יחיד שלהם, הובילה לאסון גדול מנשוא. כך למשל סיפורו של מאט הונאן, אותו הזכרנו בעבר, אשר חווה פריצה מושלמת לכל חשבונות האינטרנט שלו ואף מחיקה של המחשב, הטאבלט והטלפון שלו.

הבעיה היא בשיטה

הבעיה היום היא עצם הניהול של אנשים את חייהם דרך האינטרנט. חשבונות המייל מנוהלים היום בצורה נהדרת על-גבי האינטרנט, מה שמפחית את הצורך להוריד את ההודעות ולגבותן במחשב. מסמכים גם הם עוברים אט אט לענן כאשר שירותי רשת כמו Google Docs, אופיס 365, דרופבוקס ואחרים מאפשרים לנו לשמור ולגשת אליהם בקלות בכל עת ומכל מקום. כל שירותי הרשת הללו מנהלים את חיינו הדיגיטלים וכולם זמינים לגישה דרך סיסמאות, אך הבעיה היא שסיסמאות הן כלי שלא הכי בטוח לשימוש, בטח ובטח אם רבים האנשים העושים שימוש בסיסמא יחידה עבור כלל חשובונות הרשת שלהם או בוחרים סיסמאות פשוטות וקלות לניחוש. בגוגל מנסים לפתור את בעיות אבטחת חשבונות באינטרנט ומרגישים כי הבעיה בפריצה לחשבונות נובעת מעצם השימוש בסיסמאות, אליהן מתייחסים גורמים בחברה ככלי שפשוט אינו מתאים ככלי הגנה לאינטרנט של היום.

חיזוק כלי האבטחה הקיימים

גוגל לא מכבר השיקה שירות אבטחה המאפשר גישה לחשבונות לאחר מעבר של שני שלבי אבטחה כך שבנוסף להזנת הסיסמא הרגילה, יידרש המשתמש גם בהזנת קוד אישור נוסף אחריה, כאשר הקוד יגיע למשתמש באמצעות שליחת הודעת טקסט לטלפון או שימוש באפליקציה ייעודית המספקת קוד גישה המשתנה כל דקה. גם פייסבוק עשתה דבר דומה ומאפשרת צעד אבטחה נוסף ע”י הזנת קוד גישה שיישלח למשתמשים דרך הודעת טקסט. אמצעי אבטחה נוסף שמספקות שתי החברות הוא כלי מעקב אחר ההתחברות לחשבונות והאפשרות לנתקם בכל רגע ובאופן מיידי. כל גישה מכל מחשב, טאבלט או טלפון ודרך כל אפליקציה חדשה נרשמת במערכות של גוגל, פייסבוק ואחרות המשתמשות בשיטה זו על מנת להודיע למשתמש דרך מייל או הודעות טקסט על חיבורים ממקומות חדשים ואף מבקשות את אישור המשתמש אם רק כדי לוודא שהחיבור אכן נעשה על ידי בעל החשבון עצמו.

הפתרון מאין?

רבים ניסו כבר לפתור את בעיית הסיסמאות והשיטות הפופולאריות היום הן רישום לחשבונות חדשים דרך אתרים בעלי פרופיל אבטחה גבוה יותר כמו פייסבוק וגוגל ושימוש באפליקציות ייעודיות להזנת סיסמאות. הרעיון הוא כי סיסמאות לא יאוחסנו בדפדפן, אלא מקומית או אף בשרת מרוחק כאשר הן מוצפנות ע”י קוד גישה יחיד הידוע רק למשתמש. בצורה זו, גם אם ייפול קובץ הסיסמאות לידיים זרות, לא ניתן יהיה לעשות בו שימוש ללא פריצת ההצפנה, כלומר, ללא הסיסמא הייחודית שהזין המשתמש. האפליקציות הללו, כמו 1Password, Lastpass ואחרות מאפשרות גם לייצר סיסמאות ארוכות ומסובכות ולשמור אותן לחשבון, כך שהיום אין באמת צורך לזכור את הסיסמאות לאתרים השונים – צריך לזכור רק סיסמא אחת, היא הסיסמא לחשבון האפליקציה הייעודית המצפינה עבורנו את הסיסמאות.

גם בשיטה זו יש בעיות – בחירה של סיסמא פשוטה מידי לחשבון מנהל הסיסמאות או הורדת חסימות בעת שימוש בבית ויכול אף להיות כי יום אחד תשתמשו במחשב ציבורי ותשאירו את הגישה למנהל הסיסמאות שלכם פתוחה. החברה שמאחורי Lastpass הציעה פתרון מעניין לנושא האבטחה והיא מאפשרת לתגבר את האבטחה בהצפנה ע”י אפשרויות אבטחה נוספות. המעניינת ביניהן וזו שתפסה את עיני כבר לפני שנים מספר היא השימוש ב-YubiKey.

yubikey-ronen

YubiKey הינו כלי המשמש כצעד אבטחה הנוסף לסיסמא הרגילה, בדומה למה שעושות גוגל ופייסבוק עם מנגנוני צעד האבטחה הנוסף שלהן. השוני הוא שה-YubiKey הינו כלי פיסי בתצורת USB המגיע מהחברה עם קוד זיהוי ייחודי, עליו נוספים סיסמא רנדומלית שתיוצר ע”י המשתמש ואליה יתווסף גם מונה אשר ישנה את ערכו בכל חיבור של ה-YubiKey למחשב ויחד הם יוצפנו ויאפשרו גישה לחשבון המשתמש רק בהכנסת ה-YubiKey עצמו לתוך המחשב. בדרך זו, אם לא תחזיקו בידיכים את ה-YubiKey, לא תוכלו לגשת לחשבון שלכם.

על מה עובדים בגוגל

גוגל לוקחת ברצינות את נושא האבטחה ורוצה להביא לשימוש בכלי גישה פיסי, בדומה למה שעושה YubiKey, לחשבונותינו באינטרנט. הרעיון הוא להשתמש במשהו שתמיד איתנו, כמו USB קטן על מחזיק המפתחות או אפילו הטלפון שלנו, שישמשו ככלי גישה מהירה ללא צורך בסיסמא, או בנוסף לסיסמא, כך שיביאו גם לגישה בטוחה יותר לחשבונות שלנו באינטרנט וגם יפשטו את התהליך ע”י הוצאת החשיבות של סיסמא קשה לפיצוח.

עד שבגוגל יצליחו להביא לשוק פיתרון אלגנטי אותו ייאמצו באופן גלובלי אתרי אינטרנט מבוססי חשבונות משתמש, נוכל לבחור ולהשתמש רק בפתרונות הקיימים. לשם כך, בחרנו להציג בפניכם מדריך קצר המסביר כיצד להפעיל את צעדי האבטחה הנוספים בחשבונות הפייסבוק והגוגל שלכם:

פייסבוק

גשו לתפריט ההגדרות בחשבון הפייסבוק שלכם:

fb1

תחת תפריט אבטחה (Security) תוכלו למצוא את הגדרות הגישה לחשבון שלכם (Login Approvals). תחת תפריט זה תוכלו להזין את מספר הטלפון שלכם, כך שבכל פעם שתזינו את שם המשתמש והסיסמא שלכם לחשבון הפייסבוק ממקום חדש (מחשב, אפליקציה וכו’), תישלח אליכם הודעת טקסט עם קוד בעל 6 ספרות אותו יש להזין בנוסף לסיסמא הרגילה. לצורך הפעלה ראשונית תישלח אליכם הודעת טקסט עם קוד אישור ראשוני.

fb2

אופציה נוספת היא שימוש באפליקציית הפייסבוק בטלפון שלכם לשם צפיה בקוד הסודי המתחלף במקום או בנוסף לשימוש ב-SMS. באפליקציית הפייסבוק יש לגשת לתפריט ולגלול מטה, לבחור ב-Code Generator ולהפעילו. לאחר ההפעלה הראשונית תוכלו לגשת ולהשתמש ב-Code Generator מתי שתחפצו.

fb4

*בכל עת ניתן לחזור לתפריט ההגדרות ולכבות את האופציה לגישת האבטחה הכפולה.

גוגל

גשו להגדרות חשבון הגוגל שלכם – ניתן לעשות זאת ע”י לחיצה על חשבון המשתמש שלכם ב-Gmail או פשוט לגשת לכתובת הבאה: https://www.google.com/settings/security

goog1

תחת הגדרות החשבון בחרו ב”אבטחה” (Security) ושם תראו את האופציה להפעיל את שירות

Two-Step-Verification. לחצו על עריכה (Edit).

goog2b

בשלב הראשון תתבקשו להזין מספר טלפון לשם שליחת קוד אישור ב-SMS.

goog3

את הקוד שקיבלתם באמצעות SMS יש להזין בקופסא שתופיע בשלב הבא וללחוץ לאישור (Verify).

goog4

בשלב הבא תישאלו אם ברצונכם לאשר את המחשב שלכם כמחשב בטוח. במידה ותבחרו שכן, תתאפשר גישה לחשבון הגוגל שלכם דרך המחשב הזה בלבד ללא צורך בקוד האישור הנוסף, כלומר תתבצע הגישה הישנה דרך סיסמא בלבד במחשב זה, כאשר בכל מחשב, טלפון, טאבלט או אפליקציה אחרת תתבקשו לקוד הנוסף.

goog5

אופציה נוספת לגישה היא באמצעות הנפקת קודי הגישה דרך אפליקציה במכשירי iOS ואנדרואיד. חפשו בחנות האפליקציות Google Authenticator [הורדה ל-iOS | הורדה לאנדרואיד].

*בכל עת ניתן לחזור לתפריט ההגדרות ולכבות את האופציה לגישת האבטחה הכפולה.

השוואת מפרטים