פיטר שואל,
"מהי הדרך הטובה ביותר לשמור על הארגון שלי מפני פריצה? האם די באימות דו-גורמי?"
שאלה מצוינת. בשנה האחרונה, הנושא שלאימות דו-גורמי- נקרא לפעמיםאימות דו-שלביהפך לנושא חם בקרב צרכנים ומשתמשים עסקיים.
הרעיון מאחוריאימות דו-גורמיהוא שבנוסף לסיסמה הרגילה שלך, המשתמשים צריכים לספק מעט מידע נוסף בעת הכניסה לשירות או אפליקציה. מידע זה הוא בדרך כלל סיסמה חד פעמית שנוצרת באמצעות אאפליקציה לניידאו מכשיר פיזי כגוןYubiKey. לפעמים, הסיסמאות החד-פעמיות הללו נשלחות באמצעות הודעת טקסט לטלפון הנייד של המשתמש.
בהתאם לשירות ולהגדרות האבטחה, ניתן לדרוש את קודי הסיסמה הנוספים הללו בכל כניסה או רק בעת כניסה למכונות חדשות או ממיקומים חדשים. רוב השירותים גם דורשים מהמשתמשים לאמת את עצמם כל 30 יום, ללא קשר למיקום. הרעיון הוא שעל ידי דרישת מידע נוסף שיכול להיות מסופק רק על ידי האדם המורשה, פריצות על ידי זרים הם הרבה פחות סבירים.
גוגלהוצע לראשונהאימות דו-שלבי עבור חשבונות Google Apps ו-Gmail שלה בשנת 2010. פייסבוק עקבה אחריגרסה משלושל אימות דו-גורמי ב-2011. בשנה האחרונה ראינו חברות אחרות שפונות לצרכנים עוקבות אחר כך, כוללדרופבוקס,לינקדאין,תַפּוּחַ,מיקרוסופטולְצַפְצֵף.
אוקיי -- אז האם זה מספיק כדי למנוע פריצה של הארגון שלך? זה צעד טוב - אבל אימות דו-גורמי אינו תרופת פלא.
הדבר שחשוב לזכור לגבי אימות דו-גורמי הוא שכמו כל אבטחה, הוא חזק רק כמו החוליה החלשה ביותר שלו. חברות רבות מציעות למשתמשים דרך לאמת את כניסותיהם באמצעות אפליקציה לנייד או קוד SMS. המשמעות היא שאם משתמש יאבד את הטלפון שלו, הוא יאבד שליטה פיזית על שיטת האימות הזו.
מכיוון שרוב השירותים אינם דורשים מהמשתמשים להשתמש בקוד גישה עבור כל כניסה (במיוחד במכונות או רשתות מוכרות), אם מישהו מקבל גישה פיזית למחשב שלך, המידע שלך עדיין עלול להיפגע.
מצבים אלו הם וקטורים לא סבירים לרוב הפריצות, אך חשוב לזכור שלמרות שזו התחלה טובה, אימות דו-גורמי אינו הפתרון היחיד לאבטחה.
עצות אבטחה נוספות לשימוש עם אימות דו-גורמי
אם אתה משתמש במוצרי אינטרנט הפונים לצרכן עם העסק שלך, אנו ממליצים מאוד לדרוש מכל המשתמשים להשתמש ולאפשר אימות דו-גורמי. בחודשים האחרונים ראינו מבול של התקפות דיוג המכוונות לארגונים שונים שמשתמשים ב-Google Apps. השימוש באימות דו-גורמי מפחית מאוד את יכולתם של אותם תוקפים לפרוץ לחשבונות, גם אם הם מצליחים לגרום למשתמש לוותר על הסיסמה שלו.
הנה כמה טיפים נוספים לשימוש בשילוב עם אימות דו-גורמי:
לדרוש מכל העובדים להשתמש בסיסמה שונה ומובחנת עבור כל שירות אינטרנט בשימוש החברה.מה שקורה לעתים קרובות הוא שמישהו משתמש באותה סיסמה עבור האימייל שלו כמו עבור CMS. זה אומר שגם אם האקר לא יכול לדוג את דרכו למערכת הדואר, ייתכן שהוא יוכל לגשת לשירותים אחרים הנשלטים על ידי אותו שם משתמש.
עודדו או דרשו מכל העובדים להשתמש באפליקציית ניהול סיסמאות כגוןLastPassאוֹ1 סיסמה.אני למעשה לא יודע את הסיסמה עבור רוב החשבונות החשובים ביותר שלי. מַדוּעַ? מכיוון שאני משתמש ב-1Password -- מנהל סיסמאות שעובד על Mac, PC ו-iOS. פתרונות כגון PassPack ו-LastPass הם לעתים קרובות אפילו יותר אידיאליים לעסקים מכיוון שהם מאפשרים לעובדים לשתף סיסמאות לחשבונות זה עם זה, מבלי לחשוף את הסיסמה בפועל. זה גם הופך את עדכון הסיסמאות המשותפות לפשוט מאוד מאוד.
ערכו תוכנית למקרה שיגנבו טלפון או מחשב נייד. יישומים כגוןטֶרֶףיכול לעזור למשתמשים לעקוב אחר מכשירים גנובים או נעדרים. בנוסף, כלים כגון Find My iPhone של אפל ו-Find My Mobile של סמסונג מאפשרים למשתמשים לעקוב ולמחוק מרחוק את הסמארטפונים האבודים או הגנובים שלהם.
למד את העובדים על הונאות וטקטיקות דיוג.אפילו העובדים הנראים מבינים ביותר יכולים להתחזות, לכן חשוב להסביר לעובדים באופן קבוע שיטות עבודה מומלצות וטכניקות דיוג נפוצות. כמו כן, לעולם אל סיסמאות בדוא"ל.
תרגל את מה שאתה מטיף.אם אתה מפיץ את הבשורה של אימות דו-שלבי, ודא שאתה משתמש בה בעצמך.
