• בלוג
  • מה יותר מאובטח: סמס או משתמש וסיסמה?

מה יותר מאובטח: סמס או משתמש וסיסמה?

במייל שקיבלתי מחברת החשמל לאחרונה הם סיפרו שמחליפים את מנגנון האבטחה ובמקום להמשיך להיכנס עם שם משתמש וסיסמה כמו שהיינו עושים הכניסה מעכשיו תהיה רק באמצעות סמס לטלפון הנייד, כי זו צורה יותר מאובטחת. בגלל שאני בטוח שההתלבטות לא ייחודית רק לחברת החשמל, בואו נפתח את זה כדי להיות בטוחים.

1. כניסה עם שם משתמש וסיסמה

המנגנון הרגיל של כניסה לאתרים אומר שכל משתמש בוחר לעצמו שם משתמש וסיסמה וכל מי שיודע את שני הפרטים האלה יכול להיכנס לאתר. מבחינת האתר מלבד הסיסמה ושם המשתמש אין עוד כלום שמזהה את הבן אדם, ולכן אם מישהו יגלה את הסיסמה שלכם הוא יוכל להזדהות בשמכם באותו אתר.

אנחנו יודעים כבר הרבה זמן שמערכת כניסה המבוססת על שם משתמש וסיסמה לנתונים פרטיים אינה מספיק מאובטחת וזאת מהסיבות הבאות:

  1. אנשים לא יודעים לשמור סיסמאות בסוד: רוב האנשים יתנו את הסיסמה שלהם בטלפון כשנציג שירות דמיוני מתקשר וחלק מהאנשים יתנו את הסיסמה בתמורה לחטיף.

  2. גם אם היינו יודעים לשמור סיסמאות מחשבים הם מנוולים: קל מאוד להכניס וירוס שמאזין ללחיצות מקלדת ושולח סיסמאות למרכז שליטה ובקרה.

  3. גם אם היינו יודעים להתמודד עם וירוסים אתרים הם מנוולים: אנחנו נוטים לבחור את אותה סיסמה לכל האתרים, למרות שחלק מהאתרים הם כנראה זדוניים או פשוט כתובים רע ולכן במוקדם או במאוחר הסיסמה שלנו תיחשף.

כניסה עם שם וסיסמה יכולה לעבוד רק אם המשתמשים יודעים שעליהם לבחור סיסמאות ארוכות ומאובטחות וייחודיות לכל אתר.

באתר https://haveibeenpwned.com/ תוכלו לגלות לאן התגלגלו השם והסיסמה שלכם למגוון אתרים אליהם נרשמתם. הבדיקה שם היא חוויה מטלטלת.

לכן אתרים רבים ובמיוחד אתרים השומרים מידע פרטי עברו להשתמש בסכימה מתוחכמת יותר שנקראת 2FA או Two Factor Authentication. במצב עבודה כזה האתר יבקש מכם להזדהות עם שם משתמש וסיסמה, ולאחר מכן אם אתם מתחברים ממכשיר שאתם לא נוהגים להתחבר ממנו או ממקום גיאוגרפי שאתם לא נוהגים להיות בו, האתר גם יבקש מכם לאמת את זהותכם באמצעי נוסף.

האמצעי הפופולרי ביותר למימוש 2FA הוא שליחת סמס לטלפון הנייד. זהו אמצעי נוח כי כולם יודעים לקבל סמס, אבל הוא גם לא מאוד מאובטח כי סמסים הם לא מאובטחים מטבעם: חברת הטלפון וגם אפליקציות שהתקנו על הטלפון יכולים בקלות לקרוא את ההודעות. לכן היום נהוג להמליץ לממש 2FA באמצעות אפליקציית Authenticator כמו Google Authenticator. המנגנון של ה Authenticator הוא שהאפליקציה מגרילה כל חצי דקה קוד פסאודו אקראי חדש אבל שנגזר מתוך איזשהו Seed ראשוני. בהנחה שה Seed אצלי על המכשיר ובאתר הוא זהה, אז הקודים שהאפליקציה תייצר תמיד יהיו זהים אצלי ובאתר וייחודיים. הכנסת הקוד מה Authenticator מבטיחה שאכן יש לי גישה לאותו מנגנון יצירת קודים איתו נרשמתי לאתר.

2. כניסה עם סמס

אחרי טירוף ה 2FA אתרים רבים (ובמיוחד אתרי גופים ציבוריים ואתרי ממשלה) שמו לב שאנשים שמחים להכניס לאתר קודים שהם מקבלים בהודעות סמס, ולכן החליטו לקחת את העסק הזה צעד קדימה ולוותר לגמרי על הסיסמה. מספיק שיש להם את מספר הטלפון שלך ואת מספר תעודת הזהות שלך, והם יכולים לייצר מנגנון הזדהות המבוסס על תעודת זהות וגישה למספר הטלפון.

סמסים חשופים לבעיות האבטחה הבאות:

  1. חברות הטלפון ממש גרועות בלשמור על סוד: באמצעות הנדסה חברתית האקרים מצליחים לחטוף מספרי טלפון (ניוד מספר) ועד שהקורבן מבין מה קרה כבר חטפו לו את קוד האימות.

  2. אנחנו ממש גרועים בלזהות רמאויות, ואנשים רבים מוסרים את קוד האימות שהם קיבלו ל"נציג שירות" דמיוני שמתקשר אליהם

  3. לא כולם מקבלים סמסים. במקרה שהסמס לא נשלח מנגנון הגיבוי הוא שליחת הקוד באמצעות שיחה קולית. אם אני נמצא בדיוק במקום בלי קליטה אותה שיחה קולית עלולה להגיע לתא הקולי שלי שכנראה לא ידעתי על קיומו ולא שיניתי לו מעולם את הסיסמה.

  4. בגלל שאנחנו אוהבים לחבר את המכשירים אחד לשני, יש גישה מהמון מקומות להודעות הסמס שלנו. מספיק מכשיר אחד שנגנב או אבד כדי שהאקר יוכל להשתמש בו ולקרוא משם את ההודעות.

  5. אפליקציות (זדוניות או שכתובות רע) על הטלפון יכולות לקרוא את ההודעות ולדווח למרכז שליטה ובקרה זדוני.

3. אז מה עדיף?

התשובה הכואבת היא שאם אבטחת החשבון האישי של המשתמשים עומדת בראש מעייניכם לעבור מהזדהות באמצעות שם וסיסמה להזדהות באמצעות סמס זה חסר משמעות. אף אחת משתי השיטות לבדה לא מספיק טובה כדי להגן על פרטים אישיים.

הדבר הנכון לעשות היה לאפשר למשתמשים להגדיר 2FA באמצעות אפליקציית Authenticator או באמצעות סמס או קוד קולי, כדי שמשתמשים שכן רוצים להגן על עצמם יוכלו לבחור באופציה המאובטחת.

בנוסף יש להגדיר מדיניות סיסמאות שמחייבת משתמשים לבחור סיסמה ארוכה וייחודית ולהחליף סיסמה כל מספר חודשים. כדאי גם להוסיף מנגנונים המזהים התנהגות חשודה של משתמשים או כניסה ממקומות לא שגרתיים או ממכשירים לא שגרתיים.