פתרונות MFA –  Multi Factor Authentication

לפני שאנחנו בוחרים פתרון MFA כדאי להבין תחילה מה זה MFA –  Multi Factor Authentication ?

שיטת ההזדהות הנפוצה ביותר היום בכניסה ליישומי מחשב היא באמצעות שם משתמש וסיסמא ולאחר אימות שני הגורמים האלה ניתנת למשתמש הקצה גישה ליישום הרלוונטי. בכל ארגון בהתאם לרגישות היישום המתבקש , מוקשחת הדרישה למורכבות הסיסמא או לתדירות שבה היא תוחלף. האדם הסביר מסוגל לזכור מספר מועט ביותר של סיסמאות , וככל שהסיסמאות תהינה מורכבות יותר היכולת לזכור אותן הולכת וקטנה.

כתוצאה מכך, המשתמש הסביר נוקט בדרך כלל באחת מ-3 הדרכים לניהול הסיסמאות שלו: האחת, רישום הסיסמא במקום מוסתר שניתן יהיה לגשת אליו ולשלוף ממנו את הסיסמא , או שימוש ביישום מחשב נוסף לשמירת הסיסמאות שלו או שימוש באיפוס הסיסמא מול מערך ה-helpdesk התומך ביישום הרלווונטי.

על מנת לפשט את כל נושא ניהול הסיסמאות בארגון , ארגונים רבים עוברים למתכונת של MFA Multi-Factor Authentication (MFA) או הזדהות מרובת גורמים. הזדהות כזו ידועה גם בשם Two-Factor Authentication כאשר גורם אחד הוא שם המשתמש והסיסמא והגורם השני הוא ה One Time Password – OTP שיכול להיות התקן פיזי המייצר סיסמאות חד פעמיות או הזדהות ביומטרית או סיסמא חד פעמית הנשלחת ב-SMS וכדומה.

השימוש ב-MFA או 2FA מתבסס על המבנה ” משהו שאני יודע” ו “משהו שיש לי” (something I have & something I know) לדוגמא: במצב שבו משתמש מתחבר לחשבון הבנק שלו , הוא נדרש להזין קוד משתמש וסיסמא ובנוסף הוא מקבל קוד חד פעמי ב-SMS שגם אותו הוא נדרש להזין למערכת לצורך אימות הזיהוי.

סיסמאות עובדים – החוליה החלשה באבטחת הארגון

בעולם העסקים המודרני, בו חברות נסמכות על שילוב של שירותי ענן שונים ומערכות פנימיות (on-prem) רבות לצורך פעילות שוטפת, כל עובד מחזיק מספר רב של דרכים לגשת למידע ארגוני רגיש. על פי מחקרים, עובד ממוצע ינהל מאות סיסמאות שונות, ומספר זה הולך וגובר ככל שגדל מגוון הכלים העסקיים ודרישות כמו עבודה מרחוק או שימוש במשאבים משותפים. בחברות רבות, עובדים נדרשים לעמוד בנהלי אבטחה מורכבים כמו חידוש תקופתי של סיסמאות והקפדה על סיסמה “חזקה” (כזו הכוללת שילוב של אותיות גדולות, קטנות, סימנים ומספרים) למרות מחקרים רבים המראים שמורכבות כזו מקשה על שינון סיסמאות ומעודדת רישום ושיתוף שלהן. המציאות הזו מובילה לכך שכולנו משתמשים בטכניקות לא בטוחות לניהול סיסמאות עסקיות, החל בקביעת סיסמאות קלות לניחוש (ימי הולדת ומספרי טלפון הן דוגמאות נפוצות לכך), ועד לשמירת הסיסמאות על קבצים פתוחים או פתקים המודבקים ליד עמדות עבודה.

קשיים אלו הובילו למצב בו סיסמאות הן הבטן הרכה של עולם אבטחת מידע וסייבר. עוד לפני משבר הקורונה מצאה חברת וריזון האמריקאית כי 81% מהפריצות שנעשות כיום מתבססות על גניבת סיסמאות. על פי סקרי-שוק אחרונים, מספר התקפות ה”פישינג” (גניבת ססמא על מנת להתחזות למשתמש בכניסה לשירות מסויים) עלו ביותר מ-660% מאז פברואר 2020. היום ברור לכל ארגון שמבקש להגן על המידע והמשתמשים שלו כי שימוש בסיסמאות על מנת לאמת זהות של משתמשים הוא פתרון מיושן ומרובה סכנות. בנוסף לאתגר האבטחה, חשוב לזכור כי סיסמאות הן גורם מוביל בפניה לתמיכה הטכנית בארגונים רבים. הצורך לחדש סיסמה שאבדה או נשכחה הוא בעיה יומיומית בכל ארגון גדול וגורם לפגיעה ברצף העבודה ולחלק משמעותי מהפניות לתמיכה הטכנית, ולכן גם אחראי לעלויות שנתיות גבוהות. מסיבות אלו ועוד, ברור היום כי סיסמאות הן כלי אבטחה העומד לחלוף מהעולם.

האם אימות רב גורמים הוא הפתרון?

שיטת ההזדהות הנפוצה ביותר היום בכניסה למחשבים ויישומים היא באמצעות שם משתמש וסיסמא. בשל הבעיות שתיארנו, רוב הארגונים אינם מסתפקים בכך ומפעילים שכבת הגנה נוספת על חשבונות עובדים – Multi-Factor Authentication (MFA) או הזדהות מרובת גורמים. ישנם סוגים רבים של מערכות כאלו, אך המשותף לכולן הוא הצורך בסיסמה מסורתית בשלב הראשון של ההזדהות, כאשר בשלב השני יש לספק גורם אימות ייחודי נוסף. דוגמאות לכך הם קוד חד פעמי המופק מראש ומופיע בהתקן פיזי שהמשתמש נושא עימו, קוד המגיע בהודעת SMS או דוא”ל, התקן USB מאובטח או הזדהות ביומטרית באמצעות טביעת אצבע, זיהוי פנים או קול.

למרות יתרונות האבטחה של מערכות אלו, הן סובלות מכמה חסרונות משמעותיים. ראשית, הארגון נאלץ להמשיך ולנהל סיסמאות לכל העובדים ולהתמודד עם המשאבים הרבים שמאמץ זה דורש מהמשתמשים ומצוותי ה-IT. שנית, מידת האבטחה של אימות רב שלבי ממשיכה להיות תלויה במשתמש אשר חייב לשמור על גורמי ההזדהות כפי ששומרים על סיסמאות. בנוסך לכך, מספר רב של מתקפות סייבר הצליחו לפגוע באימות רב שלבי ע”י פריצה למערכות או מכשירי קצה.

מעבר לאתגרי האבטחה, שיטות MFA רבות נסמכות על התקני חומרה שונים שצריך לספק לכל עובדי הארגון. הדבר כרוך בעלויות ראשוניות גבוהות ובמאמץ מתמשך כדי לאפשר גישה נוחה ומהירה למערכות בכל תרחיש.

“עד שנת 2022 60% מהארגונים הגלובליים ו-90% מהארגונים הבינוניים יטמיעו שיטות ללא סיסמא ביותר מ-50% ממקרי השימוש” (Gartner).

העתיד כבר כאן – אימות ללא סיסמא

חברת הסייבר הישראלית Secret Double Octopus מציעה פתרון ייחודי המשנה את חוקי המשחק. הטכנולוגיה של החברה הופכת את הגישה למחשבים וחשבונות לקלה ומהירה יותר לעומת שימוש סיסמות ובמקביל מספקת רמת אבטחה גבוהה שעמידה בפני מתקפות הסייבר הנפוצות ביותר על עסקים כגון פישינג, Man-In-The-Middle ועוד. החברה מספקת לארגונים גדולים ברחבי העולם פתרון ייחודי לאימות משתמשים ללא סיסמא, כולל כאלו אשר נדרשים לרמת אבטחה מירבית (כמו בנקים, חברות ביטוח ומוסדות ממשלתיים). הפתרון מבוסס על אימות באמצעות אפליקציה המותקנת במכשיר הסלולרי ומאובטחת באמצעות קריפטוגרפיה מתקדמת המשמשת, בין היתר, להצפנת קודי השיגור הגרעיניים של ארה”ב.

הטכנולוגיה הייחודית שהחברה פיתחה נחשבת לבעלת עמידות מושלמת מפני פריצות התלויות בכוח מחשוב. במקום סיסמא, האימות מתבסס על מסר מוצפן הנשלח באמצעות כמה ערוצים מקבילים אל האפליקציה במכשיר הטלפון הרשום של המשתמש. בשלב השני מבקשת המערכת מהמשתמש לאשר את זהותו באמצעי ביומטרי על מנת לוודא את זהותו.

החברה זכתה לשורה של פרסים בתעשייה כגון פרס ה- Cool Vendorשל חברת המחקר Gartner. וחתמה על הסכמי הפצה ושיתוף פעולה עם חברות ענק כמו TechData PwC, ו-TechMahindra. בין הלקוחות של החברה נמנים מוסדות פיננסים וממשלתיים מארה”ב וממערב אירופה וחברות ענק כמו 3M ו-ASL.

אחד מתחומי ההתמחות של אינפוגארד הוא הטמעת פתרונות טכנולוגיים ל OTP ו-MFA אשר מאפשרים לארגון כניסה לכל המערכות שלו באמצעות שם משתמש בלבד יחד עם מנגנון OTP כאשר ניהול הסיסמאות נעשה באופן אוטומטי מאובטח ומתוחכם. ניתן להטמיע פתרון מבוסס שרתי ענן או התקנה בשרת מקומי – On premise solution.

אינפוגארד משווקת ומוכרת 2 מהפתרונות המובילים בעולם :