כיצד אפל, גוגל ומיקרוסופט יהרגו סיסמאות ודיוג במכה אחת

במשך יותר מעשור, הבטיחו לנו שעולם ללא סיסמאות נמצא ממש מעבר לפינה, ובכל זאת שנה אחר שנה, הנירוונה האבטחה הזו מוכיחה את עצמה מחוץ להישג יד. כעת, לראשונה, צורה ישימה של אימות ללא סיסמה עומדת להיות זמינה להמונים ב צורת תקן שאומץ על ידי אפל, גוגל ומיקרוסופט המאפשר פלטפורמות ושירותים מפתחות סיסמה.

תוכניות הרג סיסמאות שנדחפו בעבר סבלו ממגוון בעיות. חסרון מרכזי היה היעדר מנגנון התאוששות בר-קיימא כאשר מישהו איבד שליטה על מספרי טלפון או אסימונים פיזיים וטלפונים הקשורים לחשבון. מגבלה נוספת הייתה שרוב הפתרונות לא הצליחו בסופו של דבר להיות, למעשה, ללא סיסמה באמת. במקום זאת, הם נתנו למשתמשים אפשרויות להיכנס עם סריקת פנים או טביעת אצבע, אך מערכות אלו בסופו של דבר נפלו על סיסמה, וזה אומר שדיוג, שימוש חוזר בסיסמאות וקודי סיסמה שנשכחו - כל הסיבות ששנאנו סיסמאות מלכתחילה - לא הלכו רָחוֹק.

גישה חדשה

מה ששונה הפעם הוא שאפל, גוגל ומיקרוסופט נראות כולן עם אותו פתרון מוגדר היטב. לא רק זה, אלא שהפתרון קל יותר מאי פעם למשתמשים, וזה פחות יקר לשירותים גדולים כמו Github ו-Facebook להתגלגל. זה גם תוכנן בקפידה ונבדק עמיתים על ידי מומחים לאימות ואבטחה.

שיטות האימות הרב-גורמי (MFA) הנוכחיות עשו צעדים חשובים בחמש השנים האחרונות. גוגל, למשל, מאפשרת לי להוריד אפליקציית iOS או אנדרואיד שבה אני משתמש כגורם שני בכניסה לחשבון Google שלי ממכשיר חדש. מבוסס על CTAP - קיצור של פרוטוקול לקוח למאמת— מערכת זו משתמשת ב-Bluetooth כדי להבטיח שהטלפון נמצא בקרבת המכשיר החדש ושהמכשיר החדש, למעשה, מחובר לגוגל ולא לאתר שמתחזה לגוגל. זה אומר שזה לא ניתן לדיוג. התקן מבטיח שלא ניתן לחלץ את הסוד ההצפנה המאוחסן בטלפון.

גוגל גם מספקת תוכנית הגנה מתקדמת שדורש מפתחות פיזיים בצורה של דונגלים עצמאיים או טלפונים של משתמשי קצה כדי לאמת כניסות ממכשירים חדשים.

המגבלה הגדולה כרגע היא ש-MFA ואימות ללא סיסמה מתפרסמים בצורה שונה - אם בכלל - על ידי כל ספק שירות. חלק מהספקים, כמו רוב הבנקים והשירותים הפיננסיים, עדיין שולחים סיסמאות חד פעמיות באמצעות SMS או דואר אלקטרוני. מתוך הכרה כי אלו אינם אמצעים מאובטחים להעברת סודות רגישים לאבטחה, שירותים רבים עברו לשיטה המכונה TOTP - קיצור של סיסמה חד פעמית מבוססת זמן-לאפשר הוספה של גורם שני, אשר למעשה מגדיל את הסיסמה עם גורם ה"משהו שיש לי".

מפתחות אבטחה פיזיים, TOTPs ובמידה פחותה אימות דו-גורמי באמצעות SMS ודוא"ל מהווים צעד חשוב קדימה, אך נותרו שלוש מגבלות מפתח. ראשית, TOTPs שנוצרו באמצעות אפליקציות מאמת ונשלחות בטקסט או בדוא"ל ניתנים לדיוג, בדיוק כמו סיסמאות רגילות. שנית, לכל שירות יש פלטפורמת MFA סגורה משלו. המשמעות היא שגם כאשר משתמשים בצורות בלתי ניתנות לדיוג של MFA - כמו מפתחות פיזיים עצמאיים או מפתחות מבוססי טלפון - משתמש צריך מפתח נפרד עבור Google, Microsoft וכל נכס אינטרנט אחר. כדי להחמיר את המצב, לכל פלטפורמת מערכת הפעלה יש מנגנונים שונים להטמעת MFA.

בעיות אלו מפנים את מקומן לבעיה שלישית: חוסר השימוש המוחלט עבור רוב משתמשי הקצה והעלות והמורכבות הלא טריוויאלית שעומדת בפני כל שירות כאשר הוא מנסה להציע MFA.