7.6 מנגנוני אימות: Authentication Mechanisms
מנגנוני אימות: Authentication Mechanisms
סיסמאות
איומים הקיימים על סיסמאות
- Offline\Online cracking
- ניחוש סיסמאות (Bruteforce \ Dictionary)
- הנדסה חברתית
- רחרוח / MITM
- Key-loggers (hardware/software)
- סוס טרויאני
- גלישת כתף (הצצה אל המסך)
חוזקה של סיסמה
לכמה ניסיונות יזדקק תוקף בממוצע כדי לנחש נכון את הסיסמה?
- החוזק של סיסמה הוא פונקציה של אורך, מורכבות ואקראיות
- סיסמאות חזקות אינן מחליפות את הצורך בבקרות אבטחה אפקטיביות אחרות.
- ישנן שתי דרכים עיקריות ליצירת סיסמאות: (א) באופן אוטומטי (רנדומלי) (ב) על ידי אדם
מדיניות סיסמאות
- מורכבות הסיסמה\ אורך הסיסמה
- גיל הסיסמה \ מקסימום \ היסטוריה \ מינימום
- נעילת חשבון \ סף \ משך \ איפוס מונה
- הגבלות חשבון כניסה
שיטות עבודה מומלצות לסיסמה חזקה:
- סיסמאות חזקות, מרובות תווים: כלל אצבע בסיסי הוא שאורכן של סיסמאות יהיה יותר מ-10 תווים ולכלול אותיות רישיות וקטנות, סמלים וספרות. זה מגדיל מאוד את הקושי והזמן שלוקח לפצח סיסמה מכמה שעות למספר שנים, אלא אם כן יש להאקר מחשב-על בהישג יד.
- ביטויי סיסמה משוכללים: בעוד ששימוש בתווים רבים יותר הוא תרגול טוב של סיסמה, בחלק מהאתרים עשויים להיות הגבלות על אורך הסיסמה. ככזה, השתמש בביטויי סיסמה מורכבים כדי למנוע מתוקפים להצליח בהתקפות פשוטות של מילון. ביטויי סיסמה הם מילים או קטעים מרובים עם תווים מיוחדים שמקשים על ניחושם.
- חוקים לבניית סיסמאות: טקטיקה טובה נוספת של סיסמה היא לקטוע מילים כך שהן ייראו שטותיות לאנשים אחרים שקוראים אותן. ניתן לעשות זאת על ידי הסרת תנועות או רק שימוש בשתי האותיות הראשונות של המילים ואז בניית ביטוי הגיוני מתוך מחרוזת של מילים מקוצרות. לדוגמה, קיצור המילה "תקווה" ל-"hp" או "כחול" ל-"bl".
- הימנעות מסיסמאות נפוצות: סיסמאות בשימוש תכוף, כגון שם, קבוצת ספורט או פשוט "סיסמה", הן מסוכנות ביותר. האקרים מכירים מילים או ביטויים נפוצים שאנשים משתמשים בסיסמאות שלהם ופורסים טקטיקות המבוססות על המילים הנפוצות הללו כדי לפרוץ לחשבונות של אנשים.
- סיסמאות ייחודיות לכל חשבון: מילוי אישורים רואה האקרים בודקים סיסמאות שנעשה בהן שימוש באתרי אינטרנט כדי לבדוק אם נעשה בהן שימוש במקומות אחרים. למרבה הצער, זה מוכיח את עצמו כמוצלח מאוד מכיוון שאנשים עושים שימוש חוזר בסיסמאות שלהם לעתים קרובות עבור חשבונות דואר אלקטרוני, פרופילי מדיה חברתית ואתרי חדשות. חשוב לעולם לא להשתמש באותה סיסמה עבור שני אתרים או חשבונות.
- שימוש במנהלי סיסמאות: מנהל סיסמאות מקל על אנשים ליצור סיסמאות בטוחות וייחודיות עבור כל האתרים שאליהם הם נכנסים. זה יוצר ועוקב אחר התחברות של משתמשים לאתרים מרובים, ומאפשר למשתמש לגשת לכל החשבונות שלו פשוט על ידי התחברות למנהל הסיסמאות. עם מנהל סיסמאות, משתמשים יכולים ליצור סיסמאות ארוכות ומורכבות, לאחסן אותן בצורה מאובטחת, ולא להסתכן בשכחה, אובדן או גניבת סיסמאות.
טוקנים וכרטיסים חכמים
תחום האבטחה הדיגיטלית הוביל לפתרונות כמו אסימונים וכרטיסים חכמים, שמטרתם לחזק את תהליך האימות, להבטיח גישה בטוחה ומאובטחת יותר למשאבים דיגיטליים.
טוקנים: המפתחות הדיגיטליים
אסימונים, בהקשר של הגנת סייבר, הם בדרך-כלל רצפים של תווים אקראיים שנוצרו כדי לייצג מידע או הרשאות. אין לבלבל את אלה עם אסימוני ההצפנה בטכנולוגיית הבלוקצ'יין. אסימוני אבטחה באימות יכולים לבוא בצורות שונות:
- אסימוני חומרה: מכשירים פיזיים, לרוב בגודל כיס, שמייצרים סט קודים משתנה כל הזמן. משתמשים, בעת הכניסה, הזינו את הקוד המוצג על האסימון באותו רגע מסוים. שיטה זו מכונה לעתים קרובות אימות סיסמה חד פעמית (One-Time Password: OTP).
- אסימוני תוכנה: אלו הם פתרונות מבוססי תוכנה שמייצרים קודים במכשירים אישיים, כמו סמארטפונים או מחשבים. הם מספקים את אותה פונקציונליות כמו אסימוני חומרה ללא צורך במכשיר פיזי נפרד.
- אסימוני ריענון: בשימוש בתחום אבטחת ה-API, אסימונים אלו מאפשרים למשתמשים להשיג אסימון גישה חדש מבלי לבצע אימות מחדש, תוך שיפור חווית המשתמש תוך שמירה על אבטחה.
החוזק העיקרי של אסימונים טמון באופיים החולף. מכיוון שהם מספקים גישה מוגבלת בזמן או לשימוש חד פעמי, גם אם יורטו, השירות שלהם מיושן לעתים קרובות במהירות.
כרטיסים חכמים
בדומה לכרטיס אשראי מסורתי בגודל, כרטיסים חכמים מוטבעים במעגל משולב (מיקרו-בקר או שבב זיכרון) המאפשר להם לאחסן ולעבד נתונים. הם מציעים שתי פונקציות עיקריות:
- אחסון נתונים: כרטיסים חכמים יכולים לאחסן נתונים בצורה מאובטחת, כולל מפתחות הצפנה, אישורים דיגיטליים, או אפילו נתונים ביומטריים, שבהם ניתן להשתמש במהלך תהליך האימות.
- יכולות עיבוד: בניגוד לכרטיסי זיכרון בסיסיים, כרטיסים חכמים יכולים לעבד מידע, מה שמאפשר פונקציונליות מתקדמות יותר, כולל חישובים בסיסיים או תהליכים מבוססי הצפנה.
- כרטיסים חכמים נמצאים בשימוש נפוץ ביישומים שונים:
- אימות זהות: תעודות זהות לאומיות, רישיונות נהיגה או תגי זיהוי ארגוניים משתמשים לעתים קרובות בטכנולוגיית כרטיסים חכמים כדי לאחסן נתונים אישיים ומידע אימות.
- מערכות תשלום: כרטיסי אשראי וכרטיסי חיוב אימצו טכנולוגיית כרטיסים חכמים כדי לשפר את אבטחת העסקאות.
- תחבורה ציבורית: מערכות תחבורה ציבורית רבות משתמשות בכרטיסים חכמים לאיסוף תעריפים בשל הנוחות והבטיחות שלהן.
יכולות האחסון והעיבוד המשולבות של כרטיסים חכמים מציעות יתרון כפול. לא רק שהם יכולים לאחסן נתוני אימות רגישים, אלא שהם יכולים גם לעבד אתגרי אימות בכרטיס עצמו, מה שמקשה על התוקפים לחלץ מידע שמיש.
יתרונות ואתגרים
אסימונים וכרטיסים חכמים מטבעם משפרים את האבטחה על ידי הכנסת משהו שלמשתמש "יש" לתהליך האימות, מעבר למשהו שהמשתמש "יודע" (כמו סיסמאות). גישה מרובת גורמים זו מפחיתה באופן משמעותי את הסיכון לגישה לא מורשית.
עם זאת, ישנם אתגרים. אסימונים פיזיים וכרטיסים חכמים יכולים ללכת לאיבוד או לגנוב. בעוד שהנתונים עליהם עשויים להיות מאובטחים, אי הנוחות של אובדן ותהליך ההנפקה מחדש עלולים להיות מסורבלים. יתרה מכך, העלויות הכרוכות בייצור והפצה של מכשירים כאלה, במיוחד בקנה מידה גדול, עשויות להיות ניכרות.
ביומטריה
על ידי ניצול המאפיינים הפיזיים או ההתנהגותיים הייחודיים של אנשים, ביומטריה מציעה שיטת אימות שקשה לשכפל, לזייף או לגנוב.
הגדרת ביומטריה
בבסיסה, ביומטריה מתייחסת למדדים הקשורים למאפיינים אנושיים. הוא רותם תכונות אנושיות ייחודיות כמו טביעות אצבע, דפוסי פנים, קול או אפילו דפוסי קשתית כדי לזהות ולאמת אנשים. אבל זה לא מוגבל רק למאפיינים פיזיים; ביומטריה התנהגותית כמו דינמיקה של הקשות או ניתוח הליכה ממלאות תפקיד גם בתחום רחב זה.
ככל שהטכנולוגיה תתפתח, הביומטריה אמורה להיות מתוחכמת עוד יותר. אנו רואים את הופעתם של חידושים כמו 'זיהוי חיים' למניעת ניסיונות זיוף או עלייתה של ביומטריה פסיבית, שבה מאפיינים התנהגותיים כמו דפוסי גלישה או מקצבי הקלדה מנוטרים בזמן אמת לצורך אימות רציף.
- ביומטריה - שיטות אוטומטיות לזיהוי אדם על סמך מאפיינים פיזיולוגיים או התנהגותיים
- שני מצבי תפעול שונים עבור ביומטריה:
- אימות - האם אתה מי שאתה טוען שאתה (אחד על אחד)
- זיהוי - מי אתה באמת (אחד לרבים)
מאפיינים פיזיולוגיים והתנהגותיים
- פיזיולוגיים:
- תוי פנים
- טביעת אצבע
- כף יד
- קרנית עין
- DNA
2. התנהגותיים:
- הקלדה
- חתימה
- קול
חוזקות הביומטריה
- ייחודיות: הנתונים הביומטריים של כל אדם שונים. אפילו לתאומים זהים יש טביעות אצבע או דפוסי קשתית שונים. הייחודיות המובנית הזו מציעה רמת אבטחה שקשה להשגה עם סיסמאות או קוד PIN מסורתיים.
- נוחות: שלא כמו סיסמאות או אסימונים פיזיים שעלולים להישכח או לאבד, תכונות ביומטריות תמיד נמצאות אצל המשתמש. זה אומר שלא לשנן עוד סיסמאות מורכבות או לשאת מכשירים נוספים.
- קשה יותר לזייף: אמנם לא בלתי אפשרי, אבל זה מאתגר משמעותית לשכפל נתונים ביומטריים בהשוואה לניחוש סיסמה או גניבת כרטיס גישה.
חסרונות הביומטריה
- קושי עם איכות התמונה
- אתגר טכנולוגי בזיהוי סימנים פיזיולוגיים
- השלכות פרטיות: נתונים ביומטריים הם אישיים מאוד. לאיסוף, אחסון ועיבוד נתונים כאלה יש השלכות חמורות על הפרטיות. אם נפרצו, בניגוד לסיסמאות, אינך יכול לשנות את טביעת האצבע או דפוס הקשתית שלך.
- חיובי שווא ושליליים: אף מערכת אינה חסינת תקלות. תמיד קיים סיכון, ולו מינימלי, שמערכת ביומטרית עלולה לזהות שגוי או לא תזהה משתמש מורשה.
- עלות ותשתית: הטמעת מערכות ביומטריות דורשת ציוד ותוכנה מיוחדים, מה שמוביל לרוב לעלויות ראשוניות גבוהות יותר.
- אחסון נתונים והפרות: אחסון נתונים ביומטריים מהווה אתגר. אם הנתונים האלה נפרצו, לא ניתן להחזיר אותם או לשנות אותם כמו סיסמה מסורתית.
יישומים ושימוש בעולם האמיתי
ביומטריה חלחלה למגזרים ויישומים שונים:
- סמארטפונים: סמארטפונים מודרניים מצוידים בסורקי טביעות אצבע או ביכולות זיהוי פנים, מה שמשפר את אבטחת המכשיר.
- בנקאות: ביומטריה מספקת שכבת אבטחה נוספת לעסקאות פיננסיות, בין אם זה באמצעות כספומטים עם זיהוי טביעת אצבע או אפליקציות בנקאיות המשתמשות בזיהוי קולי או פנים.
- בקרת גבולות: שדות תעופה ברחבי העולם משתמשים יותר ויותר במערכות ביומטריות כמו זיהוי פנים או סריקת טביעות אצבע כדי לייעל את תהליך ההגירה תוך הבטחת אבטחה.
- בקרת גישה: ארגונים רבים משתמשים ביומטריה, בדרך-כלל טביעת אצבע או זיהוי פנים, כדי לשלוט בגישה לאזורים או מערכות מוגבלות.
אימות רב-גורמי (MFA) Multi-Factor Authentication
אימות רב-גורמי (MFA) הוא אבן יסוד בהבטחת בקרת גישה מחמירה לרשת. הוא מחייב את המשתמשים לאמת את זהותם באמצעות שיטות אימות מרובות, מה שמגביר את האבטחה על ידי הפחתת הסיכונים הקשורים לאישורים שנפגעו.
מרכיבי ליבה של אימות מרובה גורמים
MFA תלוי בדרישת לפחות שניים מהאלמנטים הבאים לאימות משתמש:
- משהו שאתה יודע: זה כרוך בסיסמה או PIN, גורם ידע הידוע רק למשתמש.
- משהו שיש לך: זה כולל גורמי החזקה כמו כרטיסים חכמים או מכשירים ניידים.
- משהו שאתה: זה כרוך בגורמי אינהרנטיות או ביומטריה כגון טביעות אצבע או זיהוי פנים.
תהליך יישום MFA:
יישום MFA מחייב גישה רב-שלבית
- הערכה: הערך את צרכי האבטחה וזיהוי המערכות והיישומים הדורשים הגנת MFA.
- בחירה: בחרו פתרונות MFA מתאימים המתאימים לצרכים הארגוניים ולדרישות האבטחה.
- פריסה: הטמעת פתרונות MFA על פני מערכות ויישומים מזוהים, תוך הבטחת אינטגרציה חלקה.
- הדרכה: למד את המשתמשים על נהלי MFA ועל חשיבות ההקפדה עליהם כדי לשמור על האבטחה.
המשמעות והיתרונות של MFA
MFA חשוב ביותר לשיפור האבטחה בבקרת גישה לרשת, ומציע מספר יתרונות:
- סיכונים מופחתים: MFA מפחית את הסיכונים של גישה לא מורשית עקב אישורים שנפגעו על ידי הוספת שכבות של אימות.
- ציות משופר: מסגרות רגולטוריות רבות מחייבות MFA, ומסייעות לארגונים לעמוד בדרישות הציות.
- אבטחת משתמש: MFA מספקת שכבת ביטחון נוספת למשתמשים, המאשרת את אבטחת הנתונים והאינטראקציות שלהם בתוך הרשת.
אתגרים ואמצעי נגד ביישום MFA
MFA, אמנם מכריע, אך מציג אתגרים:
- נוחות המשתמש: חלק מהמשתמשים עשויים למצוא נהלי MFA מסורבלים, שעלולים להוביל להתנגדות באימוץ.
- בעיות אינטגרציה: פתרונות MFA חייבים להיות תואמים למערכות קיימות, הדורשים מאמצי אינטגרציה קפדניים.
- השלכות עלויות: ההשקעה הכספית בפתרונות וניהול MFA יכולה להיות משמעותית.
כדי להתמודד עם אתגרים אלה, בחירת פתרונות MFA ידידותיים למשתמש, הבטחת אינטגרציה חלקה ואיזון השקעות אבטחה הם קריטיים.
יישום של MFA בסביבות מגוונות
MFA הוא רב תכליתי, ישים בתרחישי גישה מגוונים לרשת:
- גישה מרחוק: עבור משתמשים הניגשים למשאבי רשת מרחוק, MFA חיוני כדי להתמודד עם הסיכונים המוגברים של גישה לא מורשית.
- גישה מועדפת: משתמשים בעלי הרשאות מוגברות, בשל הגישה שלהם למשאבים רגישים, חייבים לעבור נהלי MFA מחמירים.
- אימות עסקה: ניתן להחיל MFA כדי לאמת עסקאות בעלות ערך גבוה, להפחית את הסיכונים של פעילויות הונאה.
חידושים טכנולוגיים ועתיד MFA
התפתחות הטכנולוגיה מעצבת את מסלול ה-MFA:
- התקדמות ביומטרית: ההתקדמות בטכנולוגיות הביומטריות משפרות את המהימנות והשימושיות של גורמי אינהרנטיות ב-MFA.
- ניתוח התנהגות: השילוב של ניתוח התנהגות ב-MFA מאפשר אימות משתמשים מתוחכם יותר המבוסס על דפוסי התנהגות משתמשים.
- אימות מבוסס סיכונים: פתרונות MFA עתידיים עשויים למנף אימות הקשרי ומבוסס סיכונים, תוך התאמת דרישות האימות על סמך סיכונים מוערכים.
שיטות עבודה מומלצות בפריסת MFA
אופטימיזציה של יעילות MFA כרוכה בהקפדה על שיטות עבודה מומלצות:
- חינוך משתמשים: הדרכת משתמשים מתמשכת על החשיבות והנהלים של MFA היא חיונית להבטחת שיתוף הפעולה של המשתמשים.
- עדכונים שוטפים: שמירה על עדכון פתרונות MFA מבטיחה שהם מצוידים להתמודד עם איומים מתעוררים.
- אבטחה רב-שכבתית: MFA צריך להיות חלק מאסטרטגיית אבטחה מקיפה, בתוספת אמצעי אבטחה אחרים כמו הצפנה וחומות אש.
עבור למאמר הבא