אימות רב-שלבי

אימות רב-שלבי (באנגלית: Multi-factor authentication (אנ') או בקיצור MFA) הוא סוג אימות אלקטרוני אשר משתמש בשתי דרכים או יותר על מנת לאפשר גישה לחשבון/מערכת, ותפקידו להגן מפני גישה של גורמים בלתי רצויים גם במידה ואחד או יותר מדרכי האימות כשלו^[1]^[2]^[3].

הפופולרי ביותר כיום הוא האימות הדו-שלבי (2FA), שבו פרטי המשתמש (איימייל, שם משתמש או סיסמה קבועה) הם האימות הראשוני, ולאחר מכן אימות משני על ידי סיסמה חד-פעמית שנשלחת לנייד, לאימייל, לאפליקציה או נוצרת במכשיר ייעודי כמו RSA SecurID (אנ') או נמצאת ברשות הלקוח כרשימה מודפסת של סיסמאות חד פעמיות.

אימות רב שלבי חייב לערב את צד השרת ולא להיות תלוי אך ורק בצד הלקוח, כלומר אימות נכונות הפרטים או חלקם צריך להתרחש מול גורם חיצוני נפרד (אתר/מכשיר/אפליקציה/רשת סלולרית וכדומה). לדוגמה: במכשירים סלולרים חכמים אימות עם טביעת אצבע/זיהוי פנים אינו מהווה אימות רב שלבי בשל כך שהמכשיר מאחסן את פרטי ההתחברות הבסיסיים (כמו שם משתמש וסיסמה) מקומית ותו לא, ולכן כל עוד מידע מסוים לא מגיע/מאומת מול גורם חיצוני נפרד, מדובר על לא יותר מאשר מנהל סיסמאות.

יתרונות[עריכת קוד מקור | עריכה]

שימוש בשיטה זו מקשה באופן משמעותי על פריצה לחשבונות, שכן גם אם סיסמת המשתמש ידועה – גורם זדוני אינו מסוגל לקבל גישה לחשבון ללא הוכחה נוספת שהוא בעל החשבון^[4].

נוסף על כך, לעיתים מדובר בנוחות, לדוגמה באתרים ממשלתיים רבים ניתן להכניס ת.ז בלבד ולקבל הודעה עם סיסמת כניסה חד פעמית למכשיר הנייד מבלי לזכור סיסמאות בעל פה.

חסרונות[עריכת קוד מקור | עריכה]

ראשית, המשתמש עלול להינעל מחוץ לחשבון של עצמו אם לא הכין מראש קוד גיבוי לחשבונו (לדוגמה אם איבד גישה לאיימיל או לטלפון הנייד).

שנית, הליך זה אינו מגן אם המחשב או המכשיר נפרץ וממנו מקבלים גישה לכל החשבונות הנדרשים לכניסה.

שלישית, הליך זה אינו מגן מפני הנדסה חברתית.

סוגי אימות[עריכת קוד מקור | עריכה]

סוגי האימות שמערכות משתמשות בכדי לאמת זהות הם:

משהו שאתה יודע – כמו שם משתמש וסיסמה, קוד כניסה קבוע וכדומה.
משהו בבעלותך – מכשיר פיזי כמו מכשיר סלולרי שמייצר סיסמאות חד פעמיות.
משהו שאתה – אמצעים ביומטרים כגון טביעת אצבע או זיהוי פנים.

אימות רב-שלבי משתמש בכמה סוגים במקביל, ואינו נשען רק על אחד מהם.

דוגמאות לאימות רב-שלבי:

משיכת כסף מכספומט. רק השילוב הנכון של כרטיס הכספומט (דבר שנמצא ברשות המשתמש) וקוד (משהו שהמשתמש יודע) מאפשר לבצע את העסקה^[5].
כניסה לאתר שדורשת שם משתמש וסיסמה (משהו שהמשתמש יודע) וגם קוד מספרי שנשלח לטלפון של המשתמש (דבר שנמצא ברשות המשתמש), שאותו המשתמש נדרש להזין בנוסף לסיסמה, כדי לקבל גישה לחשבון שלו^[5].

אמצעי נוסף לאימות רב-שלבי הוא אפליקציית אימות של צד שלישי (Authenticator). אפליקציה כזו מאפשרת אימות רב-שלבי בדרך כלל על ידי הצגת קוד שנוצר באופן אקראי בו המשתמש יכול להשתמש, במקום שליחת קוד ב-SMS לטלפון של המשתמש או שימוש בשיטה אחרת^[6].

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

^ גם לכם גוגל הודיעה על הפעלת אימות דו-שלבי? זה מה שצריך לעשות, באתר TheMarker‏, 12 בנובמבר 2021
^ בוחבוט, הגר (2019-04-25). "כל מה שצריך לדעת על אימות דו-שלבי". Ynet. נבדק ב-2024-07-01.
^ ynet (2023-11-23). "עכשיו יותר מתמיד: אתם צריכים להפעיל אימות דו-שלבי". Ynet. נבדק ב-2024-07-01.
^ Two-factor authentication: What you need to know (FAQ), CNET (באנגלית)
^ ¹ ² Back to basics: Multi-factor authentication (MFA) | NIST, web.archive.org, ‏2021-04-06
^ Barrett, Brian. "How to Secure Your Accounts With Better Two-Factor Authentication". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-2024-07-01.

[1] גם לכם גוגל הודיעה על הפעלת אימות דו-שלבי? זה מה שצריך לעשות, באתר TheMarker‏, 12 בנובמבר 2021

[2] בוחבוט, הגר (2019-04-25). "כל מה שצריך לדעת על אימות דו-שלבי". Ynet. נבדק ב-2024-07-01.

[3] ynet (2023-11-23). "עכשיו יותר מתמיד: אתם צריכים להפעיל אימות דו-שלבי". Ynet. נבדק ב-2024-07-01.

[4] Two-factor authentication: What you need to know (FAQ), CNET (באנגלית)

[:0-5] ¹ ² Back to basics: Multi-factor authentication (MFA) | NIST, web.archive.org, ‏2021-04-06

[6] Barrett, Brian. "How to Secure Your Accounts With Better Two-Factor Authentication". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-2024-07-01.

[1]

[2]

[3]

[4]

[5]

[6]