אימות רב-שלבי

אימות רב-שלבי (באנגלית: Multi-factor authentication (אנ') או בקיצור MFA) הוא סוג אימות אלקטרוני אשר משתמש בשתי דרכים או יותר על מנת לאפשר גישה לחשבון/מערכת, ותפקידו להגן מפני גישה של גורמים בלתי רצויים גם במידה ואחד או יותר מדרכי האימות כשלו^[1]^[2]^[3].

הפופולרי ביותר כיום הוא האימות הדו-שלבי (2FA), שבו פרטי המשתמש (איימייל, שם משתמש או סיסמה קבועה) הם האימות הראשוני, ולאחר מכן אימות משני על ידי סיסמה חד-פעמית שנשלחת לנייד, לאימייל, לאפליקציה או נוצרת במכשיר ייעודי כמו RSA SecurID (אנ') או נמצאת ברשות הלקוח כרשימה מודפסת של סיסמאות חד-פעמיות.

יתרונות

שימוש בשיטה זו מקשה באופן משמעותי על פריצה לחשבונות, שכן גם אם סיסמת המשתמש ידועה – גורם זדוני אינו מסוגל לקבל גישה לחשבון ללא הוכחה נוספת שהוא בעל החשבון^[4].

נוסף על כך, לעיתים מדובר בנוחות, לדוגמה באתרים ממשלתיים רבים ניתן להזין מספר תעודת זהות בלבד ולקבל הודעה עם סיסמת כניסה חד-פעמית למכשיר הנייד מבלי לזכור סיסמאות בעל פה.

חסרונות

ראשית, המשתמש עלול להינעל מחוץ לחשבון של עצמו אם לא הכין מראש קוד גיבוי לחשבונו (לדוגמה אם איבד גישה לאיימיל או לטלפון הנייד).

שנית, הליך זה אינו בהכרח מגן אם מכשיר הקשור לשיטת האימות נפרץ או נגנב, וממנו ניתן לקבל גישה לכל החשבונות הנדרשים לאימות הנוסף (לדוגמה אם אם המייל בו משתמשים לאימות מחובר מראש באותו המחשב, ניתן לראות את קוד האימות בקלות).

שלישית, הליך זה אינו מגן מפני הנדסה חברתית (לדוגמה דיוג).

סוגי אימות

סוגי האימות שמערכות משתמשות בכדי לאמת זהות הם:

משהו שאתה יודע – כמו שם משתמש וסיסמה, קוד כניסה קבוע וכדומה
משהו בבעלותך – מכשיר פיזי כמו מכשיר סלולרי שמייצר סיסמאות חד פעמיות
משהו שאתה – אמצעים ביומטרים כגון טביעת אצבע או זיהוי פנים

אימות רב-שלבי משתמש בכמה סוגים במקביל, ואינו נשען רק על אחד מהם.

דוגמאות לאימות רב-שלבי:

משיכת כסף מכספומט, בו רק השילוב הנכון של כרטיס הכספומט (דבר שנמצא ברשות המשתמש) וקוד (משהו שהמשתמש יודע) מאפשר לבצע את הפעולה^[5]
כניסה לאתר שדורשת שם משתמש וסיסמה (משהו שהמשתמש יודע) וגם קוד מספרי שנשלח לטלפון של המשתמש (דבר שנמצא ברשות המשתמש), שאותו המשתמש נדרש להזין בנוסף לסיסמה, כדי לקבל גישה לחשבון שלו^[5]

אמצעי נוסף לאימות רב-שלבי הוא אפליקציית אימות של צד שלישי (Authenticator). אפליקציה כזו מאפשרת אימות רב-שלבי בדרך כלל על ידי הצגת קוד שנוצר באופן אקראי בו המשתמש יכול להשתמש, במקום שליחת קוד ב-SMS לטלפון של המשתמש או שימוש בשיטה אחרת^[6].

ראו גם

הערות שוליים

^ גם לכם גוגל הודיעה על הפעלת אימות דו-שלבי? זה מה שצריך לעשות, באתר TheMarker‏, 12 בנובמבר 2021
^ הגר בוחבוט, כל מה שצריך לדעת על אימות דו-שלבי, באתר ynet, 25 באפריל 2019
^ עכשיו יותר מתמיד: אתם צריכים להפעיל אימות דו-שלבי, באתר ynet, 23 בנובמבר 2023
^ Two-factor authentication: What you need to know (FAQ), CNET (באנגלית)
^ ¹ ² Back to basics: Multi-factor authentication (MFA) | NIST, web.archive.org, ‏2021-04-06
^ Barrett, Brian. "How to Secure Your Accounts With Better Two-Factor Authentication". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-2024-07-01.

[1] גם לכם גוגל הודיעה על הפעלת אימות דו-שלבי? זה מה שצריך לעשות, באתר TheMarker‏, 12 בנובמבר 2021

[2] הגר בוחבוט, כל מה שצריך לדעת על אימות דו-שלבי, באתר ynet, 25 באפריל 2019

[3] עכשיו יותר מתמיד: אתם צריכים להפעיל אימות דו-שלבי, באתר ynet, 23 בנובמבר 2023

[4] Two-factor authentication: What you need to know (FAQ), CNET (באנגלית)

[:0-5] ¹ ² Back to basics: Multi-factor authentication (MFA) | NIST, web.archive.org, ‏2021-04-06

[6] Barrett, Brian. "How to Secure Your Accounts With Better Two-Factor Authentication". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-2024-07-01.

[1]

[2]

[3]

[4]

[5]

[6]