אימות ללא סיסמה: 3 סיבות לעבור ל-Passwordless כחלק מ-Zero Trust

סיסמאות הן עדיין מנגנון ההזדהות הנפוץ ביותר בארגונים, אבל הן הפכו לנקודת תורפה צפויה: קל לגנוב אותן בפישינג, להשתמש בהן מחדש (Reuse), או “לסחוט” אותן דרך נוזקות, דליפות מידע והנדסה חברתית. בעולם שבו עובדים מתחברים מהבית, מהנייד וממערכות SaaS רבות — הגנה על זהויות היא אחד הצירים המרכזיים של אבטחת מידע.

כאן נכנס אימות ללא סיסמה (Passwordless Authentication): מעבר ממודל שמבוסס על “משהו שאני יודע” (סיסמה) למודל שמבוסס על מפתחות קריפטוגרפיים, מכשיר מאובטח ובמקרים רבים גם אימות משתמש (ביומטריה/קוד מקומי) , בצורה שמקטינה דרמטית את היכולת לגנוב “סוד” ולנצל אותו מרחוק.

למה סיסמאות כבר לא מספיקות

1. אנשים לא בנויים לזכור עשרות ומאות סיסמאות,
   ולכן משתמשים בשיטות מסוכנות (שימוש חוזר, וריאציות קלות, שמירה לא מאובטחת).
2. איפוס סיסמאות הוא עומס IT ותפעול:
   מחקרים וסקירות שוק מצביעים שחלק משמעותי מקריאות התמיכה (לעיתים 20%–50%) קשור לסיסמאות — שינוי/איפוס/נעילה.
3. MFA קלאסי עוזר, אבל לא תמיד מספיק:
   יש שיטות MFA שניתן לעקוף בפישינג מתקדם (למשל “אישור פוש” בלי Number Matching) או דרך השתלטות על ערוץ ה-SMS במקרים מסוימים.

3 סיבות חשובות לעבור לאימות ללא סיסמה

1. המשתמש כבר לא “סיסמה מהלכת” שאפשר לגנוב
   ב-Passwordless, אין סיסמה שאפשר ללכוד בפישינג, לדוגמה באמצעות אתר התחזות או הודעה מזויפת. בשיטות מודרניות רבות (כמו FIDO2/WebAuthn ו-Passkeys), ההזדהות מבוססת על מפתח פרטי שנשאר במכשיר, והשרת מקבל הוכחה קריפטוגרפית במקום “סוד” שאפשר להעתיק. זהו בסיס מוכר לגישה של Phishing-resistant authentication (אימות עמיד לפישינג).
   מה זה נותן לארגון בפועל?
   פחות השתלטויות על חשבונות, פחות אירועי “Credential Stuffing”, ופחות תלות בשיקול הדעת של המשתמש מול הודעת פישינג משכנעת.
2. שיפור חוויית משתמש, בלי לוותר על אבטחה
   אימות ללא סיסמה יכול להפוך תהליך התחברות למשהו מהיר ועקבי: כניסה בלחיצה/ביומטריה, שימוש ב-Passkeys במחשב ובנייד, וגישה נוחה למערכות SaaS, שירותי ענן, מערכות ארגוניות מסורתיות וגם גישה מרחוק — בהתאם למדיניות.
   בניגוד למה שנהוג לחשוב, שיפור UX הוא לא “בונוס” — הוא תנאי להצלחה. כשחוויית ההזדהות פשוטה, יש פחות עקיפות “יצירתיות”, פחות שיתוף סיסמאות, ופחות צורך בפתרונות מאולתרים.
3. הפחתת עלויות ותלות ב-Helpdesk
   העלות של סיסמאות היא לא רק אבטחה — היא גם תפעול: נעילות משתמשים, איפוסים, מדיניות מורכבת, תהליכי הרשמה מחדש, תקלות בגישה מרחוק ועוד. לכן ארגונים רבים מחפשים להפחית משמעותית את “מס הסיסמאות” דרך אימות ללא סיסמה ושירותים משלימים (כמו Self-Service, מדיניות גישה אדפטיבית, וניהול זהויות מסודר).

Passwordless כחלק מ-Zero Trust

Zero Trust אומר בפשטות:
לא סומכים אוטומטית על אף משתמש או מכשיר – גם לא בתוך הרשת.
במקום “נכנסת פעם אחת ואז הכול פתוח”, עובדים לפי עקרונות כמו:

• Verify explicitly – אימות מפורש בכל ניסיון גישה
• Least privilege – מינימום הרשאות נדרש
• Assume breach – מניחים שתוקף כבר בפנים ומגבילים תנועה ונזק

במודל הזה, זהות המשתמש היא ה”פרימטר” החדש. אימות ללא סיסמה משתלב טבעית ב-Zero Trust כי הוא מאפשר אימות חזק יותר, חיבור למדיניות גישה לפי הקשר (מכשיר, מיקום, רמת סיכון), והקשחה משמעותית של נקודות הכניסה הקריטיות — במיוחד לחשבונות עם הרשאות גבוהות.

אילו שיטות Passwordless קיימות (ברמה כללית)

המטרה היא לבחור שיטה שמתאימה לסיכון, לסביבות העבודה ולמערכות הקיימות — לא “עוד שכבה” טכנית.

• FIDO2 / WebAuthn / Passkeys (מפתחות קריפטוגרפיים, לעיתים עם ביומטריה/קוד מקומי) – נחשבות לכיוון חזק במיוחד מול פישינג.
• כרטיסים חכמים / תעודות דיגיטליות – נפוץ בארגונים עם דרישות מחמירות.
• אימות מבוסס מכשיר + ביומטריה – מתאים במיוחד לניידים ולעבודה היברידית.
• גישה אדפטיבית (Risk-Based / Conditional Access) – מחזקת תרחישים חשודים (מכשיר חדש, מיקום חריג, שעות לא שגרתיות).

איך לבחור בין MFA קלאסי, FIDO2/Passkeys ו-Passwordless לפי רמת סיכון ותרחישי עבודה

פתרונות אימות מתחלקים לכמה “משפחות”, וכל אחת מציעה איזון שונה בין אבטחה, חוויית משתמש ועלות:

OTP ב-SMS או במייל הוא לרוב הכי קל לפריסה, אבל נחשב חלש יותר מול מתקפות מתקדמות (למשל השתלטות על ערוץ תקשורת או פישינג).

אפליקציות אימות (TOTP) מעלות משמעותית את רמת ההגנה בלי תלות ב-SMS, אך עדיין עלולות להיפגע אם משתמש מזין קוד באתר מתחזה.

Push / אישור בלחיצה נוח מאוד, אך אם לא משלבים מנגנונים כמו Number Matching ומדיניות מבוססת סיכון, הוא עלול להיות פגיע לתופעת MFA Fatigue (הצפה בבקשות אישור עד שהמשתמש מאשר בטעות).

מפתחות חומרה ו-FIDO2 / WebAuthn (כולל Passkeys) נחשבים מהחזקים והעמידים ביותר לפישינג, משום שההזדהות מבוססת על מפתחות קריפטוגרפיים ומקושרת לדומיין, אבל דורשים היערכות תפעולית (רכש, הפצה, תרחישי גיבוי) והתאמה למערכות קיימות.

בתוך אותו עולם נמצא גם אימות ללא סיסמה (Passwordless), שמבטל את התלות בסיסמה מלכתחילה ומחליף אותה בהזדהות חזקה המבוססת על מכשיר/מפתח אבטחה ולעיתים גם ביומטריה או PIN מקומי — כך שאין “סוד” שניתן לגנוב או לעשות בו שימוש חוזר, ובמקביל מתקבלת חוויית כניסה מהירה ועקבית.

הבחירה הנכונה תלויה ברמת הסיכון, סוגי המשתמשים (כולל אדמינים וספקים), תאימות למערכות ענן ו-On-Prem, והיכולת להפעיל מדיניות גישה אדפטיבית שמחזקת אימות כאשר יש חריגה במכשיר, מיקום או התנהגות.

איך מבצעים מעבר נכון לאימות ללא סיסמה

1. מיפוי מערכות ותרחישי גישה: SaaS, On-prem, VPN/RDP, משתמשי אדמין, ספקים וצדדים שלישיים.
2. הגדרת מדיניות לפי סיכון: היכן חייבים אימות עמיד לפישינג, היכן ניתן להתחיל בהדרגה.
3. פיילוט קצר + Rollout מדורג: כדי לא לפגוע ברציפות העבודה ולהבטיח אימוץ.
4. שילוב ב-IAM: ניהול מחזור חיים של משתמשים והרשאות (Joiner/Mover/Leaver), לוגים, SIEM, וניהול חריגים.

איך Infoguard יכולה לעזור בניהול סיסמאות בארגונים?

באינפוגארד אנחנו מלווים ארגונים בתכנון והטמעה של אבטחת זהויות, כולל מעבר ל-Passwordless כחלק מאסטרטגיית Zero Trust: מיפוי פערים, בחירת גישה מתאימה לסביבות שלכם, בניית מדיניות, תהליך הטמעה, וחיבור לבקרה וניטור.

רוצים לבדוק התאמה לארגון שלכם? צרו קשר ונשמח לבצע שיחת אפיון קצרה ולהציע מסלול מעבר מדורג, פרקטי ומדיד.

צרו קשר עם המומחים שלנו ונעזור לכם לבנות תהליך הזדהות בטוח.