MFA – Multi Factor Authentication
לפני שאנחנו בוחרים פתרון MFA כדאי להבין תחילה מה זה MFA – Multi Factor Authentication ?
לפני שאנחנו בוחרים פתרון MFA כדאי להבין תחילה מה זה MFA – Multi Factor Authentication ?
שיטת ההזדהות הנפוצה ביותר היום בכניסה ליישומי מחשב היא באמצעות שם משתמש וסיסמא ולאחר אימות שני הגורמים האלה ניתנת למשתמש הקצה גישה ליישום הרלוונטי. בכל ארגון בהתאם לרגישות היישום המתבקש , מוקשחת הדרישה למורכבות הסיסמא או לתדירות שבה היא תוחלף. האדם הסביר מסוגל לזכור מספר מועט ביותר של סיסמאות , וככל שהסיסמאות תהינה מורכבות יותר היכולת לזכור אותן הולכת וקטנה.
כתוצאה מכך, המשתמש הסביר נוקט בדרך כלל באחת מ-3 הדרכים לניהול הסיסמאות שלו:
- רישום הסיסמא במקום מוסתר שניתן יהיה לגשת אליו ולשלוף ממנו את הסיסמא
- שימוש ביישום מחשב נוסף לשמירת הסיסמאות שלו
- שימוש באיפוס הסיסמא מול מערך ה-helpdesk התומך ביישום הרלווונטי.
על מנת לפשט את כל נושא ניהול הסיסמאות בארגון , ארגונים רבים עוברים למתכונת של MFA Multi-Factor Authentication (MFA) או הזדהות מרובת גורמים.
הזדהות כזו ידועה גם בשם Two-Factor Authentication כאשר גורם אחד הוא שם המשתמש והסיסמא.
גורם השני הוא ה One Time Password – OTP שיכול להיות התקן פיזי המייצר סיסמאות חד פעמיות או הזדהות ביומטרית או סיסמא חד פעמית הנשלחת ב-SMS וכדומה.
השימוש ב-MFA או 2FA מתבסס על המבנה:
- ”משהו שאני יודע” – Something I Know
- “משהו שיש לי” – Something I have
לדוגמא:
במצב שבו משתמש מתחבר לחשבון הבנק שלו , הוא נדרש להזין קוד משתמש וסיסמא ובנוסף הוא מקבל קוד חד פעמי ב-SMS שגם אותו הוא נדרש להזין למערכת לצורך אימות הזיהוי.
סיסמאות עובדים – החוליה החלשה באבטחת הארגון
בעולם העסקים המודרני, בו חברות נסמכות על שילוב של שירותי ענן שונים ומערכות פנימיות (on-prem) רבות לצורך פעילות שוטפת, כל עובד מחזיק מספר רב של דרכים לגשת למידע ארגוני רגיש.
על פי מחקרים, עובד ממוצע ינהל מאות סיסמאות שונות, ומספר זה הולך וגובר ככל שגדל מגוון הכלים העסקיים ודרישות כמו עבודה מרחוק או שימוש במשאבים משותפים.
בחברות רבות, עובדים נדרשים לעמוד בנהלי אבטחה מורכבים כמו חידוש תקופתי של סיסמאות והקפדה על סיסמה “חזקה” (כזו הכוללת שילוב של אותיות גדולות, קטנות, סימנים ומספרים) למרות מחקרים רבים המראים שמורכבות כזו מקשה על שינון סיסמאות ומעודדת רישום ושיתוף שלהן. המציאות הזו מובילה לכך שכולנו משתמשים בטכניקות לא בטוחות לניהול סיסמאות עסקיות, החל בקביעת סיסמאות קלות לניחוש (ימי הולדת ומספרי טלפון הן דוגמאות נפוצות לכך), ועד לשמירת הסיסמאות על קבצים פתוחים או פתקים המודבקים ליד עמדות עבודה.
קשיים אלו הובילו למצב בו סיסמאות הן הבטן הרכה של עולם אבטחת מידע וסייבר. עוד לפני משבר הקורונה מצאה חברת וריזון האמריקאית כי 81% מהפריצות שנעשות כיום מתבססות על גניבת סיסמאות.
על פי סקרי-שוק אחרונים, מספר התקפות ה”פישינג” (גניבת ססמא על מנת להתחזות למשתמש בכניסה לשירות מסויים) עלו ביותר מ-660% מאז פברואר 2020. היום ברור לכל ארגון שמבקש להגן על המידע והמשתמשים שלו כי שימוש בסיסמאות על מנת לאמת זהות של משתמשים הוא פתרון מיושן ומרובה סכנות. בנוסף לאתגר האבטחה, חשוב לזכור כי סיסמאות הן גורם מוביל בפניה לתמיכה הטכנית בארגונים רבים.
הצורך לחדש סיסמה שאבדה או נשכחה הוא בעיה יומיומית בכל ארגון גדול וגורם לפגיעה ברצף העבודה ולחלק משמעותי מהפניות לתמיכה הטכנית, ולכן גם אחראי לעלויות שנתיות גבוהות. מסיבות אלו ועוד, ברור היום כי סיסמאות הן כלי אבטחה העומד לחלוף מהעולם.
מתי MFA הוא “חובה”
אימות רב־גורמים הוא שכבת הגנה קריטית בעיקר בנקודות הגישה שמייצרות את מירב הנזק כשנפרצות: חשבונות אדמין, גישה מרחוק (VPN/RDP), מערכות ענן קריטיות (דוא״ל ארגוני, CRM, ERP), וקונסולות ניהול של תשתיות וספקים. במקום להפעיל MFA “על הכול באותה צורה”, נכון לבנות מדיניות מבוססת־סיכון: מי חייב MFA תמיד, מתי נדרש אימות מחוזק (למשל בעת התחברות ממדינה חדשה/מכשיר לא מוכר), ואילו מערכות מצריכות שיטה עמידה יותר בפני פישינג.
האם אימות רב גורמים (MFA) הוא הפתרון?
שיטת ההזדהות הנפוצה ביותר היום בכניסה למחשבים ויישומים היא באמצעות שם משתמש וסיסמא.
בשל הבעיות שתיארנו, רוב הארגונים אינם מסתפקים בכך ומפעילים שכבת הגנה נוספת על חשבונות עובדים – Multi-Factor Authentication (MFA) או הזדהות מרובת גורמים.
ישנם סוגים רבים של מערכות כאלו, אך המשותף לכולן הוא הצורך בסיסמה מסורתית בשלב הראשון של ההזדהות, כאשר בשלב השני יש לספק גורם אימות ייחודי נוסף. דוגמאות לכך הם קוד חד פעמי המופק מראש ומופיע בהתקן פיזי שהמשתמש נושא עימו, קוד המגיע בהודעת SMS או דוא”ל, התקן USB מאובטח או הזדהות ביומטרית באמצעות טביעת אצבע, זיהוי פנים או קול.
למרות יתרונות האבטחה של מערכות אלו, הן סובלות מכמה חסרונות משמעותיים. ראשית, הארגון נאלץ להמשיך ולנהל סיסמאות לכל העובדים ולהתמודד עם המשאבים הרבים שמאמץ זה דורש מהמשתמשים ומצוותי ה-IT.
שנית, מידת האבטחה של אימות רב שלבי ממשיכה להיות תלויה במשתמש אשר חייב לשמור על גורמי ההזדהות כפי ששומרים על סיסמאות. בנוסך לכך, מספר רב של מתקפות סייבר הצליחו לפגוע באימות רב שלבי ע”י פריצה למערכות או מכשירי קצה.
מעבר לאתגרי האבטחה, שיטות MFA רבות נסמכות על התקני חומרה שונים שצריך לספק לכל עובדי הארגון. הדבר כרוך בעלויות ראשוניות גבוהות ובמאמץ מתמשך כדי לאפשר גישה נוחה ומהירה למערכות בכל תרחיש.
“עד שנת 2022 60% מהארגונים הגלובליים ו-90% מהארגונים הבינוניים יטמיעו שיטות ללא סיסמא ביותר מ-50% ממקרי השימוש” (Gartner).
איך בוחרים פתרון MFA שבאמת מפחית סיכון (ולא רק מוסיף עוד שלב)
לא כל MFA נולד שווה: קוד ב-SMS או במייל עשוי להתאים לתרחישים מסוימים, אבל בארגונים עם חשבונות בעלי הרשאות גבוהות, נתונים רגישים או חשיפה רגולטורית, עדיף לשקול שיטות חזקות יותר כמו אפליקציות אימות, מפתחות FIDO2/WebAuthn או Passkeys, ובמקרים מתאימים גם ביומטריה. בבחירת פתרון חשוב לבדוק גם אינטגרציה עם ספק זהויות (IdP), תמיכה במערכות Legacy, חוויית משתמש והטמעה (Enrollment), תרחישי “שבירת זכוכית” (Break-glass), יכולות ניטור ולוגים ל-SIEM, וניהול מחזור חיים של משתמשים והרשאות.
כך מטמיעים MFA בארגון בלי לפגוע בשוטף – ומה Infoguard עושה בפועל
הטמעת MFA מוצלחת היא תהליך, לא התקנה.
אנחנו מתחילים במיפוי נקודות גישה, משתמשים והרשאות (כולל ספקים וגורמי צד ג׳), מגדירים מדיניות אימות לפי רמות סיכון ותרחישי עבודה (משרד/מרחוק/מובייל), ומריצים פיילוט קצר שמדגיש שימושיות לצד אבטחה.
לאחר מכן מבצעים Rollout מדורג, עם הנחיות למשתמשים והדרכת מודעות ממוקדת להפחתת טעויות (כמו אישור בקשות “Push” חשודות), ובונים מנגנון בקרה מתמשך: חריגים, התאמות, וחיבור לניטור אירועים.
במידת הצורך נשלב גם התאמת טכנולוגיה מתאימה דרך האקו־סיסטם הקבוצתי – אך Infoguard נשארת הגוף המוביל והאחראי לתהליך מקצה לקצה.
אחד מתחומי ההתמחות של אינפוגארד הוא הטמעת פתרונות טכנולוגיים ל OTP ו-MFA אשר מאפשרים לארגון כניסה לכל המערכות שלו באמצעות שם משתמש בלבד יחד עם מנגנון OTP כאשר ניהול הסיסמאות נעשה באופן אוטומטי מאובטח ומתוחכם. ניתן להטמיע פתרון מבוסס שרתי ענן או התקנה בשרת מקומי – On premise solution.
רוצים לחזק את אבטחת המשתמשים בארגון? דברו איתנו
אם גם אצלכם ברור שסיסמאות לבדן כבר לא מספיקות, זה הזמן לחזק את אבטחת המשתמשים עם שכבות אימות חכמות וניהול זהויות מסודר. צוות אינפוגארד ישמח לבחון יחד אתכם את נקודות הגישה הקריטיות בארגון, להמליץ על מדיניות MFA מותאמת-סיכון, וללוות הטמעה פרקטית של פתרונות אימות כפול וניהול זהויות – בלי לפגוע בחוויית המשתמש וברציפות העבודה.
צרו קשר עם המומחים שלנו ונעזור לכם לבנות תהליך הזדהות בטוח.
