Patch Management

MFA – אימות רב-שלבי

הגישה למערכות ממוחשבות רבות מוגנת באמצעי אבטחה שונים כדי להבטיח שרק האנשים שצריכים להגיע אליה אכן יהיו בעלי היכולות לעשות זאת. האמצעים האלה מאמתים את זהות הניגשים למערכות והם זמינים במגוון וריאציות, בהתאם לצורך ולנסיבות. בהקשר זה, נושא הסיסמאות ידוע מאוד ורבים משתמשים כיום באימות דו שלבי ואפילו באימות רב-שלבי. מה זה אומר? מדוע ומתי דרוש הליך מורכב שכזה? כל המידע החשוב בנושא נמצא ממש כאן.

מה זה MFA?

MFA (או Multi Factor Authentication) הוא מערכת זיהוי של המשתמש בכמה שלבים. הזדהות בפני מערכות שונות היא דרך בטוחה לתת גישה לתוכן רק לאנשים המורשים, וגם לאחריה ייתכן שמנגנוני אבטחה שונים יפקחו על המתרחש. רמת האבטחה של ההזדהות הדרושה תלויה בשיקולים רבים, ובהתאם להם אפשר להגדיר את מספר שלבי ההזדהות, הסוגים של אמצעי ההזדהות שיידרשו ואת רמתם (למשל "חוזק" סיסמה מינימלי נדרש). שימוש בסיסמה הוא שימוש נפוץ בשלב אחד, ואפשר להוסיף לכך דרישה להזנת קוד שנשלח ב-SMS או באימייל – זוהי כבר הזדהות בשני שלבים. מצב כזה מוכר היום לא רק בעסקים אלא גם בציבור הרחב, ובדרך כלל ככל שיש יותר שלבי הזדהות אפשר להיות בטוחים יותר שרק אנשים מורשים מגיעים למידע הרגיש המוגן מאחוריהם.

מדוע ומתי דרוש MFA?

אפשר לחשוב על MFA כעל רצף של שערי אבטחה, והמזדהים נדרשים לעבור בהם אחד אחרי השני, בשונה מכמה שערי כניסה המוצבים במקביל. כניסה בשער אחד עדיין לא תספיק כדי לחשוף את המשתמש למידע הרצוי, והוא צריך לעבור בכולם בהצלחה.
תקלות או טעויות אנוש עשויות לאפשר כניסה דרך שער אחד, למשל סיסמה הרשומה על פתק ומודבקת במקום בולט לעין שאפשר לגשת אליו בקלות. אך אם תידרש פרט לסיסמה הזו גם הזדהות עם אמצעי אבטחה נוספים, הפורצים לא יוכלו לנצל זאת בקלות. אימות רב-שלבי מפצה על מקרים שבהם אחד מאמצעי האבטחה אינו חזק מספיק לבדו או שהוא פגיע וחשוף יחסית, ובכך משפר את האבטחה של המערכת כולה.
כמו כן, עסקים חייבים לגשת לנושא האבטחה מתוך ראייה כוללנית, עם אבטחת מידע בענן ועזרי אבטחה ממגוון סוגים כמו WAF. אימות רב-שלבי הוא פתרון לסיכונים נקודתיים, כמו הגנה מפני DDOS למשל, אבל הוא גם גישה המסייעת לכל פעילות האבטחה של העסק מהזווית החיונית של אימות זהות. זהו אלמנט חשוב במאמץ למנוע נזקים קריטיים לעסק ולהבטיח המשכיות עסקית.
MFA דרוש ומיושם במיוחד במערכות שבהן מעוניינים באבטחה מרבית. לאחרונה רואים צורך גובר באימות רב-שלבי על רקע מגמות שונות, למשל עבודה מרחוק, הרשמה למגוון גדל של שירותי ענן, איומי אבטחה גדלים והשימוש המתרחב במחשוב בכלל.

 

נקודות הקצה כנקודה רגישה

כיוון שמדובר בהזדהות ובכניסה למערכות שונות, נקודות הקצה הן הסביבה העיקרית שבה משתמשים ב-MFA. מדובר בעיקר על מחשבים מכל הסוגים, סמארטפונים וטאבלטים, וכל מכשיר שהעובד משתמש בו כדי לגשת למידע שבמערכת ולמערכות עצמן. נקודות הקצה הן בדרך כלל הפגיעות ביותר מבחינת פריצות וכניסה של תוכנות זדוניות למערכת, וההגנה צריכה להתחיל מהשלבים הראשוניים ביותר של הגישה למערכת כדי להפחית ככל האפשר את הפגיעות הפוטנציאליות.

יכולות מתקדמות

אימות רב-שלבי מציג אפשרויות מתקדמות רבות. למשל, כאשר שולחים קוד לאימייל אפשר לקרוא את האימייל מכל מקום, אך אם שולחים קוד כזה ב-SMS למספר הטלפון של המשתמש, ההזדהות תדרוש לרוב גם החזקה פיזית של אותו המכשיר. כלומר, זה לא רק "משהו שאתה יודע" (כמו הקוד או סיסמה), אלא "משהו ששייך לך", בדומה לתעודה מזהה שמציגים בכניסה למתקן ביטחוני.

 

הביומטריה במרכז העניינים

לצד "משהו שאתה יודע" ו"משהו ששייך לך", מקובל לדבר בעולם האבטחה גם על "מי שאתה", ולכן זה לא צירוף מקרים שאמצעי זיהוי ביומטריים הם נפוצים למדי באימות רב-שלבי. המידע בזיהוי ביומטרי הוא מידע ייחודי לכל אדם, המציב בפני פורצים מכל הסוגים אתגרים גדולים במיוחד. לא קל להם להעתיק מידע כזה באופן אפקטיבי, כשם שעשוי להיות פשוט לגנוב סיסמה ולעשות בה שימוש. מערכות MFA עשויות גם לכלול יכולות מתקדמות שונות כמו חסימת כתובות IP ספציפיות או התראות על פעילות חריגה.

 

לסיכום

הוספה של אימות רב-שלבי למערכת היא לא פעולה קשה או מסובכת מדי, והתועלת שלה רבה נגד האתגרים הרבים והמורכבים שיש בעולם הסייבר והמחשוב בימינו.