שתף קטע נבחר

הגנה כפולה ומכופלת

אחרי שניסו לגנוב לניר כץ את הסיסמה לג'ימייל שלו, הוא החליט לקחת את אבטחת החשבון שלו צעד אחד קדימה והגדיר אימות דו שלבי דרך הסמארטפון, שיבטיח שתמיד תהיה לו גישה לחשבון הג'ימייל והפייפאל שלו. כך תעשו בעצמכם

שישי בבוקר. בתיבת הג'ימייל שלי מופיעה הודעה מחבר טוב. אני פותח את ההודעה ורשום בה כי החבר שיתף איתי מסמך במערכת גוגל דוקס. ציפיתי לקבל ממנו אי-מייל בסגנון הזה, אז לחצתי על הלינק בהודעה. להפתעתי הגעתי לאתר שביקש ממני לתקתק את סיסמת הג'ימייל שלי על מנת לראות את המסמך. פה התחלתי לחשוד. הסתכלתי על כתובת האתר שהגעתי אליו וראיתי שלא היה לו שום קשר לגוגל. חזרתי להודעה בתיבת הדואר שלי ואחרי בחינה יותר מעמיקה הבנתי שזאת הודעת פישינג (ניסיון לגניבת מידע רגיש על ידי התחזות) קלאסית. מה שבלבל אותי בכל הסיפור היה שההודעה באמת הגיעה מתיבת הדואר של אותו חבר.

 

 (צילום: shutterstock) (צילום: shutterstock)
(צילום: shutterstock)

 

הרמתי טלפון לחבר, סיפרתי לו על ההודעה והמלצתי לו לבדוק אם חשבון הג'ימייל שלו נפרץ. הוא הודה לי וניגש לבדוק. כעבור כמה דקות צלצל אלי החבר בחזרה ואמר שעוד מישהו התלונן שקיבל ממנו מכתב מהסוג הזה, ובנוסף, בתיקיית "דואר יוצא" הוא גילה שאכן אותן הודעות נשלחו מהחשבון שלו. כמו כן הוא קיבל הודעת אי-מייל מהמערכת של גוגל שיש פעילות חשודה בחשבון שלו. החבר מייד שינה את הסיסמא שלו והתופעה לא חזרה.

 

התרחיש שמישהו פרץ לחשבון הג'ימייל, הפייסבוק, הפייפאל או לחשבון הבנק שלנו דומה לתרחיש שמישהו פרץ פיזית לבית שלנו. המחשבה שמישהו חיטט בהודעות המייל הפרטיות שלנו גרועה כמו המחשבה שמישהו חיטט במגירות שליד המיטה שלנו. הנזק בפריצה הוירטואלית יכול להיות אפילו מסוכן יותר מפריצה פיזית. מנזק תדמיתי דרך אובדן כספים ועד לגניבת זהות. אמנם לא פשוט לפרוץ לחשבונות שלנו, אך יש מספיק דרכי פעולה לאותם האקרים. אפשרות אחת היא דליפת אינפורמציה רגישה עקב תקלה אצל ספק השירות. רק בתחילת השנה האזרחית נפרצה סנאפצ'ט ונחשפו מספרי טלפון של מיליוני משתמשים.

 

 (צילום: Shutterstock) (צילום: Shutterstock)
(צילום: Shutterstock)

 

הבעיה בפריצה לספק שירות ספציפי לא משפיעה רק על החשבון אצל אותו ספק שירות. רוב האנשים משתמשים באותה סיסמא לכמה ספקי שירותים, וכך יכול אותו האקר פשוט לנסות להשתמש באותה כתובת מייל וסיסמא אצל ספק שירות אחר. אפשרות שנייה היא להשתמש בשיטות פישינג למיניהן, שנוצרו לנצל את בורותם של בני אדם ואת תמימותם. אחת השיטות היא לשלוח מייל בהול, שנראה כאילו נשלח מהבנק, ולבקש לגלוש ל"אתר הבנק" (שהוא בעצם אתר פיקטיבי של ההאקר) ולהכניס את שם המשתמש והסיסמא כדי לסדר איזו בעיה בחשבון. ההאקר לוקח את השלל שנפל לידיו ומשתמש בו לגשת לחשבון הבנק דרך האתר הרשמי.

 

יש גם אפשריות טכנולוגיות, כמו האזנה בזמן שאנשים גולשים ברשתות לא מאובטחות (כמו הרשת שיש ברכבת!!), או אפילו ניסיון לנחש את הסיסמאות. בסופו של דבר שיטת הסיסמא היא שיטה שאפשר לעקוף. אז מה הפתרון? איך אפשר להקשות על האנשים הרעים? כמו בעולם האמיתי הדרך היא להוסיף עוד מנעול. אבל מנעול מתוחכם. מנעול שלא מתבסס רק על מידע שאתם יודעים, אלא גם על משהו שיש לכם. והמשהו הזה הוא הטלפון הסלולארי.

 

על מנת להבין את מנגנון שנקרא 2-Phase Authentication או בעברית "אימות דו שלבי" נעקוב אחר הוראות ההפעלה במערכת הדואר של ג'ימייל:

 

1) היכנסו לחשבון הג'ימייל שלכם, לחצו על שם המשתמש שלכם בצד שמאל למעלה ובחרו "חשבון".

 


2) במסך הבא לחצו על "אבטחה".


 

3) בשורת "אימות דו-שלבי" לחצו על "הגדר"

 

 

 4) בחרו "התחל בהגדרה"


 

5) בחרו לאיזה טלפון לשלוח את קוד האימות ולחצו "שלח קוד"


 

6) למספר שבחרתם תגיע מיד הודעת SMS עם הקוד.

 

 

הכניסו את הקוד שקיבלתם ולחצו "אמת"

 


7) אפשר לבחור שבמחשב הספציפי אין צורך לבקש קוד אימות כי המחשב נמצא ב"שליטה" שלכם. לחצו "הבא".

 

 8) לאישור סופי של האימות הדו שלבי לחצו "אשר".

 

 

9) על מנת לאפשר לאפליקציות שניגשות לחשבון הגוגל שלכם לעבוד בשיטה החדשה יש צורך לקבל סיסמא חדשה (אחרת הן לא תעבודנה). לחצו על "חבר מחדש את האפליקציות שלי" לקבל סיסמאות חדשות. במקרה הזה לחצנו על "עשה זאת מאוחר יותר"

 

 

 

  

10) גוגל מזכירה שהבחירה שלנו יכולה להוות בעיה לאפליקציות שכבר רצות.

 

 

11) גוגל מאפשרת להגדיר מספר חלופי לקבלת קודי אימות, וגם לקבל קודי אימות מראש למקרים בהם אי אפשר לקבל מסרונים (למשל בזמן טיול בחו"ל או איבוד טלפון).

 

 

זהו.

 

בזמן כניסה לחשבון במחשב לא מאומת תתבקשו להכניס קוד אימות. קוד שמוגרל בזמן אמת.

 

 

 

 

תהליך זה מוריד משמעותית את הסיכוי של ההאקר לפרוץ לחשבון הג'ימייל שלכם בגלל שאין לו את מכשיר הטלפון שלכם. אימות דו-שלבי אפשר לעשות גם בפייסבוק ובפייפאל.

 

 

אז קדימה, למה אתם מחכים? שיפרצו לכם לחשבון? 

לניר כץ יש בלוג מצחיק ופופולארי שנקרא "החיים על פי ניר" שרץ על מערכת וורד-פרס, שלא במקרה גם היא מאפשרת אימות דו-שלבי.

 

 

 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
מומלצים