מדריך למשתמש: איך מפעילים אימות דו-שלבי בטוויטר באמצעות אפליקציות במקום הודעות SMS?

מאת:
צוות אתר בלוק
תגובות 0

חברת טוויטר התחילה לגבות תשלום נוסף על השימוש באימות החשבון בפלטפורמה באמצעות הודעות SMS. למשתמשים קיימת עדיין האפשרות להשתמש באפליקציות אימות חינמיות כדי לאמת את חשבונם במקרה הצורך כדי לשמור על אבטחת חשבונם. הנה מדריך קצר שמסביר למה זה חשוב להפעיל אימות דו שלבי באמצעות אפליקציות – ואיך עושים את זה.

תחילה קצת רקע:

חברת טוויטר הודיעה כי החל מה-20 במרץ 2023, משתמשים שלא נרשמו לשירות הפרימיום Twitter Blue לא יוכלו יותר להפעיל אימות דו-שלבי באמצעות הודעת SMS. במקום זאת, טוויטר ממליצה למשתמשים להשתמש באפליקציות אימות של צד שלישי. על פי דו"ח של החברה משנת 2022, 74.4% ממשתמשי טוויטר פעילים משתמשים בהודעות SMS כשיטת אימות נוספת שלהם. טוויטר טוענת כעת ששיטת אימות זו "נוצלה לרעה על ידי שחקנים רעים" וגרמה לחברה נזקים בגובה של כ-60 מיליון דולר בשנה (שחקנים "רעים" – גורמים עוינים שאחראים לארוע שמשפיע או בעל פוטנציאל להשפיע על אבטחת ארגון או מידע של משתמשים).

למרות שאימות מבוסס הודעות SMS אינו האפשרות המאובטחת ביותר נראה שחולשותיו וחסרונותיו אינן מוכרות דיין לציבור הישראל וכך גם המודעות לאלטרנטיבות אחרות עבור אימות דו-שלבי, שהוא מנגנון הגנה חשוב על חשבונות ונכסים דיגיטליים. במדריך זה נסביר בקצרה מהו אימות דו שלבי, מה הן שתי השיטות העיקריות להפעלתו, כיצד מפעילים אותו, ומהם היתרונות והחסרונות של כל אחת מהשיטות.

נתחיל בהסבר:
אימות דו-שלבי הוא תכונת אבטחה שמוסיפה שכבת הגנה נוספת לחשבונות המקוונים ולנכסים דיגיטליים, מה שמקשה על תוקפים ופורצים לקבל גישה למידע הרגיש שלכם ברשתות. בעוד ששימוש בהודעות SMS היא הדרך המסורתית להגדרת אימות דו-שלבי, יישומי צד שלישי (אפליקציות) כמו Google Authenticator ו-Microsoft Authenticator הופכים יותר ויותר פופולריים ומציעים כמה יתרונות חשובים.

השיטה הנפוצה ביותר בעולם לאימות דו שלבי נעשית באמצעות SMS

אימות דו-שלבי באמצעות SMS הוא אמצעי אבטחה המחייב את המשתמשים לעבור שני שלבי אימות כדי לגשת לחשבון שלהם ולנהל אותם ואת המידע שהם מכילים. בשיטה זו, לאחר שהמשתמש יזין את שם המשתמש והסיסמה שלו, הוא יקבל קוד חד פעמי באמצעות SMS למספר הטלפון הנייד שרשם במערכות הפלטפורמה/שירות (גוגל, פייסבוק, בנק וכדומה). לאחר מכן המשתמש צריך להזין את הקוד שקיבל בשדה המתאים בדף הכניסה כדי להשלים את תהליך האימות ולקבל גישה לחשבון שלו. בחלק מהפלטפורמות ישנה אפשרות "לשמור מכשירים מחוברים", כך שהמשתמש לא יצטרך בכל פעם לעבור הליך אימות זה.

שיטה חלופית, שהופכת פופולרית לאחרונה, היא אימות דו-שלבי באמצעות אפליקציות אימות

אימות דו-שלבי באמצעות אפליקציות אימות כגון Google Authenticator ו-Microsoft Authenticator הוא סוג של אימות דו שלבי שנעשה באמצעות אפליקציה ייעודית המותקנת בטלפון הנייד – האפליקציה מייצרת בזמן אמת קודים חד פעמיים אותן נדרש המשתמש להזין בנוסף לסיסמה כדי לגשת לחשבון או שירות.

היתרונות של אפליקציות צד שלישי לאימות דו-שלבי:

  1. אין הסתמכות על SMS: אימות דו-שלבי מבוסס SMS יכול להיות פגיע למתקפה שנקראת SIM SWAPPING – בה האקר גורם לספק הסלולרי להעביר את מספר הטלפון של הקורבן לכרטיס SIM חדש שבשליטתו. ישנן עוד דרכים לבצע הונאה זו מלבד שכנוע ספק הסלולר לבצע העברה של המספר לכרטיס SIM אחר, כגון ניסיונות פישינג המכוונות לקרבן, במטרה להוציא ממנו את הקוד החד-פעמי המתקבל בדרך זו. בשורה התחתונה – חולשה זו של אימות באמצעות SMS מאפשרת לתוקפים ליירט את קוד האימות הדו-שלבי. עם אפליקציות של צד שלישי, אין הסתמכות על SMS, ולכן וקטור ההתקפה הזה יורד מהפרק.
  2. מאובטחות יותר: אפליקציות של צד שלישי מייצרות קודים חד פעמיים התקפים לפרק זמן קצר מאוד (כ-20 שניות) וייחודיים ל*מכשיר* המשתמש, מה שמקשה הרבה יותר על האקרים ליירט אותם ולהשתמש בהם (כדי לראותם יש להשיג שליטה על מכשיר המותקף). כמו כן, נטען כי אפליקציות אלה משתמשות לרוב בשיטות הצפנה מתקדמות יותר מאשר ב-SMS.
  3. עובדות במצב לא מקוון: בניגוד לאימות דו-שלבי מבוסס SMS, אפליקציות צד שלישי אינן דורשות חיבור לאינטרנט כדי לייצר קודים חד פעמיים בזמן החיבור לחשבון. האופציה יכולה להיות שימושית במיוחד כאשר מטיילים באזורים עם קליטה סלולרית מוגבלת.

החסרונות של אפליקציות צד שלישי לאימות דו-שלבי לעומת שימוש ב-SMS:

  1. דורש התקנת אפליקציה והגדרות נוספות ומאתגרת מבחינה טכנית עבור משתמשים מסוימים: הגדרת אימות דו-שלבי באמצעות אפליקציה של צד שלישי מחייבת את הורדתה מחנויות האפליקציות והתקנתה; כמו כן צריך לקשרה אל חשבונות המשתמש באמצעות סריקת קוד QR  או הזנה ידנית של קוד אבטחה ייעודי המקשר בין מכשיר מסוים לחשבון.זה עשוי לקחת קצת זמן ומאמץ נוספים בהשוואה לאימות מבוסס SMS שמבוצע כמעט ללא הגדרות והתקנה מיוחדת.
  2. נדרשת נגישות למכשיר הפיזי: במידה והמכשיר הסלולרי שבק חיים, אבד או נגנב תהיו בבעיה. מכיוון שהאפליקציה מחוברת למכשיר שלכם, אם הוא שבק חיים, אבד או נגנב, לא תוכלו להתחבר לחשבונות שלכם אלמלא דאגתם לגיבוי של דרכי האימות מול הפלטפטורמה/שירות, או אם ייצאתם את קודי האימות של האפליקציה לגיבוי נפרד בדרך אחרת.

כיצד להפעיל אימות דו-שלבי בטוויטר באמצעות Google Authenticator ו-Microsoft Authenticator:

גוגל – Google Authenticator:

הורידו את האפליקציה מחנויות גוגל או אפל.

עברו להגדרות החשבון שלכם בטוויטר וחפשו את סעיף האימות הדו-שלבי או האבטחה ביישום או באתר.

כעת בחרו באופציה של "Authentication app" ועקבו אחר ההוראות –

1) לחצו על Get started

2) לחצו על Next

לאחר מכן פתחו את אפליקציית Google Authenticator וסרקו את קוד ה-QR שמופיע על המסך.

כעת הזינו את הקוד החד פעמי שנוצר על ידי האפליקציה בחשבון המבוקש כדי להשלים את תהליך ההגדרה.

עבור הגדרת אימות דו-שלבי בכל אפליקציה אחרת – ג'ימייל, פייסבוק, אינסטגרם וכו' – שלבי ההפעלה זהים.

מיקרוסופט – Microsoft Authenticator:

הורידו את אפליקציית Microsoft Authenticator מחנויות אפל או גוגל.

עברו להגדרות החשבון שלכם בטוויטר וחפשו את סעיף האימות הדו-שלבי או האבטחה.

עקבו אחר ההוראות כדי להפעיל אימות דו-שלבי ובחרו ב"Authentication app" כשיטת האימות הרצויה.

פתחו את אפליקציית Microsoft Authenticator וסרקו את קוד ה-QR שמופיע על המסך. הזינו את הקוד החד פעמי שנוצר על ידי האפליקציה לחשבון המבוקש כדי להשלים את תהליך ההגדרה

עבור הגדרת אימות דו-שלבי בכל אפליקציה אחרת – ג'ימייל, פייסבוק, אינסטגרם וכו' – שלבי ההפעלה זהים.

לסיכום:

ככל שיותר חברות יחדלו מהגדרה אוטומטית של שימוש מאימות דו-שלבי מבוסס SMS, כך יהיה חשוב יותר לדעת כיצד להשתמש באפליקציות צד שלישי כמו של גוגל ומיקרוסופט כדי לשמור על אבטחת החשבונות שלכם. אמנם יש כמה חסרונות בשימוש באפליקציות אלה, אבל האבטחה הנוספת שהם מספקים שווה את המאמץ הנוסף – והם חינמיות. הכרת האלטרנטיבות השונות והקפדה על התקנה ושימוש בהן כפי שהסברנו במדריך זה, תשפרו את ההגנה על החשבונות שלכם.

0 תגובות

הצג:
הוסף תגובה
"> ">

    -->