הסיסמה השקופה: מנגנון ה-iMFA עשוי להיות הפתרון למיחזור המסוכן של סיסמאות

יותר מדי אנשים משתמשים באותן סיסמאות לשירותים שונים. שיטת iMFA עשויה להיות הפתרון שיאזן בין רמת אבטחה לחוויית המשתמש: איך היא עובדת ומה אפשר לעשות עד שכולם יאמצו אותה?

ללא תחושת דחיפות מאיום אבטחה ספציפי, ארגונים רבים לא יאמצו סטנדרט אבטחה חדש (צילום: Dreamstime)

מאת דניאל אלפרוב, מהנדסת פתרונות ב-F5

לאחרונה עולה לדיון סוגיית השימוש בסיסמאות הנדרשות בעת הכניסה לאפליקציות ויישומים. בעוד מומחי אבטחה עשויים לטעון כי מדובר במחסום חשוב ובלתי נמנע שיכול לסכל מעשי הונאה ופריצה למידע רגיש, מחקרים שפורסמו לאחרונה מעידים כי שיטה זאת אינה יעילה, בעיקר בשל התנהלות המשתמשים והתעלמותם מסיכונים.

מחקר שפורסם לאחרונה על ידי Shape Security ו-F5 מראה כי מספר אירועי גניבה וזליגת ההרשאות (Credential Spill) השנתי כמעט הוכפל מ-2016 ל-2020. מומחים מסבירים כי במוקד התקפות אלו נעוצה שיטת ההזדהות מבוססת הסיסמאות, שכן ההתקפות כוללות ניצול מספר גדול של צמדי הרשאות של שם משתמש או דוא"ל וסיסמה. המחקר מפרט את תהליך גניבת הזהות – מדרכי גניבת שם המשתמש והסיסמה, דרך תהליך המכירה ועד למימוש ההונאה.

התקפות אלו מהוות בעיה עולמית הולכת וגוברת שלא תיעלם בקרוב, כפי שמעידה הודעת Private Industry Notification שהוציא ה-FBI בשנה שעברה. ההודעה הזהירה כי זהו איום המייצג את ההיקף הגדול ביותר של אירועי אבטחה נגד המגזר הפיננסי בארה"ב בין השנים 2017-2020 (41%).

בעוד נתונים אלו מתפרסמים, מספר האפליקציות והיישומים רק הולך וגדל, דבר שמחייב משתמשים לזכור מגוון הולך וגדל של סיסמאות המשתנות בתדירות גבוהה. לא מפתיע, אם כן, שמשתמשים רבים בוחרים להקל על עצמם, להסתכן וליישם את אותה הסיסמה עבור מספר אפליקציות שונות או להשתמש בסיסמאות פשוטות.

למרות שהיום יותר מתמיד מודגש הצורך בשמירה על הפרטיות כחלק מכל פתרון טכנולוגי, אפליקציות ויישומים רבים עדיין מתבססים על הזדהות שכוללת רק בדיקה של שם משתמש למול סיסמה. זאת על אף ששיטה זו פגיעה למספר רב של מתקפות: מלבד Credential Stuffing שהזכרתי, ניתן לראות גם התקפות Brute Force ו-Phishing & Key Logging.

אז למה יישומים רבים בכל זאת מתבססים על סיסמאות בלבד? התשובה הקצרה היא שאין שיטה טובה יותר, עדיין. נתונים שהגיעו מחברות שבחנו את המשתמשים שלהן מראים כי בעוד שרוב המשתמשים טוענים שהם בוחרים באבטחת מידע על פני נוחות, פעולותיהם מראות אחרת. מחקר שערכה גוגל מלמד כי גם כאשר משתמשים חוו השתלטות על חשבונותיהם, פחות מ-10% היו מוכנים לאמץ מנגנון אימות רב שלבי (MFA), בשל המורכבות הנלווית לו – MFA עושה שימוש בסיסמה קבועה או חד פעמית ומשלב אמצעי זיהוי אישי הנמצא ברשות המשתמשים (כגון OTP ו-Biometric).

שימוש ב-MFA, אבל טוב יותר

אז איך נוכל להגיע למצב של איזון בין רמת האבטחה לחוויית המשתמש? פתרון אפשרי לבעיה הוא שימוש במנגנון ה-iMFAי(Invisible Multifactor Authentication), המאפשר לאסוף נתונים בשיטה שאינה נראית לעין המשתמשים תוך כדי שהם מקלידים את שם המשתמש והסיסמה, ובכך להוריד את הצורך בפתרונות ה-MFA של ימינו.

איסוף המידע מבוסס על מגוון רחב של גורמים סביבתיים והתנהגותיים בכל אינטראקציה של המשתמשים עם האתר, כדי לייצר פרופיל סיכון עבורם. על בסיס פרופיל זה ניתן להחליט איזה צורת הזדהות יבצעו המשתמשים. באופן ספציפי, מדובר על היכולת לאסוף ולעבד מספר רב של אותות שיאפשרו לארגון לצמצם את הסיכון ללא מאמץ מצד המשתמשים, ובכך גם למזער תקלות שימנעו מהם בסופו של דבר לצרוך את השירות שהארגון מציע.

ניתן לייצר פרופיל עבור כל משתמש בהתאם לזמני הכניסה הרגילים שלו למערכת, דפוסי ההתנהגות וזמן העבודה שלו מול השירות. לכך מוסיפים את המיקום הגיאוגרפי שבו הוא נמצא, המכשיר שבו הוא משתמש וצורת העבודה שלו. על בסיס כל הנתונים האלו יחד ניתן לקבל הבנה טובה שמדובר במשתמש מוכר שעובד בדפוס פעולה שאופייני לו – דבר שמייתר את הצורך בזיהוי על בסיס שיטת ה-MFA הקיימת היום בשוק.

אחת הדרכים לעשות זאת היא שילוב של כלים כגון WebAuthn לצד איסוף אותות התנהגותיים. את תהליך ההזדהות ניתן ליישם באמצעות WebAuthn – מנגנון שמאפשר להחליף את הסיסמה בה אנו משתמשים היום באינטגרציה מול רכיבים שמשתמשים בהזדהות חזקה מובנת (Windows Hello ,Apple’s Touch ID ועוד).

את תהליך ניהול ההרשאות ניתן לבסס על האותות הנאספים לאורך כל האינטראקציה של המשתמשים מול האתר. כך למעשה את התהליך המוכר לנו מה-MFA – "משהו שאתה יודע, משהו שיש לך ומשהו שהוא חלק ממך", מחליף מנגנון ה-WebAuthn. איסוף האותות מוסיף רובד חדש שהוא "משהו שאתה עושה". האותות ההתנהגותיים מהווים סוג חדש של זהות ביומטרית ודורשים מהמשתמש הרבה פחות זמן ומאמץ בהשוואה להזנת סיסמה.

מה עושים בינתיים?

גישת ה-iMFA לא יכולה להחליף את הסיסמאות בין לילה. נדרש פתרון עבור משתמשים המתקשים עם שינויים וזקוקים למעבר הדרגתי, והאפליקציות והשירותים ייאלצו לשנות את מנגנוני האימות שלהם או לייצר אינטגרציה למערכות צד שלישי.

ללא תחושת דחיפות כתוצאה מאיום אבטחה ספציפי, ארגונים רבים ככל הנראה ייקחו את זמנם לפני שיאמצו סטנדרט כזה. יתרה מכך, תהליך האינטגרציה בקרב ענקיות הטכנולוגיה כגון חברות e-commerce או מדיה חברתית, עשוי להיות מסובך ביותר – וככל הנראה זו הסיבה לכך שכיום ישנה תמיכה חלקית, בעיקר בדפדפנים.

אם אימוץ של שיטה חדשה יארך שנים, מה על הארגונים לעשות בינתיים? הם ידרשו להקשות על התוקפים על ידי בזבוז המשאב היקר ביותר שלהם: זמן. תוקפים שמבצעים התקפות מסוג credential stuffing בדרך כלל מונעים כלכלית ואין להם הון אינסופי. לכן, אם ארגון יכול להגדיל משמעותית את הזמן שלוקח להם לייצר רווח מההתקפות שלהם, רוב התוקפים ינטשו את המרדף לטובת יעדים חלשים יותר.

לגרום לתוקפים להתאמץ

נניח שהתוקף הצליח לשים את ידו על 100 אלף סיסמאות מפוענחות, שהוא בטוח למדי שלאף אחד אחר אין גישה אליהן, לפחות באותו רגע. התוקף יודע כי 100 אלף סיסמאות יובילו בממוצע לכ-1,000 השתלטויות על חשבונות באתר גדול. השתלטות על 1,000 חשבונות קמעונאיים עשויה לא להיות שווה את מספר השבועות שיידרשו לטובת פיתוח, בדיקה ושימוש בהתקפה, ויהיה יותר יעיל מבחינתו לתקוף מספר יעדים בו זמנית ולפרוץ לעשרות אלפי חשבונות בבת אחת. המפתח יהיה למצוא חברות שיכולות להיות מותקפות באמצעות אותה התוכנה – במילים אחרות, מטרות עם תשתית דומה.

כתוצאה מכך, התוקף הזה פונה לא רק לחברה אחת, אלא לכמה חברות בו זמנית – לדוגמה, לחברה קמעונאית, בנק, חברת מדיה חברתית ואפליקציית מובייל. הוא מפתח התקפה המתמקדת בגרסת אנדרואיד של יישומי מובייל שנבנו עם אותה תשתית. ההתקפה שהוא יצר מאוד יעילה ואינה עושה שימוש חוזר באף משאב יותר מפעמיים, תוך התחמקות מכל אמצעי מגביל שהחברה המתוקפת יישמה. יחד עם זאת, בעוד שהתוקף יכול להימנע מלעשות שימוש חוזר במשהו כמו כתובת IP בעת תקיפת מטרה אחת, הוא לא יחשוב שהוא ייתפס אם ימחזר את אותה התקפה באותם משאבים על פני מספר יעדים שונים.

אנחנו יודעים שכך חושבים התוקפים כיוון שהמצב המדויק הזה התרחש בשנת 2018 לארבעה מלקוחותינו בעולם. משום שכולם חולקים תשתית הגנה משותפת, התקפה על אחת מהן הייתה למעשה התקפה על כולן. בזכות העובדה שהתוקף מיחזר משאבים ודפוסי התנהגות בכל ארבע החברות בפרק זמן קצר ביותר, הצלחנו לאסוף במהירות רבה מספיק נתונים לזיהוי ההתקפה. לפיכך, ביצוע מספר רב של התקפות למעשה עבד לרעתו של התוקף.

אי אפשר לזהות את כל ההתקפות באופן מידי ב-100% מהמקרים, אבל ניתן לנסות להפוך אותן לכל כך יקרות שהתוקפים יוותרו עליהן במהירות, או אפילו לא ינסו אותן שוב על אותה מטרה. צריך להביט בפשיעת סייבר כעסק – ההתקפות מתוכננות על בסיס שיעור תשואה צפוי, ואם יש משהו שברור לכולם זה שזמן שווה כסף, וזה לא הולך להשתנות בקרוב.

הכתבה בחסות F5

F5 הינה חברה לאבטחת יישומים והעברתם בסביבות רב-ענניות, המאפשרת ללקוחות, הכוללים את הארגונים הגדולים בעולם, מוסדות פיננסיים, ספקי שירותים וממשלות – לספק חוויות דיגיטליות יוצאות מהכלל. בשנתיים האחרונות, חברת F5 רכשה את החברות NGINX ו-Shape Security ו-Volterra, ושילבה אותם באופן אורגני עם פתרונותיה. מרכז הפיתוח הישראלי של F5, הממוקם בתל אביב, מעסיק כ-300 עובדים. המרכז אחראי על פיתוח פתרונות אבטחת המידע של החברה. פתרונות החברה הוטמעו בקרב הארגונים הגדולים בישראל.

כתבת אורחת

הגב

3 תגובות על "הסיסמה השקופה: מנגנון ה-iMFA עשוי להיות הפתרון למיחזור המסוכן של סיסמאות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
רם פ.
Guest

הפתרון מבחינת התוקף הוא פשוט: MITM או MITB ובפישנג ״פשוט״ אתה לא צריך לחקות את המשתמש: הוא יעשה בשבילך את העבודה.

עידן
Guest

כמה הבהרות לנכתב:
1. הבעיה המרכזית בiMFA כרגע היא false positive. עדיין לא קיים מנגנון (אלגוריתם) מספיק מתוחכם שיידע לנבא באחוזים גבוהים trust/risk assessment שמתבסס על מאפיינים התנהגותיים, גיאוגרפיים, משתני זמן ועוד פרמטרים.
2. בהקשר ל״ארגונים רבים ככל הנראה ייקחו זמנם לפני שיאמצו סטנדרט כזה..״ – הרגולציה נושפת בעורפם. SOC2 מחייב מוסדות פיננסים לאמץ 2FA. לא מבין על מה ההנחה של הכותב מבוססת.
3. webAuthn זה API, לא מנגנון.

אורי
Guest

דרך חשובה בדרך למזעור ריבוי הססמאות ושימוש מעיק ב recaptcha. אין משהו ש AI ואיסוף נתונים לא יעשו טוב מהאדם…

wpDiscuz

תגיות לכתבה: