מאת: נמרוד עמיר, סמנכ”ל סייבר וחדשנות, אינטגריטי תוכנה
נתחיל מהסוף הלא מעודד: כמעט כל סיסמה ניתנת לפריצה. כל איש סייבר יודע שלא צריך באמת האקר שקדן כדי להוות איום על אבטחת המידע הארגוני. מספיק להביט על הדו”ח האחרון של חברת Digital Shadows כדי לדעת שהסיכון נמצאת ממש מעבר למקלדת. לפי הדוח מיוני 2022, כ-24 מיליארד סיסמאות נמצאות בידיהם של האקרים – עליה של 65% לעומת 2020.
מדובר במקבצי שמות, תווים ומספרים שדלפו, נגנבו או נמסרו בהיסח הדעת על ידי יוזרים ברחבי העולם. כן, קראתם נכון: 24 מיליארד סיסמאות. נתון המשקף שלוש סיסמאות לכל אדם שחי על כדור הארץ, אבל מוקדם מדי להיראות מופתעים. לפי הדוח, כולנו כמעט משחקים לידיים של ההאקרים, שכן הסיסמה הנפוצה ביותר בעולם היא המילה: Password. ככה פשוט. זה לא שהסיסמה השניה הנפוצה גורמת כאבי ראש לפורצים. 123456 עדיין נמצאת בשימוש גובר ואפילו qwerty כבר עברה לצד הלא נכון.
ועדיין, הסיסמאות מהוות את כרטיס הכניסה לחיים הדיגיטליים של כל יוזר. רובם אף לא טורחים לשנות אותה באופן תדיר או בין אתר לאתר. ההנחה שבנקים, אתרי קניות, שירותים ממשלתיים או הפיד של וולט לא פריצים – עדיין רווחת בציבור הרחב. הנחמה הגדולה היא שמומחי אבטחת מידע לא ישנים בשקט נוכח הנתונים הללו.
החזון ליישם חיים דיגיטליים נטולי סיסמאות אמנם לא חדש, אבל כעת הוא רלוונטי מאי פעם. יותר ויותר ארגונים בארץ ובחו”ל מיישמים אסטרטגיה של Passwordless ולפי כל התחזיות האחרונות, בתוך עשור כבר לא נזדקק לסיסמה כדי להיכנס לאתר הבנק או לאפליקציה של נטפליקס. האימות והזיהוי יהיו ביומטריים ויתבצעו באמצעות טביעות אצבע או זיהוי פנים. ישנן אפשרויות נוספות כמו אימות באמצעות מייל אימות הנשלח לכל יוזר, קוד חד פעמי הנשלח בסמס או באמצעות האפליקציה.
היתרונות לא מותירים מקום לספק: אבטחה משופרת שנועדה למנוע פגיעה במוניטין ובתדמית הארגונית, חיסכון בעלויות הכרוכות בניהול מערך סיסמאות ענק וכמובן, חוויית משתמש משופרת ומהירה יותר.
ואולם, למרות כל היתרונות הברורים שיישום אסטרטגיית Passwordless מעניק, מדובר במשימה מורכבת הדורשת היערכות ארגונית יסודית, בראשה פיתוח כלים אינטגרטיביים המתממשקים עם מערכות הארגון, התאמת היישומים הארגוניים כדי שיתמכו באימות ללא סיסמה ואולי המשימה החשובה ביותר: חינוך והסברה ללקוחות ועובדי הארגון שהתרגלו להזדהות באמצעות סיסמה ועשויים להציף חששות וסייגים. כמו כן, מדובר בפרויקט הדורש התאמה תקציבית ייעודית שעם תכנון לא נכון – עשויה לחרוג ולהפוך ליקרה ומכבידה.
כך תוכלו להגן על הארגון שלכם מפני פריצות>>
למי ששואל איך מומלץ ליישם בארגון את אסטרטגיית ה-Passwordless, הנה כמה נקודות שכדאי לקחת בחשבון:
1. מגדירים מראש: לפני שלב היישום מומלץ לתכנן ולאפיין את גורמי האימות ודרכי היישום שלהם, תוך שימת דגש מרכזי על סיכוני האבטחה וחוויית המשתמש.
2. בוחרים את אמצעי האימות: זיהוי ביומטרי, קוד גישה חד פעמי או אימות באמצעות האפליקציה. מוטב שהבחירה תתבצע בהתאם למערכות הארגון והעדפות הלקוחות.
3. מתאימים את תשתיות הארגון: כל אימות ללא סיסמה שייבחר חייב להשתלב באופן חלק עם התשתיות הטכנולוגיות של הארגון, כולל יישומי צד שלישי ומערכות ניהול הזהות והגישה אליהן.
4. מדריכים את היוזרים: כל יוזר שיקבל את הגישה באמצעות האימות החדש חייב לעבור הדרכה והכשרה מפורטות ככל האפשר. מומלץ גם לעדכן את היוזרים באמצעות הנכסים הדיגיטליים של הארגון.
5. בודקים, עוקבים ושוב בודקים: גם אחרי שלב ההטמעה מומלץ לבצע בדיקות נשנות כדי לוודא שמערכת האימות החדשה עובדת כהלכה ושחוויית המשתמש לא נפגעה. מומלץ גם לבצע בדיקות אבטחה כדי למנוע סיכון על המידע הארגוני.
38 מיליארד דולר. זה סכום ההונאות הכללי באמצעות בכרטיסי אשראי שצפוי להיגנב על ידי האקרים עד 2027. אם מביטים בדוח של Digital Shadows ורואים עד כמה היוזרים נוהגים בקלות דעת בעת בחירת הסיסמאות – מבינים כדאי למהר עם ה- Passwordless.
רוצים להגן על הארגון שלכם מפני האקרים? כדאי שתכירו את Okta>>