Authentication, OTP, MFA

מה זה MFA ( Multi Factor Authentication) ?

שיטת ההזדהות הנפוצה ביותר היום בכניסה ליישומי מחשב היא באמצעות שם משתמש וסיסמא ולאחר אימות שני הגורמים האלה ניתנת למשתמש הקצה גישה ליישום הרלוונטי. בכל ארגון בהתאם לרגישות היישום המתבקש , מוקשחת הדרישה למורכבות הסיסמא או לתדירות שבה היא תוחלף. האדם הסביר מסוגל לזכור מספר מועט ביותר של סיסמאות , וככל שהסיסמאות תהינה מורכבות יותר היכולת לזכור אותן הולכת וקטנה.

כתוצאה מכך, המשתמש הסביר נוקט בדרך כלל באחת מ 3 הדרכים לניהול הסיסמאות שלו: האחת, רישום הסיסמא במקום מוסתר שניתן יהיה לגשת אליו ולשלוף ממנו את הסיסמא , או שימוש ביישום מחשב נוסף לשמירת הסיסמאות שלו או שימוש באיפוס הסיסמא מול מערך ה helpdesk התומך ביישום הרלווונטי.

על מנת לפשט את כל נושא ניהול הסיסמאות בארגון , ארגונים רבים עוברים למתכונת של MFA Multi-Factor Authentication (MFA) או הזדהות מרובת גורמים. הזדהות כזו ידועה גם בשם Two-Factor Authentication כאשר גורם אחד הוא שם המשתמש והסיסמא והגורם השני הוא ה One Time Password – OTP שיכול להיות התקן פיזי המייצר סיסמאות חד פעמיות או הזדהות ביומטרית או סיסמא חד פעמית הנשלחת ב SMS וכדומה.

השימוש ב MFA או 2FA מתבסס על המבנה ” משהו שאני יודע” ו “משהו שיש לי”
( something I have & something I know ) לדוגמא: במצב שבו משתמש מתחבר לחשבון הבנק שלו , הוא נדרש להזין קוד משתמש וסיסמא ובנוסף הוא מקבל קוד חד פעמי ב SMS שגם אותו הוא נדרש להזין למערכת לצורך אימות הזיהוי.

סיסמאות עובדים – החוליה החלשה באבטחת הארגון

בעולם העסקים המודרני, בו חברות נסמכות על שילוב של שירותי ענן שונים ומערכות פנימיות (on-prem) רבות לצורך פעילות שוטפת, כל עובד מחזיק מספר רב של דרכים לגשת למידע ארגוני רגיש. על פי מחקרים, עובד ממוצע ינהל מאות סיסמאות שונות, ומספר זה הולך וגובר ככל שגדל מגוון הכלים העסקיים ודרישות כמו עבודה מרחוק או שימוש במשאבים משותפים. בחברות רבות, עובדים נדרשים לעמוד בנהלי אבטחה מורכבים כמו חידוש תקופתי של סיסמאות והקפדה על סיסמה “חזקה” (כזו הכוללת שילוב של אותיות גדולות, קטנות, סימנים ומספרים) למרות מחקרים רבים המראים שמורכבות כזו מקשה על שינון סיסמאות ומעודדת רישום ושיתוף שלהן. המציאות הזו מובילה לכך שכולנו משתמשים בטכניקות לא בטוחות לניהול סיסמאות עסקיות, החל בקביעת סיסמאות קלות לניחוש (ימי הולדת ומספרי טלפון הן דוגמאות נפוצות לכך), ועד לשמירת הסיסמאות על קבצים פתוחים או פתקים המודבקים ליד עמדות עבודה.
קשיים אלו הובילו למצב בו סיסמאות הן הבטן הרכה של עולם אבטחת מידע וסייבר. עוד לפני משבר הקורונה מצאה חברת וריזון האמריקאית כי 81% מהפריצות שנעשות כיום מתבססות על גניבת סיסמאות. על פי סקרי-שוק אחרונים, מספר התקפות ה”פישינג” (גניבת ססמא על מנת להתחזות למשתמש בכניסה לשירות מסויים) עלו ביותר מ660% מאז פברואר 2020. היום ברור לכל ארגון שמבקש להגן על המידע והמשתמשים שלו כי שימוש בסיסמאות על מנת לאמת זהות של משתמשים הוא פתרון מיושן ומרובה סכנות. בנוסף לאתגר האבטחה, חשוב לזכור כי סיסמאות הן גורם מוביל בפניה לתמיכה הטכנית בארגונים רבים. הצורך לחדש סיסמה שאבדה או נשכחה הוא בעיה יומיומית בכל ארגון גדול וגורם לפגיעה ברצף העבודה ולחלק משמעותי מהפניות לתמיכה הטכנית, ולכן גם אחראי לעלויות שנתיות גבוהות. מסיבות אלו ועוד, ברור היום כי סיסמאות הן כלי אבטחה העומד לחלוף מהעולם.

האם אימות רב גורמים הוא הפתרון?

שיטת ההזדהות הנפוצה ביותר היום בכניסה למחשבים ויישומים היא באמצעות שם משתמש וסיסמא. בשל הבעיות שתיארנו, רוב הארגונים אינם מסתפקים בכך ומפעילים שכבת הגנה נוספת על חשבונות עובדים – Multi-Factor Authentication (MFA) או הזדהות מרובת גורמים. ישנם סוגים רבים של מערכות כאלו, אך המשותף לכולן הוא הצורך בסיסמה מסורתית בשלב הראשון של ההזדהות, כאשר בשלב השני יש לספק גורם אימות ייחודי נוסף. דוגמאות לכך הם קוד חד פעמי המופק מראש ומופיע בהתקן פיזי שהמשתמש נושא עימו, קוד המגיע בהודעת SMS או דוא”ל, התקן USB מאובטח או הזדהות ביומטרית באמצעות טביעת אצבע, זיהוי פנים או קול.
למרות יתרונות האבטחה של מערכות אלו, הן סובלות מכמה חסרונות משמעותיים. ראשית, הארגון נאלץ להמשיך ולנהל סיסמאות לכל העובדים ולהתמודד עם המשאבים הרבים שמאמץ זה דורש מהמשתמשים ומצוותי ה-IT. שנית, מידת האבטחה של אימות רב שלבי ממשיכה להיות תלויה במשתמש אשר חייב לשמור על גורמי ההזדהות כפי ששומרים על סיסמאות. בנוסך לכך, מספר רב של מתקפות סייבר הצליחו לפגוע באימות רב שלבי ע”י פריצה למערכות או מכשירי קצה.
מעבר לאתגרי האבטחה, שיטות MFA רבות נסמכות על התקני חומרה שונים שצריך לספק לכל עובדי הארגון. הדבר כרוך בעלויות ראשוניות גבוהות ובמאמץ מתמשך כדי לאפשר גישה נוחה ומהירה למערכות בכל תרחיש.

“עד שנת 2022 60% מהארגונים הגלובליים ו- 90% מהארגונים הבינוניים יטמיעו שיטות ללא סיסמא ביותר מ- 50% ממקרי השימוש” (Gartner).

העתיד כבר כאן - אימות ללא סיסמא

חברת הסייבר הישראלית Secret Double Octopus מציעה פתרון ייחודי המשנה את חוקי המשחק. הטכנולוגיה של החברה הופכת את הגישה למחשבים וחשבונות לקלה ומהירה יותר לעומת שימוש סיסמות ובמקביל מספקת רמת אבטחה גבוהה שעמידה בפני מתקפות הסייבר הנפוצות ביותר על עסקים כגון פישינג, Man-In-The-Middle ועוד. החברה מספקת לארגונים גדולים ברחבי העולם פתרון ייחודי לאימות משתמשים ללא סיסמא, כולל כאלו אשר נדרשים לרמת אבטחה מירבית (כמו בנקים, חברות ביטוח ומוסדות ממשלתיים). הפתרון מבוסס על אימות באמצעות אפליקציה המותקנת במכשיר הסלולרי ומאובטחת באמצעות קריפטוגרפיה מתקדמת המשמשת, בין היתר, להצפנת קודי השיגור הגרעיניים של ארה”ב.
הטכנולוגיה הייחודית שהחברה פיתחה נחשבת לבעלת עמידות מושלמת מפני פריצות התלויות בכוח מחשוב. במקום סיסמא, האימות מתבסס על מסר מוצפן הנשלח באמצעות כמה ערוצים מקבילים אל האפליקציה במכשיר הטלפון הרשום של המשתמש. בשלב השני מבקשת המערכת מהמשתמש לאשר את זהותו באמצעי ביומטרי על מנת לוודא את זהותו.
החברה זכתה לשורה של פרסים בתעשייה כגון פרס ה- Cool Vendorשל חברת המחקר Gartner. וחתמה על הסכמי הפצה ושיתוף פעולה עם חברות ענק כמו TechData PwC, ו-TechMahindra. בין הלקוחות של החברה נמנים מוסדות פיננסים וממשלתיים מארה”ב וממערב אירופה וחברות ענק כמו 3M וASL.


אחד מתחומי ההתמחות של אינפוגארד הוא הטמעת פתרונות טכנולוגיים ל OTP ו MFA אשר מאפשרים לארגון כניסה לכל המערכות שלו באמצעות שם משתמש בלבד יחד עם מנגנון OTP כאשר ניהול הסיסמאות נעשה באופן אוטומטי מאובטח ומתוחכם. ניתן להטמיע פתרון מבוסס שרתי ענן או התקנה בשרת מקומי – On premise solution.

אימות ללא סיסמא – IN זיהוי באמצעות סיסמא - OUT

3 סיבות חשובות למה כדאי לעבור לאימות ללא סיסמא?

המשתמש אינו מהווה יותר נקודת פריצה וחדירה פוטנציאלית לארגון

משתמשים נוטים לעשות שימוש חוזר באותן הסיסמאות ולשתף עם אחרים מה שמגדיל את הסיכוי למתקפות פישינג ולהשתלטות עוינת על חשבונות.

שיפור חווית המשתמש

גישה נוחה ועקבית למשתמש עם אפשרות גישה לאפליקציות ענן, לשירותי SAAS, לאפליקציות מסורתיות וגישה מרחוק מכל מקום.

הפחתת עלויות IT

סיסמאות דורשות תחזוקה מתמדת, עפ"י מחקרים, בקשה לאיפוס סיסמא מהווה כמחצית מסך השיחות לתמיכה.

מהו ה -Octopus שלך?

פלטפורמת האימות של Octopus מספקת הגנה חזקה כנגד מתקפות סייבר ומייצרת פלטפורמה אחידה לכל הארגון המתאימה לשימושים קיימים ועתידיים, דרך מספר ערוצים:

Octopus Authenticator

מאפשר שליחת מידע באמצעות מספר ערוצי תקשורת. המשתמש מאשר הודעה בדחיפה ומאמת אותה באמצעות זיהוי ביומטרי.

FIDO2 Authenticators

Octopus המתאים לכל סוגי האימותים של FIDO2.

Third Party MFA

סיסמאות דורשות תחזוקה מתמדת, עפ"י מחקרים, בקשה לאיפוס סיסמא מהווה כמחצית מסך השיחות לתמיכה.

פתרון יחיד ללא אימות התומך ב- On-Prem Active Directory  

מעוניינים לבחון פתרון מתאים לארגון שלכם? לקביעת פגישת ייעוץ : sales@infoguard.co.il

One-time password systems provide a mechanism for logging on to a network or service using a unique password which can only be used once, as the name suggests. This prevents some forms of identity theft by making sure that a captured user name/password pair cannot be used a second time. Typically the users logon name stays the same, and the one-time password changes with each logon. One-time passwords are a form of so-called strong authentication, providing much better protection to on-line bank accounts, corporate networks and other systems containing sensitive data.

Today most enterprise networks, e-commerce sites and online communities require only a user name and static password for logon and access to personal and sensitive data. Although this authentication method is convenient, it is not secure because online identity theft – using phishing, keyboard logging, man-in-the-middle attacks and other methods – is increasing throughout the world.

Strong authentication systems address the limitations of static passwords by incorporating an additional security credential, for example, a temporary one-time password (OTP), to protect network access and end-users’ digital identities. This adds an extra level of protection and makes it extremely difficult to access unauthorized information, networks or online accounts.

One-time passwords can be generated in several ways and each one has trade-offs in term of security, convenience, cost and accuracy. Simple methods such as transaction numbers lists and grid cards can provide a set of one-time passwords. These methods offer low investment costs but are slow, difficult to maintain, easy to replicate and share, and require the users to keep track of where they are in the list of passwords.

A more convenient way for users is to use an OTP token which is a hardware device capable of generating one-time passwords. Some of these devices are PIN-protected, offering an additional level of security. The user enters the one-time password with other identity credentials (typically user name and password) and an authentication server validates the logon request. Although this is a proven solution for enterprise applications, the deployment cost can make the solution expensive for consumer applications. Because the token must be using the same method as the server, a separate token is required for each server logon, so users need a separate token for each Web site or network they use.

More advanced hardware tokens use microprocessor-based smart cards to calculate one-time passwords. Smart cards have several advantages for strong authentication including data storage capacity, processing power, portability, and ease of use. They are inherently more secure than other OTP tokens because they generate a unique, non-reusable password for each authentication event, store personal data, and they do not transmit personal or private data over the network.

Smart cards can also include additional strong authentication capabilities such as PKI, or Public Key Infrastructure certificates. When used for PKI applications, the smart card device can provide core PKI services, including encryption, digital signature and private key generation and storage

Gemalto smart cards support OTP strong authentication in both Java™ and Microsoft .NET environments. Multiple form factors and connectivity options are available so that end-users have the most appropriate device for their individual network access requirements. All Gemalto OTP devices work with the same Strong Authentication Server and are supported with a common set of administrative tools.

PKI

Implementing enterprise-wide strong authentication is critical in today’s word of increasing cyber insecurity. As hackers get smarter and intrusions get more widespread and more damaging, no enterprise

can depend on old school protocols to keep their data, networks and people safe. User names and passwords have been the trusty lock on the front door for decades, but they’re no longer secure enough. With more than 90 percent of organizations reportedly being breached, you can’t afford to be caught off guard. A breach can cost hundreds of thousands of dollars and do irreversible damage to your reputation.

Public Key Infrastructure or PKI is a well-known security protocol used by top enterprises, defense departments and governments around the world. Increased use of cloud-based services and the Internet of Things (IoT) are prompting a surge in PKI adoption. But even though PKI technology has been around for years and is widely used, especially in security-minded organizations, there remains a hesitance when it comes to undertaking an enterprise-wide deployment.

Why do you need PKI?

PKI is military-grade security, so you’re assured of the highest protection of your sensitive documents and authentication of your users. But PKI is so much more.

Additional security functionalities: With PKI, you can encrypt data, disk, and email, as well as digitally sign. These functions are becoming increasingly important as companies need to protect digital file exchange and encrypt content to prevent hackers from intercepting communications.

Optimized authentication and cost savings: Password management is costly. PKI eliminates the need for users to remember long, complex passwords that they will need to change frequently. A single credential will give users access to multiple applications. In addition, it’s much more cost effective to have a single solution that includes multiple functions than adding each separately.

Improved business processes: Eliminating password protocols will reduce helpdesk calls and overall IT overhead. And with a certificate management system in place, administrators have control of the complete certificate lifecycle management (enrolling, provisioning, and revoking) and auditing tools at their fingertips.

Don’t fear PKI

It is true, PKI used to be difficult to implement, and was complex, labor intensive and expensive. The development of powerful credential management software brought considerable improvements and now does much of the manual work that used to be left up to the administrators.

And it’s important to note that not all PKI implementations are created equal. Some are inherently more complex, depending on the level and layers of security needed for your organization. Gemalto has created a PKI Implementation Guide, broken into five-steps for easier understanding. Follow our lead and you can have a PKI solution up and running in no time. Or if you decide not to tackle the implementation yourself, we offer professional services to help

Key considerations before setting up a PKI

Before running full steam ahead into the PKI configuration and implementation, it’s important to adequately plan and understand that certain decisions influence other decisions. If you ignore the planning part, you may spend much time undoing and going backwards in the process. So take time to carefully consider the following planning guidelines.

 

Call Now