הסיסמה השקופה
מאת: דניאל אלפרוב, מהנדסת פתרונות ב-F5
לאחרונה עולה לדיון סוגיית השימוש בסיסמאות הנדרשות בעת הכניסה לאפליקציות ויישומים. בעוד מומחי אבטחה עשויים לטעון כי מדובר במחסום חשוב ובלתי נמנע שיכול לסכל מעשי הונאה ופריצה למידע רגיש, מחקרים שפורסמו לאחרונה מעידים כי שיטה זאת אינה יעילה, בעיקר בשל התנהלות המשתמשים והתעלמותם מסיכונים.
מחקר שפורסם לאחרונה על ידי Shape Security ו-F5 מעיד כי מספר אירועי גניבה וזליגת ההרשאות (Credential Spill) השנתי כמעט הוכפל מ-2016 ל-2020. מומחים מסבירים כי במוקד התקפות אלו נעוצה שיטת ההזדהות מבוססת הסיסמאות, שכן ההתקפות הכוללות ניצול מספר גדול של צמדי הרשאות של שם משתמש ו/או דוא"ל וסיסמה. המחקר מפרט תהליך גניבת הזהות – החל מדרכי גניבת שם המשתמש והסיסמה, דרך תהליך המכירה ועד למימוש ההונאה.
התקפות אלו מהוות בעיה עולמית הולכת וגוברת שלא תיעלם בקרוב, כפי שמעידה הודעת Private Industry Notification, שהוציא ה-FBI בשנה שעברה, אשר הזהירה כי זהו איום המייצג את ההיקף הגדול ביותר של אירועי אבטחה נגד המגזר הפיננסי בארה"ב בין השנים 2017-2020 (41%).
אולם, בעוד נתונים אלו מתפרסמים, מספר האפליקציות והיישומים רק הולך וגדל, דבר שמחייב משתמשים לזכור מגוון הולך וגדל של סיסמאות, אשר משתנות בתדירות גבוהה. לא מפתיע, אם כן, שמשתמשים רבים בוחרים להקל על עצמם, להסתכן וליישם את אותה הסיסמה עבור מספר אפליקציות שונות או להשתמש בסיסמאות פשוטות.
יחד עם זאת, היום, יותר מתמיד, מודגש הצורך בשמירה על הפרטיות כחלק מכל פתרון טכנולוגי, אפליקציות ויישומים רבים עדיין מתבססים על הזדהות שכוללת רק בדיקה של שם משתמש למול סיסמה. זאת, למרות ששיטה זו פגיעה למספר רב של מתקפות, בהן, מלבד Credential Stuffing שהזכרתי, ניתן לכלול גם התקפות Brute Force ו- Phishing & Key Logging.
למה יישומים רבים בכל זאת מתבססים על סיסמאות בלבד?
התשובה הקצרה היא שאין שיטה טובה יותר. עדיין. מנתונים שהגיעו מחברות אשר בחנו את המשתמשים שלהן עולה כי בעוד שרוב המשתמשים טוענים שהם בוחרים באבטחת מידע על פני נוחות, פעולותיהם מראות אחרת. כאמור, מחקר שערכה גוגל העלה כי גם כאשר משתמשים חוו השתלטות על חשבונותיהם, פחות מ -10% היו מוכנים לאמץ מנגנון אימות רב שלבי (MFA) בגלל המורכבות הנלווה לו1. MFA עושה שימוש בסיסמה קבועה או חד פעמית ומשלב אמצעי זיהוי אישי הנמצא ברשות המשתמש (OTP, Biometric and more).
שימוש במנגנון אימות רב שלבי (MFA), אבל טוב יותר
אז איך נוכל להגיע למצב של איזון בין רמת האבטחה וחווית המשתמש עבור הלקוחות והמשתמשים שלנו ? פתרון אפשרי לבעיה הינו שימוש במנגנון הiMFA- (Invisible Multifactor Authentication), אשר מאפשר לאסוף נתונים בשיטה שאינה נראית לעין המשתמש תוך כדי שהוא מקליד את שם המשתמש והסיסמה שלו ובכך להוריד את הצורך בפתרונות ה-MFA של ימינו.
איסוף המידע מבוסס על מגוון רחב של גורמים סביבתיים והתנהגותיים בכל אינטראקציה של המשתמש עם האתר כדי לייצר פרופיל סיכון עבורו. על בסיס פרופיל זה ניתן להחליט איזה צורת הזדהות יבצע המשתמש.
באופן ספציפי, מדובר על היכולת לאסוף ולעבד מספר רב של אותות שיאפשרו לארגון לצמצם את הסיכון ללא מאמץ מצד המשתמש ובכך גם למזער תקלות שימנעו מהמשתמש בסופו של דבר לצרוך את השירות שהארגון מציע.
אחת מהאפשרויות היא שילוב של כלים כמו WebAuthn יחד עם איסוף אותות התנהגותיים. את תהליך ההזדהות ניתן ליישם באמצעות WebAuthn, מנגנון שמאפשר להחליף את הסיסמה בה אנו משתמשים היום באינטגרציה למול רכיבים שמשתמשים בהזדהות חזקה מובנת (Windows Hello, Apple’s Touch ID ועוד). את תהליך ניהול ההרשאות ניתן לבסס על האותות הנאספים לאורך כל האינטראקציה של המשתמש מול האתר. כך למעשה את התהליך המוכר לנו מה- MFAמשהו שאתה יודע, משהו שיש לך, ומשהו שהוא חלק ממך״, מחליף מנגנון ה-WebAuthn. איסוף האותות מוסיף רובד חדש שהוא ״משהו שאתה עושה״. האותות ההתנהגותיים מהווים סוג חדש של זהות ביומטרית ודורשים מהמשתמש הרבה פחות זמן ומאמץ בהשוואה להזנת סיסמה.
פתרון ביניים
גישת ה-iMFA לא יכולה להחליף את הסיסמאות בין לילה. נידרש למצוא פתרון עבור משתמשים המתקשים עם שינויים וזקוקים למעבר הדרגתי, האפליקציות והשירותים ייאלצו לשנות את מנגנוני האימות שלהם או לייצר אינטגרציה למערכות צד שלישי.
ללא תחושת דחיפות כתוצאה מאיום אבטחה ספציפי, ארגונים רבים ככל הנראה ייקחו את זמנם לפני שיאמצו סטנדרט כזה. יתר על כן, תהליך האינטגרציה בקרב ענקיות הטכנולוגיה, כגון חברות e-commerce או מדיה חברתית, עשוי להיות מסובך ביותר, וככל הנראה זו הסיבה לכך שכיום ישנה תמיכה חלקית בעיקר בדפדפנים.
אם אימוץ של שיטה חדשה יארך שנים, מה על הארגונים לעשות בינתיים? הם ידרשו להקשות על התוקפים על ידי בזבוז המשאב היקר ביותר שלהם: זמן. תוקפים שמבצעים התקפות מסוג credential stuffing בדרך כלל מונעים כלכלית ואין להם הון אינסופי. לכן אם ארגון יכול להגדיל משמעותית את הזמן שלוקח להם לייצר רווח מההתקפות שלהם, רוב התוקפים ינטשו את המרדף לטובת יעדים חלשים יותר.
לייצר צורך בפיתוח מנגנון התקפה חדש עבור כל יעד
נניח שהתוקף הצליח לשים את ידו על 100 אלף סיסמאות מפוענחות, שהוא בטוח למדי שלאף אחד אחר אין גישה אליהן, לפחות באותו רגע. התוקף יודע כי 100 אלף סיסמאות יובילו בממוצע לכ-1,000 השתלטויות על חשבונות באתר גדול. כעת, עבור התוקף השתלטות על אלף חשבונות קמעונאיים עשויה שלא להיות שווה את מספר השבועות שיידרשו לטובת פיתוח, בדיקה ושימוש בהתקפה, ויהיה יותר יעיל מבחינתו לתקוף מספר יעדים בו זמנית ולפרוץ לעשרות אלפי חשבונות בבת אחת. המפתח יהיה למצוא חברות שיכולות להיות מותקפות באמצעות אותה התוכנה - במילים אחרות, מטרות עם תשתית דומה.
כתוצאה מכך, התוקף הזה פונה לא רק לחברה אחת, אלא לכמה חברות בו זמנית – לדוגמא: לחברה קמעונאית, בנק, חברת מדיה חברתית ואפליקציית מובייל. הוא מפתח התקפה המתמקדת בגרסת אנדרואיד של יישומי מובייל שנבנו עם אותה תשתית. ההתקפה שהוא יצר מאוד ייעילה ואינה עושה שימוש חוזר בשום משאב יותר מפעמיים, תוך התחמקות מכל אמצעי מגביל שהחברה המתוקפת יישמה. עם זאת, בעוד שהתוקף יכול להימנע מלעשות שימוש חוזר במשהו כמו כתובת IP בעת תקיפת מטרה אחת, הוא לא יחשוב שהוא ייתפס אם ימחזר את אותה התקפה באותם משאבים על פני מספר יעדים שונים.
אנו יודעים שכך חושבים התוקפים מכיוון שהמצב המדויק הזה התרחש בשנת 2018 לארבעה מלקוחותינו בעולם. מכיוון שכולם חולקים תשתית הגנה משותפת, התקפה על אחת מהן הייתה למעשה התקפה על כולן. מכיוון שהתוקף מחזר משאבים ודפוסי התנהגות בכל ארבע החברות בפרק זמן קצר ביותר, הצלחנו לאסוף במהירות רבה מספיק נתונים לזיהוי ההתקפה. לפיכך, ביצוע מספר רב של התקפות למעשה עבד לרעתו של התוקף, אך רק מכיוון המידע אודות ההתקפה, המשותף בין החברות השונות.
אי אפשר לזהות את כל ההתקפות באופן מידי ב-100% אחוז מהמקרים, אבל ניתן לנסות להפוך את ההתקפות לכל כך יקרות שהתוקפים יוותרו עליהן במהירות או אפילו לא ינסו אותן שוב על אותה מטרה. צריך להביט בפשיעת סייבר כעסק - ההתקפות מתוכננות על בסיס שיעור תשואה צפוי ואם יש משהו שברור לכולם, זה שזמן שווה כסף, וזה לא הולך להשתנות בקרוב.
השר לפיתוח כלכלי של ממשלת ויקטוריה באוסטרליה, טים פאלאס, הכריז כי חברת Data Science Group (DSG) הישראלית תקים במלבורן מרכז מצוינות לבינה מלאכותית (CoE) בשיתוף ממשלת ויקטוריה.
חברת Infinidat מסכמת את שנת 2021 עם צמיחה משמעותית מציגה גידול של 40% בהזמנות משנה לשנה, כולל עלייה של 68% משנה לשנה בהזמנות ברבעון הרביעי של 2021
לאחרונה עולה לדיון סוגיית השימוש בסיסמאות הנדרשות בעת הכניסה לאפליקציות ויישומים. בעוד מומחי אבטחה עשויים לטעון כי מדובר במחסום חשוב ובלתי נמנע שיכול לסכל מעשי הונאה ופריצה למידע רגיש, מחקרים שפורסמו לאחרונה מעידים כי שיטה זאת אינה יעילה, בעיקר בשל התנהלות המשתמשים והתעלמותם מסיכונים.
סין שמה לה למטרה יעד נוסף - הובלת התחום המתהווה של מטבעות דיגיטליים של בנקים מרכזיים. למעשה, מאז החלו לדון בסין ברעיון המטבע הדיגיטלי ב-2014, סין הגיעה להישגים מספריים שאף מדינה בעולם לא הגיעה אליהם. לפי סקר רחב שנערך ע"י BIS, הבנק להסדרי סליקה בינלאומיים, יותר מ- 80% מהבנקים המרכזיים מעורבים בפרויקטים של פיתוח מטבע דיגיטלי של הבנק המרכזי (CBDC - Central Bank Digital Currency), בהם גם בנק ישראל, אך המתקדם ביותר מבין כולם, בהפרש גדול, הוא הבנק המרכזי הסיני (PBOC – People’s Bank Of China).
חברת ThetaRay זכתה בתחרות "The Search" אבו דאבי ותייצג את ישראל בתחרות הגלובאלית, שמאתרת את הסטרטאפים המובילים בעולם בתחומי הפינטק והסייבר