גוגל נלחמת בפישינג באמצעות… דיסק און קי
מפתחות אבטחה פיזיים שחילקה גוגל לכל עובדיה - ובמקרה שלה מדובר בדיסקים און קי - הביאו להצלחתה במלחמתה בניסיונות פישינג לעובדיה ● כעת הענקית מתגאה: מאז החלוקה אשתקד לא צלח אפילו ניסיון אחד
ניתן לחשוב שאבטחת מידע של חברות ענק נעשית באמצעות כלים מתוחכמים, מסובכים ויקרים, כולל כשמדובר באבטחה פנים ארגונית. אלא שלא תמיד זה נכון. תשאלו את גוגל.
מאז תחילת 2017, כאשר החלה לדרוש מכל העובדים להשתמש במפתחות אבטחה פיזיים במקום להסתפק בסיסמאות ובקודים חד פעמיים, אף לא אחד מ-85 אלף עובדיה של גוגל חווה ניסיון פישינג שצלח – כך על פי דיווח של ענקית הטכנולוגיה.
מפתחות אבטחה הם התקנים זולים, מבוססי USB, המציעים גישה חלופית לאימות של שני גורמים (2FA), שמחייבת את המשתמש להיכנס לאתר אינטרנט תוך שימוש באמצעי מוכר להם – סיסמה, ואמצעי שנמצא ברשותם – למשל, התקן נייד או דיסק און קי.
דובר מטעם החברה אמר כי מפתחות האבטחה הפיזיים מהווים כעת את הבסיס לכל גישה לחשבון גוגל של עובדים. "לא היו לנו דיווחים או השתלטות על חשבון מאז יישום מפתחות אבטחה בגוגל", הרחיב הדובר והוסיף כי "משתמשים עשויים להתבקש לבצע אימות באמצעות מפתח האבטחה שלהם עבור יישומים או סיבות אחרות. הכל תלוי ברגישות האפליקציה ובסיכון של המשתמש בנקודה זו".
אמצעי זול ופשוט שיכול להכפיל את האבטחה
לפני 2017 נהגו עובדי גוגל להסתמך על קודים חד פעמיים שנוצרו על ידי אפליקציה לנייד המכונה Google Authenticator. אלא שאז החליטו בתאגיד הענק לנסות אמצעי אבטחה אחר ולכאורה פשוט, והעניקו לכל אחד מהעובדים דיסק און קי שישמש גם הוא לאימות הכניסה למערכת.
המאמץ העיקרי של גוגל במהלך היה להילחם בניסיונות פישינג, במסגרתם רצו האקרים להשיג מעובדים בחברה שמות משתמש, סיסמאות או פרטים פיננסיים.
הרעיון הבסיסי מאחורי אימות שני גורמים הוא שגם אם הגנבים מצליחים להשיג ממשתמש או לגנוב את הסיסמה שלו, הם עדיין לא יכולים להיכנס לחשבונו, אלא אם כן הם פורצים ופיזית ומשיגים שליטה על גורם האבטחה הנוסף והפיזי. הצורות הנפוצות ביותר של 2FA מחייבות את המשתמש להוסיף סיסמה עם קוד חד פעמי, שנשלח למכשיר הנייד שלו באמצעות SMS או אפליקציה.
החדשות, שדווחו בראשונה על ידי העיתונאי בריאן קרבס באתר שלו, Krebs on Security, מדגישות כיצד מפתח אבטחה פיזי יכול למנוע את החדירה לחשבונות האונליין של כל אחד מאתנו, ולא רק במקרה כמו זה של ענקית הטכנולוגיה. זאת, מהטעם הפשוט שלהגן על החשבון עם סיסמה בלבד זה לעתים קרובות פשוט לא מספיק. האקרים יכולים לפעמים לנחש סיסמאות או להשתמש בכתובת מייל לשם התחזות, בכדי להערים על משתמשים תמימים שימסרו להם אותה. אם המשתמש נזקק לאמצעי נוסף ופיזי בכדי לאמת באופן דו שלבי את זהותו, ביטחונו מוכפל ולפי גוגל, סיכוייו להיות מוגן גבוהים בהרבה.
מעניין איך זה מתבצע הפועל?