מה זה מפתח גישה Passkeys: באמת סוף עידן לסיסמאות בחשבונות שלנו?

במשך עשורים, הסיסמה הייתה קו ההגנה הראשון (ולפעמים היחיד) שלנו במרחב הדיגיטלי. אבל ככל שהטכנולוגיה התקדמה, הסיסמאות הפכו לנטל: הן נשכחות, נגנבות בפריצות למסדי נתונים, וחשופות למתקפות פישינג מתוחכמות. כעת, ענקיות הטכנולוגיה – ובראשן מייקרוסופט וגוגל – מובילות מהלך שנועד להפוך את הסיסמה לנחלת העבר באמצעות טכנולוגיית ה-Passkeys.

מה זה בעצם Passkey ואיך זה עובד?

בניגוד לסיסמה שהיא רצף תווים שאתם צריכים לזכור, ה-Passkey הוא "טוקן" (אסימון) דיגיטלי מאובטח שנוצר עבור כל חשבון. התהליך פשוט ואינטואיטיבי:

• זיהוי ראשוני: כשניגשים לחשבון (בגוגל, מייקרוסופט או שירותים תומכים אחרים), במקום להקליד סיסמה, מופיע על המסך קוד QR.
• סריקה ואימות: סורקים את הקוד באמצעות הטלפון הנייד.
• אישור ביומטרי: האימות הסופי מתבצע במכשיר שלכם באמצעות טביעת אצבע או זיהוי פנים. זהו! אתם בפנים.

הטוקן עצמו נשמר בצורה מאובטחת בענן שלכם (iCloud של אפל או חשבון ה-Google שלכם), מה שהופך אותו לנגיש אך בלתי ניתן לגניבה מרחוק.

יתרונות המעבר: ביטחון ושקט נפשי

המעבר ל-Passkeys הוא לא רק עניין של נוחות, אלא קפיצת מדרגה משמעותית באבטחה:

• הגנה מפני פישינג: מאחר שאין סיסמה להקליד, האקרים לא יכולים "לפתות" אתכם להזין אותה באתרים מזויפים.
• סוף למנהלי סיסמאות: אין יותר צורך לזכור עשרות סיסמאות מורכבות או להשתמש בתוכנות צד ג' לניהולן.
• המשכיות במעבר בין מכשירים: רבים תוהים "מה יקרה אם הטלפון שלי ייגנב?". התשובה פשוטה: מכיוון שהמפתחות הדיגיטליים מסונכרנים עם חשבון הענן (Google/iCloud), ברגע שתתחברו למכשיר חדש, כל ה-Passkeys שלכם יחזרו איתכם באופן אוטומטי.

האתגר של מייקרוסופט והמגזר העסקי

בעוד שגוגל כבר החלה להציע למשתמשים פרטיים להמיר את הסיסמאות שלהם, מייקרוסופט מעלה הילוך ומכוונת להשקה נרחבת. עם זאת, בעולם הארגוני (Microsoft 365) המעבר מורכב יותר.

ארגונים רבים מסתמכים על מערכות מורכבות כמו SSO (Single Sign-On) ואינטגרציות עם אפליקציות צד ג'. מייקרוסופט פועלת בשנים האחרונות למעבר ל"אימות מודרני" (Modern Authentication), המאפשר לשנות את שיטת ההתחברות בקליק אחד ללא פגיעה בתשתיות ישנות, אך מנהלי ה-IT בארגונים יצטרכו לתת את הדעת על האופן שבו ה-Passkeys משתלבים בניהול ההרשאות הארגוני.

סיכום

אנחנו נמצאים בפתח של עידן חדש. המעבר של מייקרוסופט וגוגל ל-Passkeys מסמן את תחילת הסוף של עידן ה-Basic Authentication (אימות בסיסי המבוסס על שם משתמש וסיסמה). מדובר בשינוי שמביא איתו גם חוויית משתמש חלקה יותר וגם חומת הגנה בצורה יותר מול איומי הסייבר המודרניים.

רוצה שאוסיף למאמר הזה כותרות מושכות יותר לרשתות חברתיות או אולי סיכום קצר בנקודות?

איך האקרים יוכלו לנצל את הטכנולוגיה כדי לפרוץ לכם לחשבונות סושיאל?

זהו היבט קריטי שחשוב להבין: למרות ש-Passkeys נחשבים למאובטחים בהרבה מסיסמאות, אין טכנולוגיה חסינה לחלוטין. כשעוברים לשיטה שבה ה"מפתח" שלכם נמצא בתוך המכשיר או בענן, וקטור התקיפה משתנה.

הנה התוספת למאמר, שתתמקד בדרכים שבהן פורצים עלולים לנסות "לעקוף" או לנצל את הטכנולוגיה הזו כדי להשתלט על חשבונות המדיה החברתית שלכם:

הצד האפל: איך פורצים ינסו לנצל את ה-Passkeys?

למרות שה-Passkey נועד למנוע פישינג מסורתי, האקרים כבר מפתחים שיטות חדשות כדי לנסות ולפרוץ פנימה. הנה הדרכים המרכזיות שבהן חשבון הסושיאל שלכם עלול להיות בסכנה:

1. מתקפת ה"השתלטות על הענן" (Cloud Account Takeover)

ה-Passkeys שלכם מסונכרנים עם חשבון ה-iCloud או ה-Google שלכם. זהו "נקודת הכשל היחידה" (Single Point of Failure).

• השיטה: אם פורץ מצליח להשיג גישה לחשבון הגוגל או ה-Apple ID הראשי שלכם (למשל באמצעות הנדסה חברתית או פריצה למייל השחזור), הוא מקבל גישה לכל ה-Passkeys המאוחסנים שם.
• התוצאה: הפורץ יכול פשוט "לשחזר" את המפתחות למכשיר שלו ולהיכנס בקלות לחשבון האינסטגרם, ה-X (טוויטר) או הפייסבוק שלכם בלי שתדעו.

2. גניבת המכשיר הפיזי ופריצת קוד הגישה (Passcode)

ה-Passkey מסתמך על האימות הביומטרי של הטלפון, אך תמיד יש לו "גיבוי" – קוד הגישה (PIN) של המכשיר.

• השיטה: פורצים במועדונים או במקומות ציבוריים עוקבים אחריכם ("Shoulder Surfing") כדי לראות את הקוד שאתם מקישים כדי לפתוח את הטלפון, ואז גונבים את המכשיר הפיזי.
• התוצאה: ברגע שיש להם את המכשיר ואת הקוד שלו, הם יכולים לעקוף את זיהוי הפנים/טביעת האצבע, להשתמש ב-Passkey המאוחסן במכשיר ולשנות את הגדרות החשבון בסושיאל תוך שניות.

3. הנדסה חברתית וקוד ה-QR

ה-Passkey משתמש ב-QR Code כדי לחבר בין מכשירים.

• השיטה: פורץ עלול לשלוח לכם לינק או להציג לכם אתר מזויף שנראה כמו דף התחברות לגיטימי לסושיאל, ומבקש מכם "לסרוק את הקוד כדי לאשר את המכשיר החדש שלכם".
• התוצאה: אם תסרקו קוד QR שמגיע ממקור לא מהימן, אתם למעשה עלולים לאשר למכשיר של הפורץ להפוך ל"מכשיר מאושר" בחשבון שלכם, מה שמאפשר לו לייצר Passkey משלו לחשבון שלכם.

4. "פישינג של אימות" (Attestation Phishing)

למרות שקשה מאוד לבצע פישינג ל-Passkey, תוקפים מתוחכמים מנסים לגרום למשתמשים ליצור Passkey באתרים מתחזים מלכתחילה. אם האקר מצליח לשכנע אתכם ליצור מפתח באתר שנראה כמו אינסטגרם אבל הוא לא, הוא שולט בחיבור העתידי שלכם.

איך להתגונן?

• אבטחו את חשבון ה"אם": שימו אימות דו-שלבי (2FA) קשוח (כמו מפתח אבטחה פיזי) על חשבון הגוגל או ה-Apple ID שלכם.
• היזהרו מסריקת קודים: לעולם אל תסרקו קוד QR להתחברות שנשלח אליכם בהודעה או במייל, אלא רק כאלו שאתם יזמתם באתר הרשמי.
• הסתרת קוד המכשיר: הקפידו שאף אחד לא רואה את הקוד שאתם מקישים בטלפון במקומות ציבוריים.