למה חשוב לעשות אימות דו שלבי בווטסאפ

הסבר על איך פורצים לווטסאפ ואיך מתגוננים (שזה הכי חשוב)
רן בר-זיק באולפן

בהמשך לאייטם שלי שעלה בתוכנית נקסט של דרור גלוברמן, אני כן רוצה להדגיש כמה פרטים טכניים. אבל ראשית, האייטם:

בתוכנית לא היה לנו פנאי להראות את כל התהליך בגלל גבולות הזמן והז'אנר, אז אני מתכבד להציג כאן את הסרטון שהכנתי המסביר על הדרך לפרוץ. מה שאני צריך זו גישה של דקה לטלפון. אם אתם מתאמנים/שוחים ומשאירים את הטלפון בתיק. אם אתם תיכוניסטים שלומדים והטלפון שלכם הגיע למישהו, אם אתם עובדים והבוס שלכם החליט לשבור את הכלים – זו דרך מעולה להתנקם בכם.

הבהרה חשובה: כניסה ללא אישור לכל מחשב/טלפון הנה עבירה פלילית. גם אם זה בצחוק. גם אם 'אבל אני רק רציתי לעשות משהו מצחיק'. אל תנסו את זה על מחשב/טלפון אחר. הדוגמאות שהראיתי כאן הם למכשירים שבעליהם נתנו את האישור שלהם להדגמה.

הליך הפרצה מורכב מכמה שלבים. בשלב הראשון התוקף משיג גישה פיזית לטלפון של המותקף ומזין את מספר הטלפון של המותקף למכשיר נקי של התוקף. בכל פעם שאנחנו מזינים מספר חדש לתוכנת ווטסאפ נקיה, נשלח סמס זיהוי אל המספר הזה. במקרה הזה של הטלפון המותקף. חלק מהטלפונים מוגדרים כך שהסמס קופץ במסך וניתן כבר להעתיק את המספר. אבל גם אם הסמס לא קופץ, אין צורך לדאוג. אפשר לבקש שיחת אימות – כל טלפון, גם המאובטח ביותר, מוגדר כך שאפשר לענות לכל שיחה.

הנה ההדגמה היותר אינטואיטיבית

אז למה אני מראה את זה? לא בשביל שתוקפים ילמדו, אלא על מנת שכל אחד ואחת יבינו כמה חשוב שיהיה לנו אימות דו שלבי. בסרטון הזה אני מנסה לפרוץ לטלפון שיש בו אימות דו שלבי. זה לא כל כך עובד:

אז מה זה אימות דו שלבי? מדובר פשוט בשלב נוסף בדרך לאימות שמקשה על תוקפים פוטנציאלים. למשל, גם אם תצליחו לגנוב את הסיסמה שלי לג'ימייל, לא תצליחו להכנס לחשבון שלי כיוון שצריך סיסמה נוספת שמיוצרת כל דקה רנדומלית על הטלפון שלי. אם תצליחו לגנוב את הסיסמה שלי לפייסבוק, לא תצליחו להכנס לחשבון שלי כיוון שבכל פעם שאני מתחבר אני נדרש לסיסמה נוספת שאותה אני צריך לקבל דרך הסמס.

הרבה אנשים טועים לחשוב שבגלל שמדובר בשירות המחובר למספר טלפון, אז הוא בלתי פריץ. הנה, בדוגמה הזו כל מה שצריך זו הסחת דעת של דקה. יש דוגמאות נוספות שבהן אני משתמש בתעלול דומה על מנת לקחת *מרחוק* את חשבון הווטסאפ של האדם.

אז איך מגדירים אימות דו שלבי בווטסאפ? זה ממש קל.

1. להכנס לווטסאפ בטלפון וללחוץ על התפריט (שלוש נקודות בפינה הימנית העליונה)

2. ללחוץ על ההגדרות (Settings)

3. ללחוץ על החשבון (Account)

הפעלת אימות דו שלבי בווטסאפ - צעד 1
הפעלת אימות דו שלבי בווטסאפ – צעד 1

4. באמצע התפריט כתוב אימות דו שלבי (Two-step verification), יש לבחור בו.

הפעלת אימות דו שלבי בווטסאפ - צעד 2
הפעלת אימות דו שלבי בווטסאפ – צעד 2

5. הזינו קוד בן שש ספרות, ואשרו אותו במסך הבא. שימו לב שצריך לבחור קוד משמעותי אך גם כזה שקל לזכור.

הפעלת אימות דו שלבי בווטסאפ - צעד 3
הפעלת אימות דו שלבי בווטסאפ – צעד 3
הפעלת אימות דו שלבי בווטסאפ - צעד 4
הפעלת אימות דו שלבי בווטסאפ – צעד 4

6. הכניסו אימייל לשחזור למקרה שתשכחו את הקוד המספרי שלכם.

הפעלת אימות דו שלבי בווטסאפ - צעד 5
הפעלת אימות דו שלבי בווטסאפ – צעד 5

הסרטון הבא מציג את זה היטב:

החלפתם את הטלפון? תצטרכו להכניס את הסיסמה הזו. מישהו ינסה לחטוף את חשבון הווטסאפ שלכם? הוא לא יוכל לעשות את זה בלי הסיסמה הזו.

פוסטים נוספים שכדאי לקרוא

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

תמונה מצוירת של רובוט שמנקה HTML
יסודות בתכנות

סניטציה – למה זה חשוב

הסבר על טכניקה פשוטה וידועה מאד שאנו מפעילים על מידע לפני שאנחנו מציגים אותו ב-HTML באפליקציה או באתר.

מיקרו בקרים

חיבור מצלמה למיקרובקר

חיבור מצלמה למיקרו בקר ויצירה של מצלמת אבטחה מרחוק בעלות של 20 שקל.

צילום מסך של סוואגר
יסודות בתכנות

openAPI

שימוש בתשתית הפופולרית למיפוי ותיעוד של API וגם הסבר בסיסי על מה זה API

גלילה לראש העמוד