למה חשוב לעשות אימות דו שלבי בווטסאפ

הסבר על איך פורצים לווטסאפ ואיך מתגוננים (שזה הכי חשוב)

בהמשך לאייטם שלי שעלה בתוכנית נקסט של דרור גלוברמן, אני כן רוצה להדגיש כמה פרטים טכניים. אבל ראשית, האייטם:

בתוכנית לא היה לנו פנאי להראות את כל התהליך בגלל גבולות הזמן והז'אנר, אז אני מתכבד להציג כאן את הסרטון שהכנתי המסביר על הדרך לפרוץ. מה שאני צריך זו גישה של דקה לטלפון. אם אתם מתאמנים/שוחים ומשאירים את הטלפון בתיק. אם אתם תיכוניסטים שלומדים והטלפון שלכם הגיע למישהו, אם אתם עובדים והבוס שלכם החליט לשבור את הכלים – זו דרך מעולה להתנקם בכם.

הבהרה חשובה: כניסה ללא אישור לכל מחשב/טלפון הנה עבירה פלילית. גם אם זה בצחוק. גם אם 'אבל אני רק רציתי לעשות משהו מצחיק'. אל תנסו את זה על מחשב/טלפון אחר. הדוגמאות שהראיתי כאן הם למכשירים שבעליהם נתנו את האישור שלהם להדגמה.

הליך הפרצה מורכב מכמה שלבים. בשלב הראשון התוקף משיג גישה פיזית לטלפון של המותקף ומזין את מספר הטלפון של המותקף למכשיר נקי של התוקף. בכל פעם שאנחנו מזינים מספר חדש לתוכנת ווטסאפ נקיה, נשלח סמס זיהוי אל המספר הזה. במקרה הזה של הטלפון המותקף. חלק מהטלפונים מוגדרים כך שהסמס קופץ במסך וניתן כבר להעתיק את המספר. אבל גם אם הסמס לא קופץ, אין צורך לדאוג. אפשר לבקש שיחת אימות – כל טלפון, גם המאובטח ביותר, מוגדר כך שאפשר לענות לכל שיחה.

הנה ההדגמה היותר אינטואיטיבית

אז למה אני מראה את זה? לא בשביל שתוקפים ילמדו, אלא על מנת שכל אחד ואחת יבינו כמה חשוב שיהיה לנו אימות דו שלבי. בסרטון הזה אני מנסה לפרוץ לטלפון שיש בו אימות דו שלבי. זה לא כל כך עובד:

אז מה זה אימות דו שלבי? מדובר פשוט בשלב נוסף בדרך לאימות שמקשה על תוקפים פוטנציאלים. למשל, גם אם תצליחו לגנוב את הסיסמה שלי לג'ימייל, לא תצליחו להכנס לחשבון שלי כיוון שצריך סיסמה נוספת שמיוצרת כל דקה רנדומלית על הטלפון שלי. אם תצליחו לגנוב את הסיסמה שלי לפייסבוק, לא תצליחו להכנס לחשבון שלי כיוון שבכל פעם שאני מתחבר אני נדרש לסיסמה נוספת שאותה אני צריך לקבל דרך הסמס.

הרבה אנשים טועים לחשוב שבגלל שמדובר בשירות המחובר למספר טלפון, אז הוא בלתי פריץ. הנה, בדוגמה הזו כל מה שצריך זו הסחת דעת של דקה. יש דוגמאות נוספות שבהן אני משתמש בתעלול דומה על מנת לקחת *מרחוק* את חשבון הווטסאפ של האדם.

אז איך מגדירים אימות דו שלבי בווטסאפ? זה ממש קל.

1. להכנס לווטסאפ בטלפון וללחוץ על התפריט (שלוש נקודות בפינה הימנית העליונה)

2. ללחוץ על ההגדרות (Settings)

3. ללחוץ על החשבון (Account)

הפעלת אימות דו שלבי בווטסאפ - צעד 1 — הפעלת אימות דו שלבי בווטסאפ – צעד 1

4. באמצע התפריט כתוב אימות דו שלבי (Two-step verification), יש לבחור בו.

הפעלת אימות דו שלבי בווטסאפ - צעד 2 — הפעלת אימות דו שלבי בווטסאפ – צעד 2

5. הזינו קוד בן שש ספרות, ואשרו אותו במסך הבא. שימו לב שצריך לבחור קוד משמעותי אך גם כזה שקל לזכור.

הפעלת אימות דו שלבי בווטסאפ - צעד 3 — הפעלת אימות דו שלבי בווטסאפ – צעד 3

הפעלת אימות דו שלבי בווטסאפ - צעד 4 — הפעלת אימות דו שלבי בווטסאפ – צעד 4

6. הכניסו אימייל לשחזור למקרה שתשכחו את הקוד המספרי שלכם.

הפעלת אימות דו שלבי בווטסאפ - צעד 5 — הפעלת אימות דו שלבי בווטסאפ – צעד 5

הסרטון הבא מציג את זה היטב:

החלפתם את הטלפון? תצטרכו להכניס את הסיסמה הזו. מישהו ינסה לחטוף את חשבון הווטסאפ שלכם? הוא לא יוכל לעשות את זה בלי הסיסמה הזו.

אהבתם את התוכן שלי? נסו את ספרי הלימוד שלי

פרויקט ספרי לימוד התכנות שלי עם אלפי קוראים ותמיכה של חברות מובילות נועד לאפשר לכל אחד ואחת ללמוד תכנות מעשי

לחצו כאן

ללמוד תכנות בעברית

ללמוד תכנות מעשי מאפס, בעברית ובקלות עם הספר שלי ״ללמוד ג׳אווהסקריפט בעברית״

לחצו כאן

רן בר-זיק

ארכיטקט תוכנה בכיר בסייברארק, עיתונאי טכנולוגיה בעיתון דה מרקר, מרצה בקריה האקדמית אונו ואוניברסיטת חיפה, אב לארבעה ילדים.

16 תגובות

ד הגיב:

מרץ 20, 2018 בשעה 2:28 pm

הבעיה היא כמובן שאתה חייב את הטלפון.
למשל – מת לי הטלפון ואני מנסה להיכנס למייל כדי לתקשר עם אנשים – אופס.

הגב
- א הגיב:
  
  מרץ 20, 2018 בשעה 2:50 pm
  
  תסתכל בתגובה שלי לכתבה
  
  הגב
- משתמש אנונימי (לא מזוהה) הגיב:
  
  מרץ 20, 2018 בשעה 10:30 pm
  
  צודק אבל אז אתה יכול להשתמש בגישה אחרת – סט של ססמאות חד פעמיות ששמרת במקום אחר, אימות דרך אימייל חליפי או דרך שיחת טלפון.
  
  בטחון מידע הוא תמיד מאזן של נוחות מול בטחון. בקצה אחד בלי ססמאות או עם ססמאות שקל לזכור אבל גם קל לנחש. בצד השני ססמאות קשות ואימות כפול אבל אז אתה בבעיה אם אתה לא זוכר את הססמאות ואין לך גישה לאימות הכפול.
  
  הגב
א הגיב:

מרץ 20, 2018 בשעה 2:49 pm

ל ד
הבעיה היותר גדולה בפריצה הזאת שממש לא צריך גישה לפלאפון כדי לפרוץ לווטסאפ (לא אכתוב כאן איך כדי לא לתת רעיונות אבל הפתרון הוא מה שהוצע בכתבה ומאוד מומלץ לעשות את האימות הדו שלבי)

הגב
משה הגיב:

מרץ 20, 2018 בשעה 7:21 pm

מאוד מועיל ועושר מה שאתה נותן פה תודה רבה

הגב
אני הגיב:

מרץ 21, 2018 בשעה 12:19 am

אימות דו שלבי הוא חשוב בווטסאפ ולמעשה לאבטחת כל שירות משמעותי אבל המימוש שלו בווטסאפ מרגיז ביותר. מרגע שהפעלתם את האימות ובחרתם קוד בן 6 ספרות, תידרשו לחזור עליו לצורך רענון הזיכרון אחת לכמה ימים. הבקשה קופצת בכניסה לווטסאפ (כלומר בדיוק כשלא נוח ובאתם לקרוא או לכתוב הודעה), ואם סוגרים אותה בלי להזין את הקוד היא תשוב תוך זמן קצר מהרגיל.
לא קיימת דרך בהגדרות לבטל את ההתנהגות הזו, כך גם מאשרת מחלקת התמיכה בלקוחות האפליקציה. מצד אחד זה מסייע לזכור את הקוד, אך ממשיך להציק גם למי שהוכיח שוב ושוב שזיכרונו טוב וגם עלול לחשוף את הקוד לעיניים זרות שכן נעשה בו שימוש תכוף (יחסית).

הגב
יניב הגיב:

מרץ 21, 2018 בשעה 3:10 am

היום לרוב האנשים יש כניסה לטלפון על ידי תביעת אצבע,
כך שזה פותר את הצורך באימוץ דו שלבי הרי גם אם תקבל דקה את הטלפון עדיין תצטרך לפרוץ את הנעילה שלו.

הגב
אודי הגיב:

מרץ 21, 2018 בשעה 9:45 am

אכן כפי שהגיב יניב, מדוע יש צורך באימות דו שלבי אם הטלפון ממילא מוגן טביעת אצבע?

הגב
רן בר-זיק הגיב:

מרץ 21, 2018 בשעה 10:49 am

בסרטון שמופיע בפוסט הזה ממש: https://www.youtube.com/watch?v=scTL4arNozw אני מציג חטיפת חשבון בטלפון מאובטח בסיסמה (גם בטביעת אצבע) ש*אין* לו נוטיפקציות.

הגב
ממבי הגיב:

מרץ 22, 2018 בשעה 10:30 am

הפרצה הזאת לא מאד משמעותית *לרוב*
א. המשתמש המקורי יודע כמעט מיד שמישהו השתלט לו על החשבון, הוא ננעל בחוץ ויכול די מהר להכנס מחדש ולזרוק את הפורץ
ב. אתה לא מקבל את המידע ותוכן שיחות קודמות, רק שמות קבוצה ומספרי טלפון של החברים.

מה אתה כן יכול בנתיים לעשות, עד שהמשתמש מגלה שפרצו לו אפשר להתכתב עם חברים אחרים בשמו ישירות או דרך הקבוצות, ולקבל את ההודעות עד הרגע שהפורץ נזרק.
חמור אבל לא נורא.

הגב
- משתמש אנונימי (לא מזוהה) הגיב:
  
  מאי 15, 2019 בשעה 12:36 am
  
  לא נכון. הוא יקבל את כל ההיסטוריה עד למועד הגיבוי אחרון (בד"כ 2 בלילה של הלילה הקודם). וואטסאפ יודע לשחזר היסטוריה, ובד"כ זה כלי נפלא.
  
  הגב
טליה הגיב:

מרץ 22, 2018 בשעה 2:22 pm

רן, משום מה הפסקתי לקבל עדכונים של האתר למייל… (ובדקתי ואני מנויה).

הגב
עמית הגיב:

פברואר 26, 2019 בשעה 1:12 pm

ומה עושים למי שפרצו לו לטלפון בעזרת התחזות והפעילו לו את האימות הכפול כך שהוא לא יכול לגשת לוואטסאפ בלי הקוד של האימות הכפול

הגב
יניב הגיב:

מרץ 7, 2019 בשעה 10:27 am

תודה על המידע הנפלא שאתה משתף איתנו, ביצעתי את האימות הדו שלבי וקצת מרגיז הצורך כל בוקר להכניס את הקוד , אין עדין דרך לדלג על זה?
תודה

הגב
מזי הגיב:

מאי 7, 2019 בשעה 9:59 pm

יש לי בעיה עם האימות דו שלבי אני עוברת את השלב הראשון עם קבלת האסמס ואז אני נתקעת בשלב השני ואני לא יודעת איזה פין קוד עשיתי אם עשיתי בכלל ואז זה אומר שישלח למייל שמקושר למספר הזה והקטע הוא שלא קיבלתי שום מייל מה אני עושה ? מה לא ניסיתי למחוק ולהתקין מחדש בא לי לבכות

הגב
חנן הגיב:

יולי 26, 2020 בשעה 5:22 pm

האם אפשר לפרוץ לטלפון או לוואצאפ גם עם יש אימות דו שלבי, ע״י תוכנה ששולחת smsובעצם גורמת לך להזין את הקוד הדו שלבי.. וכך לחדור לטלפון שלך?

הגב

השארת תגובה

ביטול

פוסטים מומלצים

תכנות בעולם האמיתי עם מיקרו בקרים

לימוד מאפס של תכנות עם מיקרו בקרים למבוגרים ולילדים: לבנות מכשירים שונים עם מיקרו פייתון עם קצת ChatGPT בקלות ובכיף

לחצו כאן

יסודות בתכנות

קריפטוגרפיה, ביצועים, אבטחת מידע ומידע יסודי וחשוב שגם מתכנתים מנוסים לא תמיד יודעים.

הכנסו עכשיו

מבוא לעולם הפוסט קוונטי

הצפנה בעולם הפוסט קוונטי וכיצד יש להתכונן לעתיד

לחצו כאן

איך בוחרים טכנולוגיה חדשה?

איך, כמתכנתים, יודעים מתי הזמן לעבור לטכנולוגיה חדשה?

קראו והאזינו

שקופית קודמת

שקופית הבאה

פוסטים נוספים שכדאי לקרוא

פתרונות ומאמרים על פיתוח אינטרנט

למה כדאי להכיר פיצ׳רים חדשים של CSS

האם בעולם שבו ChatGPT יוצרת קוד פרונט אנד במהירות – כדאי בכלל ללמוד ולהכיר CSS?

מרץ 24, 2024 8 תגובות

פתרונות ומאמרים על פיתוח אינטרנט

נגישות טכנית – פודקאסט ומבוא

פרק בפודקאסטעל נגישות בעברית שצולל לכלים האוטומטיים ולפן המאד מאד טכני של הנגישות.

פברואר 6, 2024 תגובה אחת

ספריות ומודולים

מציאת PII באמצעות למידת מכונה

כך תגנו על משתמשים שלכם שמעלים מידע אישי רגיש כמו תעודות זהות באמצעות שירות אמאזוני.

ינואר 28, 2024 אין תגובות

DALL·E 2024-01-20 11.16.08 - A detailed illustration of a modern web architecture. The architecture includes a user interface layer with web browsers and mobile devices, a middle

למפתחי ובוני אתרי אינטרנט

מניעת הורדת משאבים באופן לא מורשה מהשרת שלכם ללא Access Control

איך אנו יוצרים תכנון של מערכת שצריכה לאפשר הורדה של קבצים אבל עדיין מגינים על הקבצים האלו מהורדות לא מאושרות?

ינואר 21, 2024 14 תגובות

DALL·E 2024-09-06 12.34.24 - A visually engaging post about Python and cryptographic problems. The image should feature a dark-themed background with a glowing, futuristic Python

פתרונות ומאמרים על פיתוח אינטרנט

בעיות במימוש של פונקציות קריפטוגרפיות בפייתון

היום (16 לספטמבר) ממש, אני מעביר הרצאה ב-PyconIL 2024 על בעיות קריפטוגרפיות באפליקציות פייתון. לצערי אי אפשר להכניס את כל הבעיות הקריפטוגרפיות להרצאה אחת או

ספטמבר 16, 2024 תגובה אחת

בניית אתרי אינטרנט

שימו לב: תוספי נגישות לא יעזרו לאתר שלכם להיות נגיש

הדגמה על איך תוסף נגישות אינו תורם לנגישות על פי התקן בארץ ובעולם.

מרץ 11, 2024 2 תגובות

טען עוד