אימות דו שלבי באמצעות אפליקציה זה הדבר הכי טוב שאתם יכולים לעשות לעצמכם

הפעם פוסט לא טכני אבל חשוב לרבים. איך משתמשים באפליקציה לאימות דו שלבי ולמה זה חשוב בכלל ובשפה פשוטה ונהירה.

ראשית, מה זה אימות דו שלבי?

אימות דו שלבי או 2FA זה אימות שלא מתבסס רק על סיסמה אלא על שלב נוסף. רובנו מכירים את זה מהסמסים. אנחנו מקלידים בממשק כלשהו סיסמה, אך על מנת להכנס אנו צריכים להקליד מספר נוסף שנשלח אלינו על ידי סמס. רק לאחר הקלדת המספר נוכל להכנס לאתר או למערכת.

מה ההגיון מאחורי אימות דו שלבי? ההגיון הוא שבעוד אפשר לגנוב את הסיסמה שלנו, הפורץ יצטרך גם גישה למכשיר שלנו – וזה קשה בהרבה.

מה רע באימות דו שלבי עם סמס?

סמס הוא לא צורת תקשורת מאובטחת. אפשר ליירט אותו בדרך (כפי שלמשל המקרה האחרון שנחשף על ידי גור מגידו ועמר בן יעקב מהארץ מראה). אפשר לראות אותו בטלפון בטעות או שאפילו תקלה יכולה להשבית אותו.

שלא לדבר על כך שאם אני בחו״ל, ללא תקשורת סלולרית וללא קבלת סמסים, אני לא אוכל להכנס לחשבון שלי.

הפתרון: אימות דו שלבי באמצעות אפליקציה

במקום לקבל סמס, ישנן אפליקציות המייצרות קודים ייחודיים המתחלפים כל שלושים שניות. האפליקציה מותקנת על הטלפון וכשאני נכנס לחשבון כלשהו, אני נדרש להעתיק את הקוד הייחודי מהאפליקציה (ממש כמו סמס) ולהתחבר.

ישנן כמה אפליקציות כאלו. למשל זו של גוגל, או זו של מיקרוסופט או Duo. גם Authy תופסת פופולריות ומומלצת. אני משתמש בעיקר בזו של גוגל. ההתקנה היא פשוטה (גם לאנדרואיד וגם לאפל) – חיפוש Google Authenticator בחנות האפליקציה והורדת האפליקציה. כל האפליקציות עובדות באופן זהה פחות או יותר (יש כאלו עם פיצ׳רים מתקדמים). אז צריך לבחור אחת.

אחרי שהאפליקציה מופעלת, אני צריך לחבר אותה לחשבון כלשהו. על מנת לעשות כן, אני אלחץ על סימן הפלוס שיש באפליקציה. אני אקבל שתי אפשרויות:

  1. לצלם QR Code.
  2. להכניס Setup key.

אני אבחר בלצלם QR Code. עכשיו אני צריך לסרוק QR code כדי לחבר את האפליקציה לחשבון שלי. אך מהיכן אשיג את ה-QR Code? אני אצטרך להכנס לחשבון שאני רוצה לחבר. למשל ג׳ימייל, או פייסבוק, או טוויטר, או כל חשבון אחר שאני משתמש בו. כל החשבונות של כל השירותים הבינלאומיים תומכים באפליקציות אימות. אני אכנס להגדרות החשבון, אבחר בהפעלת אימות דו שלבי ואז באפליקציה. יופיע לי QR Code. זה מה שאני סורק!

Set up two-factor authentication
Close
Scan this code with your two-factor authentication device to set up your account. Enter key manually instead.

מייד אחרי שאכוון את המצלמה של האותנטיקייטור אל ה-QR Code, אני אראה את החשבון שלי שם וכן קוד של 6 ספרות שמתחלף כל כמה שניות.

אלחץ על Next ואזין את הקוד של 6 הספרות. זהו! החשבון מחובר. מעכשיו לא יישלח אלי סמס אלא אצטרך להשתמש בקוד של האפליקציה.

קודי הגיבוי

השלב הבא מציג בפני קודי גיבוי. אותם חשוב להדפיס ולשמור במקום בטוח ומוגן. מדוע? כיוון שאם הטלפון מתקלקל, אובד או האפליקציה נמחקת – נוכל להשתמש בקודים האלו כדי לבצע אימות דו שלבי במידה ואין לנו את המכשיר.

זה לא מסובך כמו שזה נשמע 😇

מיליוני אנשים בעולם עושים שימוש באפליקציות האלו שהרבה יותר נוחות ובטוחות בסמס. במקום לחכות לסמס שיגיע או לא יגיע (כל מי שיש לו דיסני פלוס יודע על מה אני מדבר) או לפחד שאם נהיה בחו״ל ונצטרך להתחבר לחשבונות שלנו מחדש ולא נוכל לקבל סמס – יש אלטרנטיבה נוחה ובטוחה. מה שחשוב הוא להדפיס ולשמור את קודי הגיבוי.

הפעם הראשונה יכולה להיות מלחיצה ומוזרה. אבל אחרי שמתרגלים זה הרבה יותר נוח מהסמס וגם לא מחייב אותי לתת את מספר הטלפון שלי.

אז הנה השלבים שצריך לעשות בחיבור לאתר חדש:

  1. להוריד את האפליקציה לבחירתכם (Google Authenticator היא בחירה ראשונית טובה) מחנות האפליקציות.
  2. ללחוץ על הפלוס ולבחור ב-Scan QR.
  3. להכנס עם דפדפן אל האתר שאתם רוצים להזדהות מולו, להכנס להגדרות ואז להפעלת אימות דו שלבי. יוצג בפניכם QR Code.
  4. לסרוק את ה-QR Code עם הטלפון. החיבור מתבצע ושם האתר מופיע באפליקציה עם קוד לידו.
  5. באתר: לוחצים על Next, מזינים את הקוד.
  6. מדפיסים את רשימת קודי הגיבוי שמקבלים ושומרים במקום בטוח.

מבטיח לכם שאולי בפעם הראשונה זה יראה מוזר, אבל בפעם השניה זה יראה פשוט בהרבה ויהפוך לטבע שני.

פוסטים נוספים שכדאי לקרוא

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

גלילה לראש העמוד