ענקית התוכנה חושפת זינוק של 200% בהתקפות על סיסמאות ומקדמת מעבר מאסיבי לטכנולוגיית אבטחה מתקדמת
מיקרוסופט יוצאת במהלך דרמטי שעשוי לשנות את כללי המשחק בתחום אבטחת המידע: החברה הכריזה על תוכניתה למחוק סיסמאות עבור למעלה ממיליארד משתמשים. ההחלטה מגיעה על רקע עלייה מדאיגה בהיקף ההתקפות על סיסמאות, כאשר החברה מדווחת על חסימת 7,000 ניסיונות תקיפה בכל שנייה – כמעט פי שניים בהשוואה לשנה שעברה.
עלייה חדה במתקפות: סיסמאות כבר לא מספיקות
הנתונים שמציגה מיקרוסופט מצביעים על החמרה משמעותית באיומי הסייבר. בנוסף לעלייה במתקפות ישירות על סיסמאות, נרשמה עלייה של 146% במתקפות דיוג מסוג "אדם באמצע" בהשוואה לשנה קודמת. לדברי מיקרוסופט, "עידן הסיסמאות הולך ונגמר. גורמים עוינים מודעים לכך ומגבירים באופן משמעותי את המתקפות הקשורות לסיסמאות".
מפתחות מעבר: פתרון או אתגר חדש?
כמענה לאיומים אלו, מיקרוסופט מקדמת את השימוש ב"מפתחות מעבר" (Passkeys) כחלופה מאובטחת ומהירה יותר. החברה מציגה נתונים מרשימים: כניסה באמצעות מפתח מעבר מהירה פי שלושה משימוש בסיסמה רגילה ופי שמונה מהירה יותר משימוש בסיסמה ואימות דו-שלבי (MFA). שיעור ההצלחה בכניסה באמצעות מפתחות מעבר עומד על 98%, לעומת 32% בלבד בשימוש בסיסמאות. 99% מהמשתמשים שמתחילים בתהליך הרישום למפתחות מעבר גם משלימים אותו.
עם זאת, עולות גם ביקורות. אחת הטענות המרכזיות היא סוגיית הבעלות על נתוני האימות והגיבוי שלהם. "עם מפתחות מעבר, אתם מאבדים בעלות על נתוני האימות שלכם", נטען בתגובה לאחת הכתבות בנושא. "כיצד מגבים מפתח מעבר? מה קורה אם מאבדים או משביתים את הטלפון?" שאלות אלו מעלות סוגיות משמעותיות בנוגע לאבטחת המידע במקרה של אובדן מכשיר.
מאחורי הקלעים: אסטרטגיית ההטמעה של מיקרוסופט
מיקרוסופט מתארת בבלוג שלה גישה תלת-שלבית ליישום המהפכה: התחלה בקטן, ניסוי וטעייה, ולבסוף הרחבה מאסיבית. החברה ערכה ניסויים שונים כדי לקבוע את הדרך היעילה ביותר לעודד משתמשים לאמץ את מפתחות המעבר. היא גילתה כי פנייה יזומה למשתמשים, למשל לאחר כניסה מוצלחת לחשבון או במהלך איפוס סיסמה, יעילה משמעותית מגישה פסיבית המחייבת את המשתמשים להיכנס להגדרות החשבון. כמו כן, נמצא כי הדגשת המהירות והאבטחה של מפתחות המעבר משכנעת יותר מהדגשת הנוחות בלבד. מיקרוסופט גם לא מאפשרת למשתמשים לבטל לחלוטין את ההזמנות ליצור מפתח מעבר, מתוך רצון להטמיע את הטכנולוגיה כסטנדרט חדש.
עתיד ללא סיסמאות: לאן פנינו?
מיקרוסופט מדגישה כי המטרה הסופית היא להסיר לחלוטין את השימוש בסיסמאות, אך מודה כי מדובר במסע ארוך. החברה החלה לאפשר מחיקת סיסמאות עוד בשנת 2022, ומדווחת כי מיליוני משתמשים כבר עשו זאת. עם זאת, האתגרים והביקורות שהועלו בנוגע למפתחות מעבר מעידים כי המעבר לעולם ללא סיסמאות עדיין רחוק מלהיות פשוט או חד-משמעי. בעוד מפתחות מעבר מציעים פוטנציאל משמעותי לשיפור האבטחה, חשוב להמשיך ולפתח פתרונות גיבוי ושחזור יעילים ולטפל בחששות שעולים בקרב המשתמשים.
בעברית: נועד לאפשר לממשלות לפרוץ לכל DEVICE ללא כל מאמץ. סיפורי ה "חברת אפל לא מוכנה לפתוח מכשירים למען חקירת FBI" יהיו סיפור מהעבר.
בדיוק הפוך… בניגוד לסיסמאות רגילות שנשמרות בשרתים של החברות (ולכן חשופות יותר לפריצות או לדרישות של רשויות), passkeys פועלים אחרת לגמרי. הם מבוססים על זוג מפתחות קריפטוגרפיים: מפתח פרטי שמאוחסן באופן מאובטח במכשיר שלך בלבד, ובדרך כלל גם מוגן על ידי אימות ביומטרי, ומפתח ציבורי שמשותף עם האתר או השירות שאתה מתחבר אליו. כשאתה מתחבר, המכשיר שלך משתמש במפתח הפרטי כדי ליצור חתימה דיגיטלית – בלי לחשוף את המפתח עצמו. למעשה passkeys משפרים משמעותית את האבטחה והפרטיות שלך בהשוואה לסיסמאות. הטענה שהם נועדו לאפשר לממשלות לפרוץ למכשירים בקלות היא הפוכה מהמציאות..
אבל בסוף, מי ששם את היד על הטלפון שלך, יכול להכנס לאיפה שהוא רוצה…. ואם הטלפון הולך לאיבוד אתה נחסם, ואז מבקשים ממך….. את הסיסמא 🙂
מה פתאום? זה יושב מאחורי הגנה ביומטרית (אצבע/פנים).. לגנוב את הטלפון לא יעזור לך.