ההתראה הגיעה לטלפון שלי ב-2:47 בלילה: "שלחת 4,800 $ ל..." לא שלחתי כלום. מישהו היה בתוך ה-PayPal שלי, בתוך הרשת שלי, וזז מהר. ניתקתי כל חיבור בבית: נתב, מודם, הכל אופליין. ההעברה סומנה ובוטלה. היה לי מזל.
מה שהגיע אחרי זה היה אחד מהשבועות הכי לא פרודוקטיביים שהיו לי אי פעם. פירקתי את כל הרשת שלי, התקנתי מחדש מערכות הפעלה על כל חומרה, ועברתי על כל חשבון שהיה ברשותי. יש לי את יומני האבטחה כדי להוכיח את זה. אבל הוכחות לא מונעות שזה יקרה שוב. זו הייתה הפעם האחרונה שסמכתי על SMS לאימות דו-שלבי.
זה היה לפני בערך שנה. ובהסתכלות לאחור, אני לא חושב שהם רק רדפו אחרי ה-PayPal שלי. בהתחשב בפרויקטים שהייתי מעורב בהם באותו זמן, אני חושד שהם חיפשו משהו יותר יקר: קניין רוחני. קוד. מחקר. גישה למערכות ששוות הרבה יותר מכמה אלפי דולרים. חשבון הבנק שלך אולי מכיל את החסכונות שלך, אבל מכשירי העבודה שלך מכילים רעיונות, ורעיונות יכולים לשוות הון לקונה הנכון.
בטח שמתם לב בעצמכם: Google, Apple, Microsoft ועשרות שירותים אחרים התחילו לשאול אם אתם רוצים להגדיר passkey או להשתמש במפתח אבטחה. זה לא גימיק. זו התעשייה שמכירה במה שאנשי אבטחה מקצועיים ידעו שנים: אימות חומרה הוא תקן הזהב. כשחברות טכנולוגיה גדולות מתחילות לדחוף אתכם לכיוון של משהו, זה בדרך כלל כי הם עייפו מלהתמודד עם ההשלכות כשפורצים אליכם. הפעם, הם צודקים. אמרו כן.
מה זה מפתח אבטחת חומרה?
מפתח אבטחת חומרה הוא מכשיר פיזי שמייצר קודי אימות קריפטוגרפיים. כשאתם מחברים אותו או מקרבים אותו לטלפון, הוא מוכיח שאתם זה אתם בדרך שלא ניתן לזייף, ליירט או להשתמש בה לפישינג. זו הצורה הבטוחה ביותר של אימות דו-שלבי הזמינה לאנשים רגילים.
הטכנולוגיה מאחוריו נקראת FIDO2 (Fast Identity Online). כשאתם רושמים מפתח אבטחה עם שירות, המפתח מייצר זוג מפתחות קריפטוגרפיים ייחודי רק לאותו שירות. המפתח הציבורי הולך לשירות, המפתח הפרטי אף פעם לא עוזב את המכשיר. כשאתם מתחברים, השירות שולח אתגר, המפתח שלכם חותם עליו עם המפתח הפרטי שלכם, והחתימה מוכיחה שיש לכם את המפתח הפיזי. בלי קודים להקלדה. בלי התראות push לאישור. פשוט מגע וזהו.
למה חומרה מנצחת תוכנה
אפליקציות אימות כמו Google Authenticator או Authy הן מוצקות. הן טובות בהרבה מ-SMS. אבל יש להן חולשות. הטלפון שלכם יכול להיפרץ על ידי תוכנה זדונית. קודי הגיבוי של האימות שלכם יכולים להיגנב. תוקפים מתוחכמים פיתחו מתקפות פישינג בזמן אמת שמעבירים את הקודים החד-פעמיים שלכם לפני שהם פוקעים. מחקר של Google מצא שמפתחות אבטחה חסמו 100% ממתקפות בוטים אוטומטיות, 100% ממתקפות פישינג המוניות ו-100% ממתקפות ממוקדות. שום שיטת אימות אחרת לא התקרבה.
"לאחר שדרשה מפתחות אבטחה לכל 85,000+ העובדים שלה, Google דיווחה על אפס השתלטויות חשבון מוצלחות בחשבונות עבודה. אפס. זה מה שאימות פיזי יכול לעשות."
איזה מפתח כדאי לקנות?
מובילת השוק היא Yubico, ובצדק. קו ה-YubiKey שלהם חזק, נתמך רחבות ומגיע בכמה צורות. כך בוחרים:
סדרת YubiKey 5
זה מה שאני ממליץ לרוב האנשים. ה-YubiKey 5 NFC הוא הנקודה המושלמת: יש לו USB-A, תומך ב-NFC למכשירים ניידים ומטפל בכל הפרוטוקולים שתיתקלו בהם. בכ-50 $, זו השקעה שמגינה פוטנציאלית על הכל שבבעלותכם. אם למחשב שלכם יש רק חיבורי USB-C, קחו את ה-YubiKey 5C NFC במקום.
איפה לקנות
YubiKey 5 NFC (USB-A) — Yubico.com | Amazon
YubiKey 5C NFC (USB-C) — Yubico.com | Amazon
אני ממליץ לקנות ישירות מ-Yubico כדי להבטיח אותנטיות. קישורי Amazon מסופקים לנוחות.
קנו לפחות שניים
זה קריטי. למפתחות אבטחה אין גיבויים. אם תאבדו את המפתח היחיד שלכם, תאבדו גישה. קנו שני מפתחות, רשמו את שניהם עם כל שירות, שמרו אחד על מחזיק המפתחות ואחד במקום בטוח בבית. יש אנשים ששומרים שלישי בכספת בנק. חשבו על זה כמו מפתח חילוף לבית.
ההגדרה שלי
אני נושא YubiKey 5 NFC על מחזיק המפתחות שלי. יש לי YubiKey 5C NFC גיבוי בכספת הביתית שלי. שניהם רשומים עם כל שירות שחשוב. השקעה כוללת: כ-100 $. שקט נפשי: אין לו מחיר.
הגדרת מפתח האבטחה שלכם ב-Mac
Apple הפכה את הגדרת מפתחות חומרה לפשוטה ב-macOS. כך מתחילים:
עבור חשבון Apple שלכם
Apple הוסיפה תמיכה במפתחות אבטחה ב-iOS 16.3 ו-macOS 13.2. לכו להגדרות מערכת, לחצו על ה-Apple ID שלכם למעלה, בחרו התחברות ואבטחה, ומצאו מפתחות אבטחה. לחצו על הוסף ועקבו אחר ההנחיות. תצטרכו להכניס את המפתח ולגעת בו כשתתבקשו. Apple דורשת שתרשמו לפחות שני מפתחות, מה שמהווה עיצוב חכם.
לאחר ההגדרה, כל התחברות לחשבון Apple שלכם במכשיר חדש תדרוש אחד מהמפתחות הפיזיים שלכם. לא עוד קודים בני שש ספרות. לא עוד חלונות קופצים של "סמוך על מכשיר זה" שתוקפים יכולים לנצל.
להתחברות ל-Mac
אתם יכולים גם להשתמש ב-YubiKey שלכם כדי להתחבר ל-Mac עצמו. זה דורש הגדרת אימות כרטיס חכם או שימוש בפונקציונליות PIV (Personal Identity Verification) של YubiKey. Yubico מספקת כלי בשם YubiKey Manager שעוזר להגדיר את זה. התהליך כולל יצירת תעודה על המפתח והגדרת macOS לקבל אותו להתחברות.
הגדרת מפתח האבטחה שלכם ב-Windows
ל-Windows יש תמיכה מצוינת במפתחות אבטחה, אבל יש הסתייגות חשובה שצריך לדעת לפני הקנייה.
Windows Pro לעומת Windows Home
אם אתם רוצים להשתמש במפתח האבטחה שלכם כדי להתחבר ל-Windows עצמו, לא רק לאתרים, תצטרכו Windows 10 Pro או Windows 11 Pro. גרסאות Home תומכות במפתחות אבטחה לאימות אתרים דרך הדפדפן, אבל האינטגרציה המלאה של Windows Hello שמאפשרת להשתמש במפתח להתחברות ל-Windows דורשת גרסאות Pro או Enterprise. זה כי הטכנולוגיה הבסיסית מסתמכת על Azure AD ותכונות domain join ש-Microsoft שומרת לגרסאות עסקיות.
אם אתם מריצים Windows Home ורוצים את הפונקציונליות הזו, אתם יכולים לשדרג בכ-100 $. או שאתם יכולים להמשיך להשתמש במפתח האבטחה לשירותי אינטרנט תוך שימוש בסיסמה חזקה ו-Windows Hello PIN להתחברות ל-Windows. לא אידיאלי, אבל עדיין שיפור מסיבי לעומת קודי SMS.
עבור חשבון Microsoft
לכו ל-account.microsoft.com והתחברו. נווטו לאבטחה, אז אפשרויות אבטחה מתקדמות, מצאו את הסעיף דרכים להוכיח מי אתם, ובחרו הוסף דרך חדשה להתחבר. בחרו מפתח אבטחה, אז בחרו מכשיר USB או מכשיר NFC בהתאם לסוג המפתח שלכם. הכניסו את המפתח, צרו PIN למפתח כשתתבקשו, וגעו בו כדי להשלים את הרישום.
עבור חשבונות Microsoft 365 ארגוניים, התהליך תלוי בהגדרת Azure AD של הארגון שלכם. מחלקת ה-IT שלכם אולי תצטרך להפעיל אימות מפתח אבטחה. אם אתם מחלקת ה-IT, תרצו לבדוק את התיעוד של Microsoft על הגדרות מדיניות מפתחות אבטחה FIDO2 ב-Azure AD.
שירותים שתומכים במפתחות חומרה
היופי של מפתחות אבטחת חומרה הוא כמה אוניברסליים הם הפכו. הנה קומץ מהשירותים שאבטחתי עם שלי, אבל זה בקושי מגרד את פני השטח:
Google הייתה אחת מהחברות הגדולות הראשונות שתמכו במפתחות חומרה. בהגדרות האבטחה של חשבון Google שלכם, חפשו אימות דו-שלבי והוסיפו מפתח אבטחה. Google אפילו מציעה תוכנית הגנה מתקדמת למשתמשים בסיכון גבוה (עיתונאים, פעילים, מנהלים) שדורשת מפתחות אבטחה ומספקת הגנות נוספות.
GitHub
למפתחים, GitHub הוא לעתים קרובות המפתח לממלכה. הקוד שלכם, הנתונים שלכם, צינורות הפריסה שלכם. לכו להגדרות, סיסמה ואימות, והוסיפו מפתח אבטחה תחת שיטות דו-שלביות. GitHub תומך בשימוש במפתח האבטחה שלכם כשיטת האימות הראשית, לא רק כגורם שני.
Cloudflare
אם אתם מנהלים אתרים דרך Cloudflare, אבטחת החשבון הזה היא קריטית. תוקפים שפורצים לחשבון Cloudflare שלכם יכולים להפנות את התעבורה שלכם לכל מקום. בלוח הבקרה של Cloudflare, לכו לפרופיל שלי, אימות, והוסיפו מפתח אבטחת חומרה.
Stripe
לוח הבקרה לעיבוד תשלומים שלכם הוא אחד מהחשבונות הרגישים ביותר שיש לכם. Stripe תומך במפתחות חומרה בהגדרות החשבון שלכם תחת סעיף האבטחה. בהתחשב בכך ש-Stripe מטפל בכסף, זה צריך להיות אחד מהשירותים הראשונים שתאבטחו.
Slack
תקשורת עסקית מכילה מידע רגיש. Slack תומך במפתחות אבטחה בהגדרות ה-Workspace תחת אימות. אם אתם מנהל workspace, אתם יכולים לדרוש מפתחות אבטחה לכל החברים.
Vercel
אם אתם מפרסים אפליקציות אינטרנט דרך Vercel, הגנה על החשבון הזה מגינה על תשתית הייצור שלכם. Vercel תומך במפתחות חומרה בהגדרות האבטחה של החשבון שלכם.
הרשימה המלאה ממשיכה לגדול
מעבר לשירותים למעלה, מפתחות חומרה נתמכים על ידי: Amazon AWS, Microsoft Azure, Dropbox, Facebook, Instagram, Twitter/X, LinkedIn, Coinbase, Kraken, Binance, Bitwarden, 1Password, LastPass, Dashlane, Okta, Duo Security, DocuSign, Salesforce, Atlassian (Jira, Confluence), GitLab, Bitbucket, DigitalOcean, Heroku, Netlify, Fastmail, ProtonMail, Tutanota, Reddit, Discord, Twitch, Nintendo, PlayStation Network, Epic Games, EA, ומאות נוספים.
בדקו את קטלוג התאימות של Yubico לרשימה המלאה. זה באמת מרשים.
סדר העדיפויות
התחילו עם אלה בסדר: האימייל הראשי שלכם (שולט באיפוסי סיסמאות של הכל), מנהל הסיסמאות שלכם, החשבונות הפיננסיים שלכם, שירותי הענן שלכם. התרחבו משם. כל שירות שאתם מוסיפים עושה את החיים הדיגיטליים שלכם קשים יותר לפריצה.
מכשירים ניידים: טלפונים וטאבלטים
הטלפון שלכם הוא לעתים קרובות המפתח הראשי לחיים הדיגיטליים שלכם. אבטחתו עם אימות חומרה אפשרית, אם כי החוויה משתנה לפי פלטפורמה.
iPhone ו-iPad
עם חשבון Apple שלכם מאובטח במפתחות אבטחה (כמתואר למעלה), מכשירי ה-iOS שלכם יורשים את ההגנה הזו. אתם יכולים גם להשתמש ב-YubiKeys עם NFC על ידי החזקתם מול החלק העליון של ה-iPhone שלכם כשתתבקשו במהלך אימות. זה עובד לאתרים ב-Safari ואפליקציות שתומכות ב-WebAuthn.
Android
ל-Android יש תמיכה חזקה במפתחות אבטחה. מכשירי Android רבים יכולים להשתמש במפתחות USB-C ישירות. מפתחות NFC עובדים על ידי הקשתם על גב הטלפון. טלפוני Pixel של Google עובדים חלק עם YubiKeys הן להגנה על חשבון Google והן לאימות שירותי צד שלישי.
היתרונות והחסרונות
תנו לי להיות כנה לגבי היתרונות והפשרות של מעבר למפתחות אבטחת חומרה.
היתרונות
חסינות לפישינג: המפתח מגיב רק לשירות הלגיטימי. דפי התחברות מזויפים לא עובדים כי הם לא יכולים לייצר את האתגר הקריפטוגרפי הנכון. זה לבד הופך מפתחות חומרה לשווים את המחיר.
בלי תלות ברשת: בניגוד לקודי SMS או התראות push, המפתח שלכם עובד אופליין. בלי אות סלולרי? אין בעיה. הפסקת שירות באפליקציית האימות שלכם? לא משפיע עליכם.
מהירות: מגע וזהו. בלי הקלדת קודים בני שש ספרות. בלי המתנה להודעות. האימות לוקח כשנייה אחת.
שחזור חשבון: שירותים רבים מאפשרים לכם להשתמש במפתח האבטחה שלכם לשחזור חשבונות, תוך עקיפת אימייל או מספרי טלפון שעלולים להיות פרוצים.
האתגרים
תלות פיזית: אתם צריכים את המפתח אתכם. שכחתם אותו בבית ואולי תינעלו בחוץ. לכן אני שומר אחד על מחזיק המפתחות שלי.
סיכון אובדן: אבדו את כל המפתחות שלכם בלי קודי גיבוי ואתם עלולים להתמודד עם תהליכי שחזור חשבון קשים. חלק מהשירותים דורשים אימות זהות שלוקח ימים.
זמן הגדרה ראשוני: הוספת מפתחות לכל השירותים שלכם לוקחת כמה שעות בהתחלה. זו השקעה חד-פעמית, אבל זו עבודה אמיתית.
עלות: מפתחות אבטחה טובים עולים 50 עד 70 $ כל אחד. קנייה של שניים משמעותה 100 עד 140 $ מראש. לרוב האנשים, זה מחיר קטן עבור הגנה משמעותית, אבל זה לא בחינם.
פערי תאימות: לא כל שירות תומך במפתחות חומרה עדיין. בנקים איטיים במיוחד לאמץ אותם, באירוניה בהתחשב במה שהם מגינים. ייתכן שעדיין תצטרכו שיטות אימות חלופיות לחלק מהחשבונות.
"אי הנוחות של לשאת מפתח אבטחה היא כלום בהשוואה לאי הנוחות של גניבת זהות. ראיתי את ההשלכות. לוקח חודשים להתאושש, אם אי פעם מתאוששים לגמרי."
הפיכתו לזהות האוניברסלית שלכם
כאן מפתחות אבטחת חומרה הופכים לחזקים באמת: הם יכולים להפוך לזהות הדיגיטלית המאוחדת והיחידה שלכם בכל מה שאתם עושים.
ה-YubiKey שלכם הוא לא רק גורם שני. יישומים מודרניים מאפשרים לכם להשתמש בו כאימות ראשי. שירותים כמו GitHub תומכים כעת בהתחברות ללא סיסמה עם מפתחות אבטחה. Microsoft דוחפת passkeys, שהם בעצם טכנולוגיית מפתחות אבטחה מובנית במכשירים אבל יכולה גם לשכון על מפתחות חומרה ייעודיים. ה-iCloud Keychain של Apple יכול לסנכרן passkeys, אבל מפתח חומרה נותן לכם משהו שקיים מחוץ לכל מערכת אקולוגית בודדת.
הגדרתי את מפתח האבטחה שלי כך שהוא רשום בכל מקום שחשוב: המערכת האקולוגית האישית שלי של Apple, חשבון העבודה שלי ב-Microsoft, כלי הפיתוח שלי (GitHub, Vercel, Cloudflare), השירותים הפיננסיים שלי (Stripe, הבנקים שלי שתומכים בזה), התקשורת שלי (Slack, אימייל). אסימון פיזי אחד, שליטה מוחלטת.
להתחיל היום
מוכנים לשדרג את האבטחה שלכם? הנה תוכנית הפעולה שלכם:
שלב 1: קנו שני מפתחות YubiKey 5 NFC (או 5C NFC אם אתם צריכים USB-C). תקציבו כ-100 $ בסך הכל.
שלב 2: התחילו עם חשבון האימייל הראשי שלכם. זה המפתח הראשי ששולט באיפוסי סיסמאות של כל השאר.
שלב 3: הוסיפו את מנהל הסיסמאות שלכם אחר כך. אם אתם משתמשים ב-1Password, LastPass, Bitwarden או Dashlane, כולם תומכים במפתחות חומרה.
שלב 4: עברו על החשבונות הקריטיים שלכם: שירותים פיננסיים, פלטפורמות ענן, כלי פיתוח, שירותי תקשורת.
שלב 5: רשמו את שני המפתחות עם כל שירות. שמרו אחד אתכם, אחסנו אחד בביטחון כגיבוי.
שלב 6: שמרו קודי גיבוי שהשירותים מספקים. אחסנו אותם אופליין, באופן אידיאלי מודפסים או במיקום בטוח נפרד מהמפתחות שלכם.
צריכים עזרה עם ההגדרה?
אם אתם באזור Mobile, Alabama, אני מציע ייעוץ טכנולוגי דרך Greek-Fire Services. אני יכול להדריך אתכם בתהליך ההגדרה המלא ולעזור לאבטח את החיים הדיגיטליים שלכם.
השורה התחתונה
מפתחות אבטחת חומרה מייצגים את תקן הזהב הנוכחי להגנה על הזהות הדיגיטלית שלכם. הם לא מושלמים. הם דורשים השקעה ראשונית קטנה ומעט התאמה לתהליך העבודה שלכם. אבל הם מספקים משהו ששום דבר אחר לא יכול: הוכחה פיזית וניתנת לאימות שאתם, ורק אתם, ניגשים לחשבונות שלכם.
בעולם שבו דליפות מידע הן חדשות שבועיות, שבו מתקפות החלפת SIM הולכות ונפוצות יותר, ושבו כל החיים הפיננסיים והמקצועיים שלנו קיימים בענן, חתיכת חומרה ב-50 $ שנכנסת למחזיק המפתחות שלכם היא ביטוח טוב במיוחד.
למדתי את השיעור הזה ב-2:47 בלילה, כשצפיתי במישהו מנסה לרוקן את החשבונות שלי בזמן אמת. אתם לא חייבים. חשבו על זה כהזדמנות שלכם לדלג על הדרך הקשה.
