דלגו לתוכן
אבטחה לעסק12 בספטמבר 20259 דק׳ קריאה

אימות רב-שלבי (MFA) בעסק: המדריך שיחסוך לכם את הפריצה הבאה

מעל 17.68 מיליארד חשבונות שנפרצו כבר מסתובבים ברשת, ומחקרי Microsoft מראים ש-MFA מפחית את סיכון ההשתלטות ביותר מ-99%. מדריך מעשי לעסק: איזו שיטת אימות לבחור, איפה להדליק קודם, תוכנית הטמעה שעובדת גם מול עובדים מתנגדים — ואיך לא ליפול למתקפות הצפת אישורים.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

שעה 06:40 בבוקר, ומישהו נכנס לתיבת המייל של מנהלת החשבונות שלכם. הוא לא ״פרץ״ לשום דבר — הוא פשוט התחבר, עם כתובת המייל והסיסמה הנכונות, שנקנו בכמה דולרים ממאגר דליפות. אין התראה, אין נורית אדומה. במשך שבועיים הוא קורא את כל התכתובות עם הספקים, ואז שולח ללקוח הגדול ביותר שלכם חשבונית ״מעודכנת״ עם מספר חשבון אחר. זה תסריט שחוזר על עצמו שוב ושוב אצל עסקים ישראליים — וברוב המוחלט של המקרים, בקרה אחת פשוטה הייתה עוצרת אותו בשנייה הראשונה: אימות רב-שלבי.

רגע, מה זה בעצם MFA?

אימות רב-שלבי (MFA — Multi-Factor Authentication, ולעיתים 2FA כשמדובר בשני שלבים) מוסיף לסיסמה גורם אימות נוסף מסוג אחר: משהו שאתם יודעים (סיסמה), משהו שיש ברשותכם (טלפון, אפליקציית אימות, מפתח פיזי) או משהו שאתם הם (טביעת אצבע, זיהוי פנים). הרעיון פשוט: גם אם הסיסמה נגנבה — ורוב הסיכויים שאיזושהי סיסמה שלכם כבר נגנבה — התוקף עדיין לא יכול להיכנס בלי הגורם השני.

למה סיסמה לבדה כבר לא מגינה על כלום

ההנחה שסיסמה ״חזקה״ מספיקה מתעלמת מהמציאות הפשוטה: הסיסמאות שלכם כבר בחוץ, או יהיו שם בקרוב. שירות Have I Been Pwned, המאגר הציבורי הגדול בעולם לדליפות אישורי גישה, מכיל נכון ליולי 2026 יותר מ-17.68 מיליארד חשבונות שנחשפו ביותר מאלף דליפות שונות. רק ב-2025 נוסף אליו, לפי טרוי האנט מייסד השירות, מאגר Credential Stuffing אחד ובו כמעט 2 מיליארד כתובות מייל ייחודיות וכ-1.3 מיליארד סיסמאות. הסיסמאות האלה לא שוכבות סתם: תוקפים מריצים אותן באופן אוטומטי מול שירותי מייל, מערכות ענן וחשבונות בנק — ומנצלים את ההרגל האנושי הכי נפוץ ברשת, שימוש חוזר באותה סיסמה בכמה שירותים.

וזה רק ערוץ אחד. לפי דוח Verizon DBIR 2026, אישורי גישה גנובים מופיעים בכ-39% מאירועי הפריצה שנחקרו. בישראל התמונה דומה: לפי נתוני מערך הסייבר הלאומי ל-2025, פישינג היה וקטור התקיפה הנפוץ ביותר — כמחצית מהדיווחים — עם כ-13,700 דיווחי פישינג בשנה אחת, עלייה של 35% לעומת השנה הקודמת. מייל פישינג אחד מוצלח, שגם עובד חכם יכול ליפול בו, מספיק כדי שסיסמה ארגונית תגיע לידיים הלא נכונות. השאלה היא לא אם סיסמה תדלוף — אלא מה יקרה כשזה יקרה.

מה המספרים אומרים: הבקרה המשתלמת ביותר שיש

על אפקטיביות ה-MFA יש נתונים חד-משמעיים במיוחד. עוד ב-2019 פרסמה Microsoft את ההערכה המצוטטת ביותר בתחום: הפעלת MFA חוסמת מעל 99.9% ממתקפות ההשתלטות על חשבונות — בעיקר המתקפות האוטומטיות, שהן הרוב המוחלט. ב-2023 חזרה Microsoft לשאלה עם מחקר מדידה שיטתי על נתוני מערך הזהויות שלה (Azure AD), והמספרים נשארו דרמטיים: MFA מפחית את הסיכון להשתלטות על חשבון ב-99.22% בממוצע — וגם כשהסיסמה כבר דלפה ונמצאת בידי התוקף, הסיכון יורד ב-98.56%. מחקר משותף של Google עם אוניברסיטאות NYU ו-UCSD מצא תמונה דומה, וגם נתון מהשטח: כש-Google צירפה אוטומטית יותר מ-150 מיליון משתמשים לאימות דו-שלבי, מספר החשבונות שנפרצו בקבוצה הזו ירד ב-50%.

אינפוגרפיקה: נתוני אפקטיביות של אימות רב-שלבי — 99.9% חסימת מתקפות לפי Microsoft 2019, הפחתת סיכון של 99.22% במחקר Microsoft 2023, ו-98.56% גם כשהסיסמה דלפה
מקורות: Microsoft Security Blog (2019), מחקר מדידה של Microsoft על נתוני Azure AD (2023), Google (2022)

חשוב להיות מדויקים: המספרים האלה מתייחסים בעיקר למתקפות רחבות ואוטומטיות. מול תוקף ממוקד ומתוחכם שמפעיל דיוג בזמן אמת, לא כל שיטת MFA מחזיקה מעמד באותה מידה — ולזה נגיע מיד. אבל בשורה התחתונה, אין עוד בקרת אבטחה אחת שמורידה כל כך הרבה סיכון, בעלות כל כך נמוכה: ברוב הפלטפורמות שהעסק שלכם כבר משלם עליהן, MFA כלול במחיר ומחכה רק שתדליקו אותו.

לא כל MFA נולד שווה: השוואת השיטות

כאן נמצא הניואנס שרוב המדריכים מפספסים. ״יש לנו MFA״ זו לא תשובה מלאה — השאלה היא איזה. מחקר Google–NYU–UCSD בדק את השיטות השונות מול שלושה סוגי מתקפות, וההבדלים משמעותיים דווקא במקום שהכי כואב: מתקפות ממוקדות.

קוד ב-SMS הוא נקודת הפתיחה הנפוצה — ועדיין שדרוג עצום לעומת סיסמה בלבד: במחקר של Google הוא חסם 100% מהבוטים האוטומטיים ו-96% ממתקפות הפישינג ההמוניות. אבל מול מתקפות ממוקדות הוא חסם רק 76%, והוא חשוף לשתי חולשות מובנות: התוקף יכול לפתות אתכם להקליד את הקוד באתר מזויף, או להשתלט על הקו הסלולרי עצמו ב-SIM Swap — שיטה שבנק ישראל מנה בין שיטות ההונאה הבולטות נגד ישראלים. אפליקציית אימות (Google Authenticator, Microsoft Authenticator וכדומה) מייצרת קוד מתחלף במכשיר עצמו, בלי תלות ברשת הסלולרית — שדרוג משמעותי. אישור בהתראה (Push) נוח עוד יותר, ובמחקר של Google חסם 90% מהמתקפות הממוקדות. ובראש הפירמידה — מפתחות אבטחה פיזיים ו-Passkeys בתקן FIDO2: האימות קשור קריפטוגרפית לדומיין האמיתי של השירות, כך שאתר מתחזה פשוט לא יכול לקבל ממנו כלום. במחקר של Google, מפתחות אבטחה חסמו 100% מהמתקפות מכל הסוגים — כולל הממוקדות.

שיטהעמידות לפישינגחולשה מרכזיתלמי מתאים
קוד ב-SMSנמוכה — הקוד ניתן לגניבה באתר מזויףSIM Swap וגניבת קודים בהנדסה חברתיתנקודת פתיחה בלבד; עדיף מכלום
אפליקציית אימות (TOTP)בינונית — קוד עדיין ניתן להקלדה באתר מזויףדיוג בזמן אמתברירת מחדל טובה לרוב העובדים
אישור בהתראה + התאמת מספרבינונית-גבוההמתקפות הצפת אישורים (MFA Fatigue)ארגונים על Microsoft 365 / Google Workspace
Passkey / מפתח חומרה (FIDO2)גבוהה — עמיד לפישינג מעצם התכנוןעלות רכישה ולוגיסטיקה של מפתחות פיזייםמנהלים, אדמינים, גישה לכספים
אינפוגרפיקה: השוואת שיטות אימות רב-שלבי לפי רמת אבטחה — SMS, אפליקציית אימות, אישור בהתראה ומפתח חומרה או Passkey
אחוזי החסימה של מתקפות ממוקדות — לפי מחקר Google, NYU ו-UCSD (2019)
כלל האצבע שלנו מהשטח

אל תתעכבו על ״השיטה המושלמת״. עסק שמדליק היום MFA באפליקציית אימות לכל העובדים מוגן לאין ערוך יותר מעסק שמתלבט חצי שנה בין Passkeys לספקים שונים. מתחילים עם מה שכבר יש בפלטפורמה, ומשדרגים בהמשך את החשבונות הרגישים למפתחות עמידים לפישינג.

איפה מדליקים קודם: סדר העדיפויות הנכון

אם אי אפשר להדליק הכול בבת אחת — וברוב העסקים אי אפשר — זה הסדר שאנחנו ממליצים עליו, לפי נזק פוטנציאלי:

  1. המייל העסקי — לפני הכול. מי ששולט בתיבת המייל שולט בשחזור הסיסמה של כל שאר החשבונות, בהתכתבויות עם לקוחות ובחשבוניות. זו המטרה מספר אחת של תוקפים, וזו נקודת ההתחלה.
  2. חשבונות אדמין וניהול. חשבון Global Admin ב-Microsoft 365, מנהל-העל ב-Google Workspace, גישת ניהול לאתר ולספק האחסון. חשבון אדמין פרוץ אחד שווה את כל הארגון.
  3. Microsoft 365 / Google Workspace לכלל העובדים. בשתי הפלטפורמות MFA כלול בכל רישיון, כולל אכיפה מרכזית. אם אתם על 365, זה צעד אחד מתוך רשימת הקשחה רחבה יותר שכדאי להשלים.
  4. בנקאות עסקית, סליקה ומערכות כספים. כל מקום שממנו יוצא כסף או שבו מנוהלים פרטי אשראי של לקוחות.
  5. גישה מרחוק וכלי ליבה. VPN, שולחן עבודה מרוחק, CRM, מערכת הנהלת החשבונות, וכלי הענן שבהם יושב המידע הרגיש של העסק.

תוכנית הטמעה לעסק קטן: שבועיים, לא פרויקט שנתי

הטכנולוגיה היא החלק הקל — ההטמעה נופלת כמעט תמיד על אנשים ותהליך. כך נראית תוכנית עבודה ריאלית לעסק של 5–50 עובדים:

  1. מיפוי (יום אחד). רשימה של כל המערכות שדורשות התחברות, מי ניגש אליהן, והאם הן תומכות ב-MFA. ברוב העסקים מדובר ב-10–20 מערכות.
  2. בחירת שיטה. אפליקציית אימות או אישור בהתראה כברירת מחדל לכולם; Passkey או מפתח פיזי לאדמינים ולמורשי החתימה. SMS — רק כגיבוי, לא כשיטה ראשית.
  3. פיילוט על ההנהלה (שבוע). קודם המנכ״ל וההנהלה. גם כי החשבונות שלהם הכי רגישים, וגם כי אין מסר חזק יותר לעובדים מ״גם אני עברתי את זה, לוקח שתי דקות״.
  4. תקשור לעובדים. הודעה קצרה ומכבדת: למה עושים את זה (להגן גם עליהם, לא רק על העסק), מה נדרש מהם, ולמי פונים אם משהו נתקע. בלי איומים ובלי ז׳רגון.
  5. רישום בגלים + אכיפה. מחלקה-מחלקה, עם עמדת עזרה זמינה. בסוף התהליך עוברים ממצב ״מומלץ״ למצב מחייב — ב-Microsoft 365 וב-Google Workspace זו הגדרה מרכזית אחת.
  6. נוהל שחזור מסודר. מגדירים מראש מה קורה כשעובד מחליף טלפון או מאבד אותו: קודי גיבוי שמורים, אימות זהות מול גורם מוגדר, ואיפוס מבוקר. נוהל שחזור רופף הוא הדלת האחורית שתוקפים מחפשים.

ומה עם ההתנגדויות? הן יגיעו, ורובן נשמעות אותו דבר: ״אין לי זמן לזה״, ״למה על הטלפון הפרטי שלי״, ״זה מסרבל את העבודה״. הניסיון שלנו: מתייחסים ברצינות, לא מוותרים על היעד. על טענת הזמן — ההתקנה לוקחת דקות ספורות, וברוב המערכות האימות הנוסף נדרש רק בהתחברות ממכשיר חדש או אחת לתקופה, לא בכל בוקר. על הטלפון הפרטי — אפליקציית האימות לא נותנת למעסיק שום גישה למכשיר ולא אוספת עליו מידע; ולעובדים שמסרבים בכל זאת, מפתח חומרה פיזי בעלות של כמה עשרות דולרים סוגר את הדיון. והכי חשוב: כשההנהלה עברה ראשונה ומדברת על זה כעל הגנה על העובדים עצמם — ההתנגדות ברוב המקרים מתאדה.

מתקפות MFA Fatigue: כשהתוקף מציף אתכם באישורים

חשוב להכיר גם את הצד השני: תוקפים למדו להתמודד עם MFA, ואחת השיטות הבולטות היא הצפת אישורים (MFA Fatigue או MFA Bombing). התוקף, שכבר מחזיק בסיסמה גנובה, מנסה להתחבר שוב ושוב — לפעמים עשרות פעמים, באמצע הלילה — והעובד מקבל מטח של התראות ״לאשר כניסה?״. מתישהו, מתוך עייפות או מתוך מחשבה שמדובר בתקלה, מישהו לוחץ ״אשר״. בחלק מהמקרים התוקף גם מתקשר, מציג את עצמו כתמיכת IT, ומבקש ״רק לאשר את ההתראה כדי שנסגור את התקלה״.

הכלל שכל עובד חייב להכיר

התראת אישור שהגיעה בלי שניסיתם להתחבר באותו רגע = מישהו אחר מחזיק בסיסמה שלכם. לעולם לא מאשרים — דוחים, מחליפים סיסמה מיד, ומדווחים לאחראי. שום גורם תמיכה לגיטימי לעולם לא יבקש מכם לאשר התראת כניסה או למסור קוד אימות.

ברמת ההגדרות, שלושה צעדים מצמצמים את הסיכון דרמטית: הפעלת התאמת מספר (Number Matching — העובד מקליד באפליקציה מספר שמוצג על מסך ההתחברות, כך שאי אפשר לאשר כניסה ״בטעות״), הצגת הקשר בהתראה (מיקום ואפליקציה מבקשת), והגבלת קצב ניסיונות האימות. ולחשבונות הרגישים באמת — מעבר ל-Passkeys או למפתח חומרה מייתר את כל התרחיש הזה: אין התראה לאשר, אין קוד לגנוב.

צ׳קליסט לשבוע הקרוב

  • מפו את המערכות הקריטיות: מייל, אדמין, בנק, סליקה, גישה מרחוק — ובדקו איפה MFA כבר פעיל ואיפה לא.
  • הדליקו MFA היום על המייל העסקי ועל כל חשבונות האדמין — לפני כל השאר.
  • בחרו שיטה ארגונית: אפליקציית אימות כברירת מחדל, מפתח חומרה או Passkey לאדמינים ולמורשי חתימה.
  • הפעילו התאמת מספר (Number Matching) אם אתם על Microsoft 365, ותכננו אכיפה מרכזית לכלל העובדים.
  • כתבו נוהל שחזור קצר: קודי גיבוי, מי מאמת זהות ואיך מאפסים — לפני שעובד ראשון מאבד טלפון.
  • תדרכו את העובדים בחמש דקות: למה זה חשוב, ומה עושים עם התראת אישור שלא ביקשו.

השורה התחתונה

מעטות ההחלטות באבטחת מידע שהן כל כך חד-משמעיות: אימות רב-שלבי חוסם את הרוב המוחלט של מתקפות ההשתלטות על חשבונות, עולה קרוב לאפס, וזמין כבר עכשיו בכל פלטפורמה שהעסק שלכם משתמש בה. הפער היחיד הוא ביצוע — מיפוי, סדר עדיפויות נכון, שיטה מתאימה לכל סוג משתמש, ותהליך הטמעה שלוקח את העובדים בחשבון. עסק שסוגר את הפער הזה השבוע מוריד מהשולחן את וקטור התקיפה הנפוץ ביותר נגד עסקים ישראליים.

לא בטוחים מאיפה להתחיל, או שההטמעה נתקעת באמצע? שירות ה-CISO החיצוני של Cybertis בונה לעסק שלכם את כל תוכנית האבטחה — מ-MFA ועד מדיניות מלאה — במחיר של אחוז ממשרת מנהל אבטחה מלאה. הפגישה הראשונה עלינו.

לשירות CISO חיצוני

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי מחייב. יישום בפועל תלוי במאפייני הארגון, במערכות שבשימוש ובדרישות הרגולציה החלות עליו, ומחייב בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il