דלגו לתוכן
לקהל הרחב5 במרץ 20269 דק׳ קריאה

אימות דו-שלבי על כל חשבון חשוב: המדריך ל-30 דקות

Google מדדה ירידה של 50% בפריצות אצל 150 מיליון משתמשים שצורפו לאימות דו-שלבי — וחצי שעה אחת מספיקה לסגור את זה על כל החשבונות שלכם. מאיזה חשבון מתחילים (רמז: לא הבנק), איזו שיטה עדיפה, איך לא ננעלים בחוץ — וכלל הזהב היחיד של הקוד החד-פעמי.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

יום שלישי בערב, הודעת וואטסאפ מאחיינית: ״שלחו לי בטעות קוד בן שש ספרות למספר שלך, תוכל להעביר לי אותו?״ נשמע הגיוני, מעבירים — ותוך דקה הוואטסאפ כבר לא שלכם, וההודעה הבאה נשלחת בשמכם לכל אנשי הקשר. תרחיש אחר, שקט יותר: הסיסמה שלכם — זו שמשמשת גם למייל, גם לחנות אונליין וגם לאתר שנפרץ לפני שנתיים — צצה במאגר דלוף, ומישהו פשוט נכנס. מיליארדי סיסמאות כבר דלפו לרשת, והמשותף כמעט לכל השתלטות על חשבון הוא דבר אחד: הסיסמה הייתה קו ההגנה היחיד. את זה בדיוק בא לפתור אימות דו-שלבי — והחדשות הטובות הן שאפשר לסגור את הפינה הזו, על כל החשבונות החשובים, בחצי שעה אחת.

מה זה בעצם אימות דו-שלבי? עיקרון אחד פשוט: כדי להיכנס לחשבון לא מספיק משהו שאתם יודעים (הסיסמה) — צריך גם משהו שיש לכם (בדרך כלל הטלפון: קוד חד-פעמי, אישור בהקשה, או מפתח פיזי). תוקף שהשיג את הסיסמה שלכם — בדליפה, בפישינג או בניחוש — נעצר בשלב השני, כי הטלפון שלכם לא אצלו. זה כל הרעיון. לא מסובך, לא טכני, ובניגוד לדימוי — גם לא מציק: ברוב השירותים תתבקשו לאשר רק בכניסה ממכשיר חדש, לא בכל פעם.

רגע, 2FA? MFA? אימות דו-שלבי?

כל השמות מתארים את אותו רעיון: 2FA (Two-Factor Authentication), 2SV (2-Step Verification אצל Google), MFA (Multi-Factor Authentication — המונח הרחב, נפוץ בארגונים) ו״אימות דו-שלבי״ בעברית. עוד מונח שימושי: OTP — One-Time Password, הקוד החד-פעמי עצמו. במאמר נשתמש ב״אימות דו-שלבי״ ו-2FA לסירוגין.

המספרים: כמה זה באמת עוזר

זה לא ״עוד טיפ אבטחה״ — זה הצעד הבודד עם התשואה הגבוהה ביותר שמשתמש פרטי יכול לעשות, ויש לכך נתונים בקנה מידה שקשה להתווכח איתו. בפברואר 2022 דיווחה Google שצירפה אוטומטית יותר מ-150 מיליון משתמשים לאימות דו-שלבי — ובקבוצה הזו נמדדה ירידה של 50% בחשבונות שנפרצו לעומת התקופה שקדמה לצירוף.

עוד קודם לכן, ב-2019, מחקר משותף של Google עם חוקרים מאוניברסיטאות NYU ו-UCSD מדד את האפקטיביות של כל שיטת אימות מול סוגי תקיפה שונים. התוצאות: אישור בהקשה במכשיר (Device Prompt) חסם 100% מהבוטים האוטומטיים, 99% ממתקפות הפישינג ההמוניות ו-90% מהמתקפות הממוקדות. גם קוד ב-SMS — השיטה ה״חלשה״ — חסם 100% מהבוטים ו-96% מהפישינג ההמוני. במילים אחרות: כמעט כל ניסיונות ההשתלטות ״הרגילים״ — אלה שמופעלים בסיטונאות על סיסמאות דלופות — נעצרים בשלב השני. גם בישראל התמונה ברורה: פריצות לחשבונות ופישינג הם בין סוגי הדיווחים הנפוצים ביותר למערך הסייבר הלאומי, ורובם המוחלט מתחיל בסיסמה שנחשפה.

מאיפה מתחילים: סדר העדיפויות של משתמש ישראלי

אי אפשר (וגם לא צריך) לאבטח הכול בבת אחת. השאלה הנכונה היא: אם תוקף ישתלט על חשבון אחד — איזה מהם יגרום לנזק הגדול ביותר? התשובה כמעט תמיד מפתיעה אנשים: לא הבנק. המייל. מי ששולט בתיבת המייל שלכם יכול ללחוץ ״שכחתי סיסמה״ כמעט בכל שירות אחר — והקישור לאיפוס יגיע אליו. המייל הוא מפתח המאסטר של כל החיים הדיגיטליים שלכם, ולכן הוא תמיד ראשון. מכאן והלאה, זה הסדר שאנחנו ממליצים עליו:

  1. המייל הראשי (Gmail, Outlook וכו׳) — נקודת האיפוס של כל שאר החשבונות. אם תעשו רק דבר אחד היום — זה הדבר.
  2. בנק, כרטיסי אשראי וארנקים דיגיטליים — רוב הבנקים בישראל כבר מחייבים אמצעי זיהוי חזק באפליקציה, אבל שווה לוודא שגם הכניסה מהאתר מוגנת ושפרטי ההתקשרות מעודכנים.
  3. וואטסאפ — ערוץ התקשורת המרכזי בישראל, ויעד מועדף להשתלטויות. ההגנה: קוד PIN בן שש ספרות בהגדרות. פירטנו בהרחבה במדריך אבטחת הוואטסאפ שלנו.
  4. חשבון Google או Apple של המכשיר — מי ששולט בו שולט בטלפון עצמו: גיבויים, תמונות, מיקום, ולעיתים גם היכולת למחוק את המכשיר מרחוק. אם המייל שלכם הוא Gmail — סגרתם את שני הסעיפים במכה אחת.
  5. קופת חולים ו-gov.il — התיק הרפואי שלכם והזהות שלכם מול המדינה. מידע רגיש במיוחד, ולרוב ההגדרה שם פשוטה.
  6. רשתות חברתיות (פייסבוק, אינסטגרם, טיקטוק) — חשבון חטוף משמש כמעט תמיד להונאת החברים שלכם בשמכם.
  7. חשבונות עבודה — מייל ארגוני, Slack, מערכות פנימיות. אם הארגון לא כפה MFA, אל תחכו לו.
פירמידת סדר עדיפויות לאבטחת חשבונות באימות דו-שלבי: מייל ראשון, אחריו בנק, וואטסאפ, חשבון המכשיר, קופת חולים ו-gov.il, רשתות חברתיות וחשבונות עבודה
סדר העבודה המומלץ: מתחילים מהחשבון שמאפס את כל השאר

לא כל אימות נולד שווה: דירוג השיטות

כשמפעילים אימות דו-שלבי, רוב השירותים יציעו כמה שיטות. הדירוג מלמעלה למטה — וכלל האצבע החשוב באמת נמצא בסוף:

שיטהאיך זה עובדרמת הגנהמה חשוב לדעת
Passkey / מפתח חומרהאישור ביומטרי במכשיר או מפתח USB פיזיהגבוהה ביותרהאימות קשור לאתר האמיתי — עמיד גם מול אתר פישינג מתחזה. הדור הבא של הכניסה לחשבונות
אפליקציית אימות (Authenticator)קוד שמתחלף כל 30 שניות באפליקציה בטלפוןגבוההלא תלויה בקו הסלולרי — חסינה מפני חטיפת SIM. הבחירה המומלצת לרוב האנשים
אישור בהקשה במכשירהתראת ״האם זה אתה?״ שמאשרים בטלפוןגבוההחסם 99% מהפישינג ההמוני במחקר Google–NYU–UCSD
קוד ב-SMSקוד חד-פעמי בהודעת טקסטבסיסיתחשוף לחטיפת קו (SIM Swap) ולהתחזות — ועדיין טוב לאין ערוך מכלום
סיסמה בלבדנמוכהדליפה אחת של הסיסמה — והחשבון פתוח

על ה-SMS מילה כנה: נכון, הוא השיטה החלשה מבין החלופות — בנק ישראל מנה את חטיפת הקו הסלולרי (SIM Swap) בין שיטות ההונאה הבולטות בישראל ב-2024, ותוקף שמשתלט על המספר שלכם מקבל גם את הקודים שלכם. אבל הנתונים מהמחקר למעלה מדברים בעד עצמם: גם SMS חוסם את הרוב המכריע של המתקפות ההמוניות. לכן הכלל הוא פשוט — אפליקציית אימות עדיפה על SMS, ו-SMS עדיף בהרבה על כלום. אם שירות מסוים מציע רק SMS, הפעילו אותו בלי היסוס; אל תחכו לפתרון מושלם.

דירוג שיטות אימות דו-שלבי לפי רמת אבטחה: מפתח חומרה ו-Passkey בראש, אחריהם אפליקציית אימות, קוד SMS, וסיסמה בלבד בתחתית
מקור הנתונים: מחקר Google, NYU ו-UCSD (2019) ובלוג Google הרשמי (2022)

המדריך ל-30 דקות: איפה ההגדרה מסתתרת

ההתנגדות הכי נפוצה שאנחנו שומעים היא ״אין לי כוח לחפש את זה בהגדרות״. אז הנה המפה. התהליך בכל שירות דומה: נכנסים להגדרות האבטחה, בוחרים ״אימות דו-שלבי״, סורקים ברקוד עם אפליקציית האימות (או מזינים מספר טלפון), ומאשרים. הקדישו לכל חשבון 3–5 דקות:

  • Google: נכנסים ל-myaccount.google.com ← ״אבטחה״ ← תחת ״איך נכנסים לחשבון Google״ בוחרים אימות דו-שלבי ומפעילים. Google תציע אישור בהקשה במכשיר כברירת מחדל — מצוין, ואפשר להוסיף גם אפליקציית אימות ו-Passkey.
  • Apple: בהגדרות האייפון ← השם שלכם למעלה ← כניסה ואבטחה (Sign-In & Security) ← אימות דו-גורמי. בחשבונות Apple חדשים זה לרוב כבר פעיל — ודאו שמספר הטלפון המהימן מעודכן.
  • פייסבוק ואינסטגרם: הגדרות ← מרכז החשבונות (Accounts Center) ← ״סיסמה ואבטחה״ ← אימות דו-שלבי, ובוחרים את החשבון. העדיפו אפליקציית אימות על פני SMS.
  • וואטסאפ: הגדרות ← חשבון ← אימות דו-שלבי ← בוחרים PIN בן שש ספרות ומוסיפים כתובת מייל לשחזור. ה-PIN יידרש בכל רישום של המספר במכשיר חדש — וזה בדיוק מה שעוצר חוטפי חשבונות.
  • בנק וקופת חולים: באפליקציה חפשו ״אבטחה״ או ״אמצעי זיהוי״. חלק מהגופים כבר מחייבים זיהוי חזק — ואם לא, הפעילו כל שכבה שמוצעת.

טיפ מהשטח לפני שמתחילים: התקינו אפליקציית אימות אחת (Google Authenticator, Microsoft Authenticator או דומיהן) לפני שאתם עוברים על הרשימה — כך תוסיפו את כל החשבונות לאותה אפליקציה בסבב אחד. ואגב, אם אתם משתמשים במנהל סיסמאות, רבים מהם יודעים לשמש גם כאפליקציית אימות — פחות אפליקציות, אותה הגנה.

קודי גיבוי: התשובה לפחד מ״אנעל את עצמי בחוץ״

החשש שעוצר הרבה אנשים מלהפעיל 2FA הוא נעילה עצמית: ״ואם הטלפון יאבד? יישבר? ייגנב?״ חשש לגיטימי — עם פתרון בן שתי דקות. כמעט כל שירות שמציע אימות דו-שלבי מנפיק בעת ההפעלה קודי גיבוי (Backup Codes): רשימה של 8–10 קודים חד-פעמיים שכל אחד מהם מחליף את הטלפון פעם אחת. שמרו אותם — והפחד נעלם.

איך שומרים קודי גיבוי נכון

הדפיסו את הקודים או כתבו אותם ביד, ושמרו במקום שבו אתם שומרים מסמכים חשובים — לא כצילום מסך בגלריה של אותו טלפון שאתם מנסים לגבות. חלופה טובה: שמירה בכספת של מנהל הסיסמאות. ובנוסף — הגדירו בכל חשבון מייל וטלפון לשחזור ועדכנו אותם כשהם משתנים. שכבת השחזור היא חלק מההגנה, לא תוספת אופציונלית.

כלל הזהב של הקוד החד-פעמי

קוד אימות מקלידים רק באתר או באפליקציה שאתם פתחתם ביוזמתכם — ולעולם, בשום תרחיש, לא מוסרים אותו למי שפנה אליכם. משטרת ישראל ומערך הסייבר הזהירו מגל הונאות שבו המתקשר מציג את עצמו כשוטר, כנציג בנק או כ״מוקד סייבר״ ומבקש ״רק לאמת את הקוד שקיבלת״ — מסירת הקוד היא מסירת החשבון, וקודים גנובים משמשים גם לצירוף כרטיס האשראי שלכם לארנק דיגיטלי של התוקף. אין ולא יהיה גורם לגיטימי שמבקש קוד בטלפון. עוד על שיטות ההונאה האלה — במדריך ההישרדות להונאות SMS.

מחליפים טלפון? אל תשכחו לקחת את הקודים איתכם

הנקודה שהכי הרבה אנשים מפספסים: אפליקציית האימות לא עוברת אוטומטית לטלפון החדש עם שאר האפליקציות. לפני שמאפסים או מוסרים את המכשיר הישן, פתחו את אפליקציית האימות והשתמשו בכלי ההעברה המובנה (Transfer / Export accounts) — לרוב סריקת QR מהמכשיר החדש — או ודאו שסנכרון הענן של האפליקציה פעיל. עשו את זה כשהטלפון הישן עדיין בידיים שלכם ועובד. שכחתם והטלפון הישן כבר נמחק? כאן קודי הגיבוי שהדפסתם קונים את דרככם חזרה — ובלעדיהם מחכה לכם תהליך שחזור ארוך מול כל שירות בנפרד.

הצ׳קליסט לשבוע הזה

  1. היום, 5 דקות: הפעילו אימות דו-שלבי על המייל הראשי. זה החשבון שמאפס את כל השאר.
  2. התקינו אפליקציית אימות (Google Authenticator / Microsoft Authenticator) — לפני שממשיכים ברשימה.
  3. עברו על שבעת החשבונות לפי סדר העדיפויות: מייל ← בנק ← וואטסאפ ← חשבון Google/Apple ← קופת חולים ו-gov.il ← רשתות חברתיות ← עבודה.
  4. הדפיסו קודי גיבוי לכל חשבון ושמרו עם המסמכים החשובים.
  5. שדרגו מ-SMS לאפליקציה בכל שירות שמאפשר — ואם יש רק SMS, השאירו פעיל.
  6. קבעו כלל משפחתי: קוד אימות לא מוסרים לאף אחד, אף פעם — ותרגלו אותו גם עם ההורים והילדים.
  7. בדקו אם הסיסמאות שלכם כבר דלפוכך עושים את זה בחינם — והחליפו כל סיסמה שנחשפה.

חצי שעה של עבודה, פעם אחת — וסיסמה דלופה מפסיקה להיות סוף הסיפור. מכל ההמלצות בעולם האבטחה האישית, אין עוד אחת שנותנת כל כך הרבה תמורת כל כך מעט.

העובדים שלכם הם קו ההגנה הראשון של העסק — ואימות רב-שלבי הוא רק ההתחלה. Cybertis מלווה ארגונים בהטמעת MFA, בהדרכות מודעות ובבניית הגנה שעובדת ביומיום. דברו איתנו.

לתיאום שיחת היכרות

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי מחייב. מסכי ההגדרות והתפריטים המתוארים נכונים למועד הכתיבה ועשויים להשתנות בעדכוני גרסה של השירותים השונים.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il