מהו FIDO2?
FIDO2 הוא תקן פתוח לאימות משתמשים שפותח במטרה לאפשר הזדהות חזקה, מאובטחת ונוחה, ללא תלות בסיסמה מסורתית.
התקן מבוסס על עבודה משותפת של ארגון FIDO Alliance יחד עם ארגונים טכנולוגיים מובילים בעולם, במטרה ליצור שפה אחידה לאימות מאובטח במערכות שונות.
FIDO2 נשען על שני רכיבים מרכזיים.
האחד הוא WebAuthn, תקן דפדפן שמאפשר לאתרי אינטרנט ויישומי רשת לבצע אימות חזק מול המשתמש.
השני הוא CTAP, פרוטוקול שמאפשר תקשורת בין התקן מאמת, כמו מפתח אבטחה או טלפון חכם, ובין המכשיר שממנו המשתמש מתחבר.
כדי להבין את הייחוד של FIDO2 חשוב להבין כיצד פועל תהליך האימות.
בעת רישום ראשוני לשירות, נוצר עבור המשתמש זוג מפתחות קריפטוגרפיים.
מפתח אחד נשמר באופן פרטי ומאובטח על גבי ההתקן של המשתמש.
המפתח השני, הציבורי, נרשם אצל השירות או המערכת שאליה המשתמש ניגש.
בכל ניסיון התחברות עתידי, ההתקן חותם באופן קריפטוגרפי על אתגר שמגיע מהשרת.
השרת בודק את החתימה באמצעות המפתח הציבורי.
כך ניתן לאשר את זהות המשתמש בלי לשלוח סיסמה ברשת ובלי לחשוף סוד משותף שניתן לגנוב.
זהו שינוי מהותי לעומת מודלים מסורתיים.
כאשר ארגון משתמש בסיסמאות, מסד הנתונים שלו עלול להפוך למטרה עבור תוקפים.
כאשר נעשה שימוש ב FIDO2, אין סיסמה שניתן לדוג באמצעות דיוג באותו אופן, ואין צורך להסתמך על קוד חד פעמי שנשלח במסרון ועלול להיות פגיע במצבים מסוימים.
בנוסף, FIDO2 בנוי כך שהאימות קשור לדומיין הספציפי של השירות.
המשמעות היא שגם אם משתמש הובל לאתר מזויף שנראה דומה לאתר המקורי, המאמת לא יבצע אימות מול הדומיין הלא נכון.
זוהי שכבת הגנה חשובה מאוד מפני מתקפות דיוג.
מבחינת המשתמש, חוויית ההזדהות יכולה להיות פשוטה במיוחד.
במקום להקליד סיסמה ארוכה, ניתן לאשר התחברות באמצעות טביעת אצבע, זיהוי פנים, קוד מקומי של המכשיר, או נגיעה במפתח אבטחה פיזי.
מבחינת הארגון, מתקבלת שכבת אבטחה חזקה יותר, עם פחות תקלות הקשורות לאיפוסי סיסמה ופחות פגיעות לאיומים נפוצים.
לכן FIDO2 אינו רק שדרוג טכנולוגי.
מדובר בשינוי תפיסתי בגישת האימות, אשר מעביר את עולם הסייבר ממודל שמבוסס על סוד משותף למודל שמבוסס על קריפטוגרפיה חזקה וזהות מקומית מאומתת.
סוגי FIDO2
כאשר מדברים על סוגי FIDO2, חשוב להבין שלא מדובר במוצר יחיד אלא במסגרת טכנולוגית שיכולה לבוא לידי ביטוי בכמה תצורות שימוש.
ארגונים שונים בוחרים ליישם FIDO2 בהתאם לצרכים העסקיים, לרמת האבטחה הנדרשת, לסביבת המחשוב ולפרופיל המשתמשים.
אחד הסוגים הבולטים הוא שימוש במפתחות אבטחה פיזיים.
אלו התקנים ייעודיים, בדרך כלל קטנים וניידים, שמתחברים באמצעות USB, NFC או Bluetooth.
המשתמש מחבר את המפתח למחשב או מצמיד אותו לטלפון, ומאשר את ההתחברות במגע פשוט.
זהו פתרון פופולרי בארגונים שמבקשים רמת הגנה גבוהה במיוחד, בעיקר עבור מנהלים, אנשי IT, חשבונות בעלי הרשאות יתר, וצוותים שנחשפים למתקפות ממוקדות.
סוג נוסף הוא מאמתים מובנים במכשיר.
במקרה זה, הטלפון החכם, המחשב הנייד או מערכת ההפעלה עצמה משמשים כאמצעי FIDO2.
המשתמש יכול להזדהות באמצעות טביעת אצבע, זיהוי פנים או PIN מקומי שמאומת על גבי המכשיר.
פתרון זה נוח מאוד למשתמשים ומאפשר חוויית התחברות חלקה, בעיקר בארגונים שמעוניינים לעודד מעבר לאימות ללא סיסמה בלי להטיל עומס לוגיסטי של חלוקת התקני חומרה לכל העובדים.
קיים גם שימוש ב FIDO2 כגורם שני בתהליך אימות רב שלבי.
בתרחיש כזה, הארגון עדיין משתמש בשם משתמש וסיסמה, אך מוסיף שכבת הגנה נוספת באמצעות FIDO2.
זהו מודל מעבר יעיל עבור ארגונים שלא יכולים לעבור מיד לעולם נטול סיסמאות, אך רוצים כבר כעת לחזק את מערך האבטחה ולהפחית את הסיכון שנובע מגניבת סיסמאות.
לעומת זאת, יש ארגונים שבוחרים ביישום מלא של כניסה ללא סיסמה.
במודל זה, FIDO2 הוא האמצעי המרכזי להזדהות.
המשתמש אינו נדרש לזכור סיסמה כלל, אלא מאמת את עצמו באמצעות ההתקן המאושר או מנגנון ביומטרי מקומי.
גישה זו צוברת תאוצה בעולם, בעיקר כאשר פלטפורמות גדולות משלבות תמיכה רחבה ב passkeys המבוססים על עקרונות FIDO2.
עוד הבחנה חשובה קשורה לסוגי המשתמשים והסביבות.
יש פתרונות FIDO2 המתאימים במיוחד לעבודה פנים ארגונית מול תחנות קצה מנוהלות.
יש פתרונות המיועדים לגישה מרחוק למערכות ענן.
יש גם יישומים מותאמים לאתרי תוכן, מסחר אלקטרוני, בנקאות דיגיטלית, פורטלים ממשלתיים ושירותים עתירי משתמשים.
ברמה הפרקטית, סוג הפתרון המתאים תלוי בשאלות כמו מהי רמת הרגישות של המידע, עד כמה המשתמשים טכנולוגיים, מהו התקציב, אילו מערכות יש לחבר, ואילו דרישות רגולציה חלות על הארגון.
לכן תהליך בחירה נכון של פתרון FIDO2 דורש היכרות עמוקה עם הצרכים העסקיים ועם מרכיבי התשתית הקיימת.
הטכנולוגיה עצמה גמישה מאוד, אך ההצלחה האמיתית נובעת מהתאמה נכונה בין התקן ובין המציאות הארגונית.
מי צריך FIDO2
התשובה הקצרה היא שכמעט כל גוף שמנהל זהויות דיגיטליות יכול להפיק תועלת משמעותית מ FIDO2.
עם זאת, יש קבוצות שעבורן המעבר לפתרונות כאלה חשוב במיוחד.
ארגונים עסקיים הם הקבוצה הבולטת ביותר.
חברות מכל תחום מחזיקות מערכות דואר אלקטרוני, שירותי ענן, מערכות ERP, מערכות CRM, מאגרי לקוחות ויישומים ארגוניים רגישים.
כל אחת מהמערכות הללו עלולה להפוך לנקודת כניסה לתוקפים אם ההגנה עליהן אינה מספקת.
FIDO2 מאפשר לחזק את בקרת הגישה ולצמצם מאוד את ההסתמכות על סיסמאות שניתנות לגניבה.
ארגונים שיש בהם עובדים מרחוק זקוקים ל FIDO2 אף יותר.
מאז התרחבות מודל העבודה ההיברידית, עובדים מתחברים למערכות מתוך הבית, מהדרך, מבתי קפה ומסביבות שאינן נשלטות לחלוטין על ידי הארגון.
במצב כזה, אימות חזק ועמיד לדיוג הופך לקריטי.
FIDO2 מספק מענה יעיל לאתגר הזה.
גם מוסדות פיננסיים, חברות ביטוח, גופים רפואיים וארגונים ממשלתיים נמצאים ברשימת היעד הטבעית של הפתרון.
גופים אלה מטפלים במידע רגיש מאוד, ולעיתים כפופים לדרישות רגולציה מחמירות.
כל דליפת זהות או השתלטות על חשבון עלולה לגרור נזק כלכלי, משפטי ותדמיתי חמור.
במקרים כאלה, FIDO2 מסייע לא רק בהגנה טכנולוגית אלא גם בהצגת בשלות אבטחתית מול לקוחות, שותפים ורגולטורים.
חברות טכנולוגיה, סטארטאפים וספקי SaaS יכולים להשתמש ב FIDO2 גם כדי להגן על תשתיות פנימיות וגם כדי להציע ללקוחותיהם מנגנון התחברות מתקדם.
כאשר מוצר דיגיטלי מציע כניסה מאובטחת ונוחה יותר, הוא משפר את חוויית המשתמש ומחזק את האמון במותג.
לצד זאת, גם משתמשים פרטיים יכולים ליהנות מאוד מהטכנולוגיה.
אנשים שמנהלים חשבונות דואר, שירותי אחסון, רשתות חברתיות, ארנקים דיגיטליים או מערכות בנקאיות, חשופים כיום למתקפות רבות.
שימוש ב FIDO2 דרך טלפון חכם או מפתח אבטחה יכול להפחית באופן משמעותי את הסיכון להשתלטות על חשבונות.
מעבר לכך, יש אוכלוסיות שבהן הערך של FIDO2 בולט במיוחד.
מדובר באנשי הנהלה בכירה, מנהלי כספים, אנשי אבטחת מידע, מנהלי מערכת, מפתחים בעלי גישה למאגרי קוד, עיתונאים, עורכי דין, רואי חשבון, יועצים חיצוניים וכל מי שמחזיק גישה למידע רגיש או למערכות קריטיות.
אנשים אלה מהווים לעיתים יעד מועדף למתקפות ממוקדות, ולכן הגנה חזקה על זהותם הכרחית.
במילים אחרות, מי שצריך FIDO2 הוא כל מי שמבין שחשבון משתמש הוא שער כניסה למידע, לכסף, למוניטין ולפעילות העסקית.
ככל שהחשיפה גדולה יותר, כך הערך של אימות מבוסס FIDO2 עולה.
סטטיסטיקות מישראל בנושא FIDO2
בישראל, השיח סביב FIDO2 מתחזק במקביל לעלייה במודעות לסיכוני סייבר, לדרישות רגולציה ולהתרחבות השימוש בשירותים דיגיטליים.
אף שאין תמיד מאגר ציבורי אחד שמרכז נתוני אימוץ מדויקים רק עבור FIDO2, ניתן לזהות מגמות ברורות מהשוק המקומי ומהנתונים הרחבים של תחום האימות המאובטח.
ישראל היא אחת המדינות המובילות בעולם בחדשנות סייבר.
פועלות בה אלפי חברות טכנולוגיה, מרכזי פיתוח בינלאומיים, ארגונים פיננסיים מתקדמים, תשתיות לאומיות רגישות ומערכות ממשלתיות דיגיטליות.
היקף החשיפה לאיומי זהות גבוה, ולכן גוברת הדרישה לפתרונות אימות חזקים יותר.
לפי פרסומים שונים של גופי סייבר בישראל בשנים האחרונות, אחוז משמעותי מהאירועים מתחיל בגניבת פרטי גישה, דיוג, או ניצול חולשות במנגנוני התחברות.
משמעות הדבר היא שהחוליה האנושית וזהות המשתמש הן מוקד מרכזי שדורש חיזוק.
בקרב ארגונים ישראליים גדולים, בעיקר במגזר הפיננסי, הביטחוני, הממשלתי וההייטק, ניכרת מגמה של מעבר לאימות רב שלבי מתקדם, כאשר FIDO2 הופך בהדרגה לאופציה מועדפת הודות לעמידות הגבוהה שלו מול דיוג.
בנוסף, העלייה בשימוש בפלטפורמות ענן בינלאומיות, שתומכות כיום באופן רחב ב FIDO2, מאיצה את האימוץ המקומי.
גם בשוק העבודה הישראלי קיימת השפעה ברורה.
המעבר לעבודה היברידית, חיבור מרחוק למערכות פנים ארגוניות, ושימוש במכשירי קצה מגוונים, יצרו לחץ על מחלקות IT ואבטחת מידע לשפר את מנגנוני ההזדהות.
במקרים רבים, ארגונים שגילו עלייה בפניות לאיפוס סיסמאות או באירועי דיוג החלו לבחון הטמעת FIDO2 כחלק ממדיניות Zero Trust.
מבחינת משתמשי קצה, ישראל מציגה בשלות דיגיטלית גבוהה יחסית.
הציבור רגיל להשתמש בזיהוי ביומטרי בטלפונים, באפליקציות בנקאיות, בארנקים דיגיטליים ובשירותים מקוונים מתקדמים.
לכן חסם האימוץ ההתנהגותי נמוך יותר לעומת שווקים אחרים.
ככל שפלטפורמות גדולות מציעות passkeys ותמיכה רחבה באימות מתקדם, כך גם השוק הישראלי מאמץ את המודל מהר יותר.
ראוי לציין שגם הרגולציה הישראלית, באופן ישיר או עקיף, מעודדת חיזוק של בקרות גישה.
גופים פיננסיים, גופים המחזיקים מידע רפואי, ספקים של שירותים דיגיטליים וארגונים הכפופים לתקני אבטחה בינלאומיים, נדרשים להראות בקרה טובה יותר על זהויות והרשאות.
במובן הזה, FIDO2 משתלב היטב עם כיוון השוק.
אם מסתכלים על ישראל מזווית של סיכונים, ניתן לומר שהשילוב בין רמת איום גבוהה, תלות דיגיטלית רחבה, יכולות טכנולוגיות מתקדמות ומודעות סייבר הולכת וגוברת, יוצר תנאים אידיאליים להתרחבות השימוש ב FIDO2.
הצפי הוא שבשנים הקרובות יותר ארגונים מקומיים יאמצו פתרונות כאלה, הן עבור עובדים והן עבור לקוחות.
שירותי קורל טכנולוגיות בנושא FIDO2
קורל טכנולוגיות מספקת מענה מקצועי לארגונים ועסקים שמבקשים לתכנן, ליישם ולשפר מערכי אימות מאובטחים המבוססים על FIDO2.
בתחום מורכב כמו ניהול זהויות ואבטחת גישה, לא מספיק לבחור מוצר.
נדרש תהליך מקצועי שמתחיל בהבנת הסיכון, ממשיך בהתאמה ארכיטקטונית נכונה, ומסתיים בהטמעה מבוקרת שתומכת הן בצרכי האבטחה והן בחוויית המשתמש.
אחד השירותים המרכזיים הוא ייעוץ ואפיון פתרון FIDO2 בהתאם למבנה הארגון.
בשלב זה נבחנים סוגי המשתמשים, מערכות המידע הקיימות, שיטות ההתחברות הנהוגות, דרישות רגולציה, פרופיל האיומים ורמת הבשלות הטכנולוגית.
המטרה היא לבנות תוכנית ישימה ולאמץ מודל שמתאים באמת לארגון, ולא רק מבחינה תאורטית.
קורל טכנולוגיות מלווה גם בתכנון אינטגרציה של FIDO2 עם מערכות קיימות.
מדובר לעיתים בשילוב עם ספקי זהויות, שירותי ענן, מערכות SSO, סביבות Microsoft, Google Workspace, יישומים פנים ארגוניים, פורטלים ללקוחות, מערכות VPN ושירותים רגישים נוספים.
התאמה נכונה בין הרכיבים קריטית כדי לייצר חוויית אימות עקבית, יציבה ובטוחה.
שירות חשוב נוסף הוא הטמעה של מנגנוני כניסה ללא סיסמה או חיזוק תהליכי MFA באמצעות FIDO2.
בחלק מהארגונים נכון להתחיל בפיילוט מצומצם עבור אוכלוסיות רגישות.
בארגונים אחרים אפשר לבצע פריסה רחבה יותר כבר מהשלב הראשון.
קורל טכנולוגיות מסייעת לבנות תוכנית מעבר הדרגתית שמקטינה התנגדויות ומאפשרת שליטה בתהליך.
הדרכה והטמעת משתמשים הן חלק בלתי נפרד מהצלחת הפרויקט.
גם פתרון טכנולוגי מעולה עלול להיכשל אם המשתמשים אינם מבינים כיצד להשתמש בו נכון.
לכן יש חשיבות גדולה להכנת נהלים, חומרי הסברה, הנחיות שימוש ותמיכה בשלבי ההשקה.
קורל טכנולוגיות מסייעת גם בהגדרת מדיניות אבטחה, נהלי התאוששות, רישום התקנים חלופיים וטיפול במקרי אובדן או החלפת ציוד.
בנוסף, הארגון יכול לקבל ליווי בבחינת סיכונים, התאמה לדרישות רגולציה ובקרה שוטפת על יעילות הפתרון.
שירות כזה חשוב במיוחד כאשר מדובר בארגונים שמחזיקים מידע רגיש, חשופים לביקורות, או נדרשים להציג רמת בקרה גבוהה מול לקוחות ושותפים.
הערך של קורל טכנולוגיות בתחום FIDO2 טמון ביכולת לחבר בין העולם ההנדסי, עולם הסייבר והצרכים העסקיים.
במקום לראות ב FIDO2 רק רכיב נקודתי, נבנית מעטפת כוללת שמטרתה לצמצם סיכונים, לשפר את נוחות השימוש ולבסס תהליך אימות מודרני ועמיד לאורך זמן.
שאלות ותשובות בנושא FIDO2
אחת השאלות הנפוצות היא האם FIDO2 מחליף לחלוטין סיסמאות.
התשובה היא שהוא יכול להחליף סיסמאות במלואן בסביבות מסוימות, אך יש ארגונים שבוחרים להשתמש בו תחילה כגורם אימות נוסף.
הגמישות הזו מאפשרת מעבר הדרגתי לפי רמת המוכנות של הארגון.
שאלה נפוצה נוספת היא האם FIDO2 בטוח יותר מקוד חד פעמי במסרון.
ברוב המקרים כן.
FIDO2 נחשב עמיד יותר מפני דיוג ומפני סוגים מסוימים של השתלטות על ערוצי תקשורת, משום שהוא מבוסס על קריפטוגרפיה ומאומת מול הדומיין האמיתי של השירות.
משתמשים רבים שואלים האם חייבים מפתח פיזי כדי להשתמש ב FIDO2.
לא בהכרח.
אפשר להשתמש גם במאמת מובנה במחשב או בטלפון חכם, כל עוד קיימת תמיכה מתאימה.
מפתח פיזי הוא אפשרות מצוינת, בעיקר לרמות אבטחה גבוהות או לתפקידים רגישים.
שאלה חשובה היא מה קורה אם המשתמש מאבד את המכשיר או את מפתח האבטחה.
לכן חשוב לתכנן מראש תהליך התאוששות מסודר.
ארגון שמטמיע FIDO2 צריך להגדיר אמצעי גיבוי, התקנים חלופיים, נהלי זיהוי מחדש ותהליך בטוח להחלפת אמצעי אימות.
ללא תכנון כזה, הנוחות עלולה להפוך לחסם תפעולי.
יש גם מי ששואל האם FIDO2 מתאים לאתרי תוכן או רק לארגונים גדולים.
התקן מתאים לכל סביבה שיש בה משתמשים שצריכים להזדהות באופן מאובטח.
באתרי תוכן עם אזורי חברים, מערכות מנויים, גישת עורכים או פאנל ניהול רגיש, FIDO2 יכול להיות רלוונטי מאוד.
שאלה נוספת היא האם הטמעת FIDO2 יקרה.
העלות תלויה במודל הנבחר, במספר המשתמשים, בצורך ברכישת התקנים פיזיים, במורכבות האינטגרציה וברמת הליווי הנדרשת.
עם זאת, במקרים רבים יש לחיסכון התפעולי משמעות רבה.
פחות איפוסי סיסמאות, פחות תקלות גישה ופחות אירועי אבטחה עשויים להצדיק את ההשקעה ואף להחזיר אותה לאורך זמן.
שאלה מרכזית היא האם FIDO2 מתאים לרגולציה ולתקנים מקובלים.
ברוב המקרים, התשובה חיובית מאוד.
מדובר בתקן מוכר, פתוח ומבוסס תעשייה, אשר משתלב היטב עם מדיניות אבטחה מתקדמת, עם גישות Zero Trust ועם דרישות לחיזוק האימות.
לבסוף, רבים שואלים האם המעבר ל FIDO2 מורכב למשתמשים.
כאשר התהליך מנוהל נכון, לרוב להפך.
המשתמשים נהנים מחוויית התחברות פשוטה, מהירה וטבעית יותר, במיוחד כאשר נעשה שימוש באמצעים ביומטריים או במנגנונים מקומיים שכבר מוכרים להם מהמכשירים האישיים.
מחפש FIDO2? פנה עכשיו!
