Trace Id is missing
דלג לתוכן הראשי
האבטחה של Microsoft

מהו אימות?

למד כיצד זהויות של אנשים, היישומים והשירותים מאומתים לפני שהם מקבלים גישה למערכות ולמשאבים דיגיטליים.

גלה את 'מזהה Microsoft Entra'

האימות מוגדר

אימות הוא התהליך שחברות משתמשות בו כדי לאשר שרק האנשים, השירותים והאפליקציות המתאימים עם ההרשאות המתאימות יכולים לקבל גישה למשאבים ארגוניים. האימות הוא חלק חשוב בתחום של אבטחת סייבר כי גורמים עוינים יעדיפו תמיד לקבל גישה לא מורשית למערכות. הגורמים העוינים עושים זאת בגניבת שם המשתמש והסיסמאות של משתמשים שיש להם גישה למערכות. תהליך האימות כולל שלושה שלבים עיקריים:

  • זיהוי: משתמשים קובעים מי הם באמצעות שם משתמש בדרך כלל.
  • אימות: בדרך כלל, משתמשים מוכיחים שהם מי שהם באמצעות הזנת סיסמה (דבר שרק המשתמש אמור לדעת). אבל כדי לחזק את האבטחה, ארגונים רבים גם דורשים מהם להוכיח את זהותם באמצעות משהו חיצוני שלהם (טלפון או מכשיר אסימון) או משהו פיזי שלהם (טביעת אצבע או סריקת פנים).
  • אישור: המערכת מוודאת שלמשתמשים יש הרשאה למערכת שהם מנסים לגשת אליה.

מדוע האימות חשוב?

אימות חשוב כיוון שהוא עוזר לארגונים להגן על המערכות, הנתונים, הרשתות, האתרים והיישומים שלהם מפני מתקפות. האימות גם עוזר לאנשים לשמור על סודיות הנתונים האישיים שלהם, ומאפשר להם לנהל עסקים, כגון בנקאות או השקעות, באינטרנט ובסיכון נמוך יותר. כשתהליכי האימות חלשים, קל יותר לתוקף לסכן חשבון בניחוש סיסמאות בודדות או בהטעיית אנשים כדי שימסרו את האישורים שלהם. דבר כזה יכול להוביל לסיכונים הבאים:

כיצד אימות פועל

עבור אנשים, אימות כולל הגדרת שם משתמש, סיסמה ושיטות אימות אחרות, כגון סריקת פנים, טביעת אצבע או קוד PIN. כדי להגן על זהויות, שיטות האימות האלה אינן נשמרות במסד הנתונים של השירות. סיסמאות עוברות לפורמט Hash (אינן מוצפנות) וקודי Hash נשמרים במסד הנתונים. כשמשתמש מזין סיסמה, גם הסיסמה שהוזנה עוברת לפורמט Hash, ולאחר מכן מתבצעת השוואה בין פורמטי Hash. אם יש התאמה בין שתי סיסמאות Hash, אז מתאפשרת גישה. עבור טביעות אצבע וסריקות פנים, המידע מקודד, מוצפן ונשמר במכשיר.

סוגים של שיטות אימות

באימות מודרני, תהליך האימות מועבר למערכת זהויות מהימנה ונפרדת, בניגוד לאימות מסורתי שבו כל מערכת מאמתת ומזהה את עצמה. חל שינוי גם בסוג שיטות האימות שנמצאות בשימוש. רוב היישומים דורשים שם משתמש וסיסמה, אך ככל שגורמים עוינים הפכו מתוחכמים יותר בגניבת סיסמאות, קהילת האבטחה פיתחה מספר שיטות חדשות כדי לסייע בהגנה על זהויות.

אימות המבוסס על סיסמה

אימות המבוסס על סיסמה הוא צורת האימות הנפוצה ביותר. אפליקציות ושירותים רבים דורשים מאנשים ליצור סיסמאות שמשתמשות בשילוב של מספרים, אותיות וסמלים כדי להפחית את הסיכון שגורם עוין ינחש אותן. עם זאת, סיסמאות יוצרות גם שמישות ואתגרים. קשה לאנשים להמציא ולשנן סיסמה ייחודית לכל אחד מהחשבונות המקוונים שלהם, וזו הסיבה שהם עושים שימוש חוזר בסיסמאות לעיתים קרובות. ותוקפים משתמשים בשיטות רבות כדי לנחש או כדי לגנוב סיסמאות או כדי לפתות אנשים לשתף אותן נגד רצונם. מסיבה זו, ארגונים מחליפים סיסמאות בצורות אימות אחרות ומאובטחות יותר.

אימות המבוסס על אישורים

אימות המבוסס על אישורים הוא שיטה מוצפנת שמאפשרת למכשירים ולאנשים לזהות את עצמם בפני מכשירים ומערכות אחרים. שתי דוגמאות נפוצות הן כרטיס חכם או כשמכשיר של עובד שולח אישור דיגיטלי לרשת או לשרת.

אימות ביומטרי

באימות ביומטרי, אנשים מאמתים את זהותם באמצעות תכונות ביולוגיות. לדוגמה, אנשים רבים משתמשים באצבע או באגודל כדי להיכנס לטלפונים שלהם, וכמה מחשבים סורקים את הפנים או הרשתית של אדם כדי לאמת את זהותו. הנתונים הביומטריים מקושרים גם למכשיר ספציפי, כך שתוקפים לא יכולים להשתמש בהם מבלי לקבל גישה למכשיר. סוג זה של אימות הוא יותר ויותר פופולרי כי הוא קל לאנשים – הם לא צריכים לשנן שום דבר, וקשה לגורמים עוינים לגנוב, וזה הופך אותו למאובטח יותר מסיסמאות.

אימות המבוסס על אסימונים

באימות המבוסס על אסימונים, גם המכשיר וגם המערכת יוצרים מספר ייחודי חדש שנקרא PIN חד-פעמי מבוסס זמן (TOTP) כל 30 שניות. אם המספרים תואמים, המערכת מוודאת שלמשתמש יש את המכשיר.

סיסמה חד-פעמית

סיסמאות חד-פעמיות (OTP) הן קודים שנוצרו לאירוע כניסה ספציפי שתוקפם פג זמן קצר לאחר הנפקתם. הם מועברים באמצעות הודעות SMS, דואר אלקטרוני או אסימון חומרה.

הודעת דחיפה

חלק מהאפליקציות והשירותים משתמשים בהודעות דחיפה כדי לאמת משתמשים. במקרים אלה, אנשים מקבלים הודעה בטלפון שמבקשת מהם לאשר או לדחות את בקשת הגישה. כיוון שלפעמים אנשים מאשרים בטעות הודעות דחיפה למרות שהם מנסים להיכנס לשירותים ששלחו את ההודעה, שיטה זו משולבת לעיתים בשיטת OTP. עם OTP, המערכת יוצרת מספר ייחודי שהמשתמש צריך להזין. וכך האימות הופך לעמיד יותר לדיוג.

אימות קולי

באימות קולי, האדם שמנסה לגשת לשירות מקבל שיחת טלפון, שבה הוא מתבקש להזין קוד או להזדהות בעל פה.

אימות רב-גורמי

אחת הדרכים הטובות ביותר לצמצם את הפגיעה בחשבון היא לדרוש שתי שיטות אימות או יותר, שיכולות לכלול כל אחת מהשיטות שפורטו קודם לכן. שיטה מומלצת ויעילה היא לדרוש שתי אפשרויות מתוך האפשרויות הבאות:

  • משהו שהמשתמש יודע, לרוב זאת תהיה סיסמה.
  • משהו בבעלות המשתמש, למשל מכשיר מהימן שלא ניתן לשכפל בקלות, כגון טלפון או אסימון חומרה.
  • משהו פיזי של המשתמש, כגון סריקה של טביעת אצבע או פנים.

לדוגמה, ארגונים רבים מבקשים סיסמה (משהו שהמשתמש יודע) וגם שולחים OTP באמצעות SMS למכשיר מהימן (משהו שיש למשתמש) לפני שהם מאפשרים גישה.

אימות דו-גורמי

אימות דו-גורמי הוא סוג של אימות רב-גורמי שדורש שתי דרכים של אימות.

אימות לעומת מתן הרשאות

למרות שאימות, שמכונה לפעמים AuthN, ומתן הרשאות, שמכונה לפעמים AuthZ, משמשים לעיתים קרובות לסירוגין, הם שני דברים קשורים אך נפרדים. האימות מוודא שהמשתמש שנכנס למערכת הוא מי שהוא, בעוד שמתן הרשאות מאשר שיש לו את ההרשאות המתאימות לגשת למידע שהוא רוצה. לדוגמה, למישהו שעוסק במשאבי אנוש יכולה להיות גישה למערכות רגישות, כגון תיקי שכר או עובדים, שאחרים לא יכולים לראות. גם אימות וגם הרשאה הם קריטיים כדי לאפשר פרודוקטיביות והגנה על נתונים רגישים, קניין רוחני ופרטיות.

שיטות עבודה מומלצות לאבטחת אימות

כיוון שפגיעה בחשבון היא דרך נפוצה כל כך שתוקפים משתמשים בה כדי לקבל גישה לא מורשית למשאבים של חברה, חשוב להפעיל אבטחת אימות חזקה. לפניך כמה דברים שאתה יכול לעשות כדי להגן על הארגון שלך:

  • יישום של אימות רב-גורמי

    הדבר החשוב ביותר שאתה יכול לעשות כדי להפחית את הסיכון לפגיעה בחשבון הוא להפעיל אימות רב-גורמי ולדרוש שני גורמי אימות לפחות. לתוקפים הרבה יותר קשה לגנוב יותר משיטת אימות אחת, במיוחד אם אחת מהן היא ביומטרית או משהו ששייך למשתמש כמו מכשיר. כדי להפוך את האימות לפשוט ככל האפשר עבור העובדים, הלקוחות והשותפים, תן להם לבחור בין מספר גורמים שונים. אבל חשוב לציין שלא כל שיטות האימות זהות. חלקן בטוחות יותר מאחרות. לדוגמה, בעוד שקבלת SMS עדיפה מכלום, הודעת דחיפה מאובטחת יותר.

  • עבודה ללא סיסמה

    לאחר שתגדיר אימות רב-גורמי, תוכל גם להגביל את השימוש בסיסמאות ולעודד אנשים להשתמש בשתי שיטות אימות אחרות או יותר, כגון קוד PIN וביומטריה. צמצום השימוש בסיסמאות ומעבר לעבודה ללא סיסמה מייעל את תהליך הכניסה למערכת ויקטין את הסיכון לפגיעה בחשבון.

  • החל הגנה באמצעות סיסמה

    בנוסף למתן מידע לעובדים, יש כלים שאפשר להשתמש בהם כדי לצמצם את השימוש בסיסמאות קלות לניחוש. פתרונות הגנה באמצעות סיסמה מאפשרים לאסור על שימוש בסיסמאות נפוצות כמו Password1. ואתה יכול ליצור רשימה מותאמת אישית שמתאימה באופן ספציפי לחברה או לאזור שלך, כגון שמות של קבוצות ספורט מקומיות או ציוני דרך.

  • אפשר אימות רב-גורמי מבוסס סיכון

    אירועי אימות מסוימים הם סימנים לפגיעה, למשל שעובד מנסה לגשת לרשת שלך ממכשיר חדש או ממיקום לא מוכר. ייתכן שאירועי כניסה אחרים לא יהיו שגרתיים, אך הם בסיכון גבוה יותר. למשל שאיש מקצוע בתחום משאבי אנוש צריך לגשת למידע שמאפשר זיהוי אישי של עובד. כדי להפחית את הסיכון, הגדר את פתרון ניהול זהויות וגישה (IAM) כך שידרוש לפחות שני גורמי אימות כשהוא מזהה אירועים מסוג זה.

  • קבע סדרי עדיפויות לשימושיות

    אבטחה יעילה דורשת היענות מהעובדים ומבעלי עניין אחרים. מדיניות אבטחה יכולה לפעמים למנוע מאנשים לעסוק בפעילויות מקוונות מסוכנות, אבל אם המדיניות מעיקה מדי, אנשים ימצאו פתרון. הפתרונות הטובים ביותר מתאימים להתנהגות אנושית מציאותית. פרוס תכונות כגון איפוס סיסמה בשירות עצמי כדי שאנשים לא יצטרכו להתקשר לצוות התמיכה כשהם שוכחים סיסמה. ייתכן שאפשרות זו גם תעודד אותם לבחור סיסמה חזקה כיוון שהם יודעים שהיא תהיה קלה לאיפוס אם הם ישכחו אותה מאוחר יותר. מתן אפשרות לאנשים לבחור איזו שיטת הרשאה הם מעדיפים היא דרך טובה נוספת להקל את הכניסה שלהם למערכת.

  • פריסת כניסה יחידה

    תכונה נהדרת אחת שמשפרת את השימושיות ואת האבטחה היא  כניסה יחידה (SSO). איש לא אוהב שמבקשים ממנו סיסמה בכל פעם שהוא עובר מאפליקציה אחת לאחרת, וייתכן שכולנו רוצים להשתמש באותה סיסמה במספר חשבונות כדי לחסוך זמן. עם כניסה יחידה, עובדים צריכים להיכנס רק פעם אחת כדי לגשת לרוב האפליקציות שהם צריכים לעבודה או לכולן. כך אפשר להפחית את החיכוך, ולהחיל מדיניות אבטחה אוניברסלית או מותנית כמו אימות רב-גורמי, על כל התוכנה שעובדים משתמשים בה.

  • השתמש בעיקרון ההרשאות המינימליות

    הגבל את מספר החשבונות המורשים בהתאם לתפקידים, ותן לאנשים את ההרשאות המינימליות הדרושות להם כדי לבצע את עבודתם. הקמת בקרת גישה עוזרת להבטיח שפחות אנשים יוכלו להגיע לנתונים ולמערכות הרגישים ביותר שלך. כשמישהו אכן צריך לבצע משימה רגישה, השתמש באפשרות ניהול גישה מורשית, כגון הפעלה בדיוק בזמן עם משכי זמן, כדי להפחית את הסיכון עוד יותר. כך גם אפשר לדרוש שפעילויות ניהול יבוצעו רק במכשירים מאובטחים מאוד שהם נפרדים מהמחשבים שאנשים משתמשים בהם למשימות היומיומיות.

  • צא מנקודת הנחה שקיימת הפרה וערוך ביקורות סדירות

    בארגונים רבים, התפקידים והמעמד התעסוקתי של אנשים משתנים באופן תדיר. עובדים עוזבים את החברה או עוברים למחלקה אחרת. שותפים עוברים בין פרויקטים. אם כללי הגישה אינם עומדים בקצב, זו יכולה להיות בעיה. חשוב לוודא שאנשים לא ישמרו על גישה למערכות ולקבצים שהם כבר לא צריכים לעבודתם. כדי להפחית את הסיכון שתוקף ישיג מידע רגיש, השתמש בפתרון פיקוח על זהויות שבעזרתו אפשר לבצע ביקורת עקבית על החשבונות ועל התפקידים שלך. הכלים האלה גם עוזרים להבטיח שלאנשים תהיה גישה רק למה שהם צריכים ושחשבונות של אנשים שעזבו את הארגון לא יהיו פעילים יותר.

  • הגנה על זהויות מפני איומים

    פתרונותניהול זהויות וגישה כוללים כלים רבים שמסייעים לצמצם את הסיכון לפגיעה בחשבון, עם זאת, זה עדיין חכם לצפות להפרה. אפילו עובדים שמודעים לנושא יכולים להיות קרבן להונאות דיוג. כדי להגיע לפגיעה בחשבון כמה שיותר מוקדם, כדאי להשקיע בפתרונות הגנה מפני איומי זהות ולהטמיע מדיניות שעוזרת לחשוף פעילות חשודה ולתת לה מענה. פתרונות מודרניים רבים, כגון Copilot האבטחה של Microsoft, משתמשים בבינה מלאכותית כדי לא רק לזהות איומים אלא גם לתת להם מענה באופן אוטומטי.

פתרונות של אימות ענן

אימות הוא קריטי לתוכנית אבטחת סייבר חזקה וגם כדי לאפשר פרודוקטיביות של עובדים. פתרון מקיף מבוסס ענן לניהול זהויות וגישה, כמו Microsoft Entra, מספק כלים שעוזרים לאנשים לקבל בקלות את מה שהם צריכים כדי לבצע את עבודתם תוך יישום בקרות חזקות שמפחיתות את הסיכון שתוקפים יפגעו בחשבון ויקבלו גישה לנתונים רגישים.

קבל מידע נוסף על האבטחה של Microsoft

מזהה Microsoft Entra

הגן על הארגון שלך עם 'ניהול זהויות וגישה' (כונה בעבר Azure Active Directory).

מידע נוסף

ניהול מזהה Microsoft Entra

ודא אוטומטית שלאנשים המתאימים יש את הגישה המתאימה לאפליקציות המתאימות בזמן המתאים.

מידע נוסף

ניהול הרשאות ב- Microsoft Entra

קבל פתרון אחד ומאוחד לניהול ההרשאות לכל הזהויות בתשתית ריבוי העננים.

מידע נוסף

מזהה מאומת ב- Microsoft Entra

בצע ביזור לזהויות שלך עם שירות אישורים מנוהלים הניתנים לאימות שמבוסס על תקנים פתוחים.

מידע נוסף

זהות עומסי עבודה של Microsoft Entra

נהל ואבטח את הזהויות שמוענקות לאפליקציות ולשירותים.

מידע נוסף

שאלות נפוצות

  • קיימים סוגי אימות רבים. לפניך כמה דוגמאות:

    • אנשים רבים נכנסים לטלפונים שלהם באמצעות זיהוי פנים או טביעת אצבע. 
    • בנקים ושירותים אחרים לרוב דורשים מאנשים להיכנס באמצעות סיסמה בתוספת קוד שנשלח אוטומטית באמצעות SMS. 
    • חלק מהחשבונות דורשים רק שם משתמש וסיסמה, אף על פי שארגונים רבים עוברים לאימות רב-גורמי לאבטחה מוגברת.
    • לעיתים קרובות עובדים נכנסים למחשב שלהם ומקבלים גישה למספר אפליקציות שונות בו-זמנית, ופעולה זו מכונה כניסה יחידה.
    • יש גם חשבונות שמאפשרים למשתמשים להיכנס באמצעות חשבון Facebook או Google. במקרה זה, Facebook,‏ Google או Microsoft אחראיות לאימות המשתמש והעברת הרשאה לשירות שאליו המשתמש רוצה לגשת.

  • אימות ענן הוא שירות שמאשר שרק האנשים והאפליקציות המתאימים עם ההרשאות המתאימות יכולים לקבל גישה לרשתות ולמשאבים בענן. לאפליקציות ענן רבות יש אימות מובנה שמבוסס על ענן, אך יש גם פתרונות רחבים יותר, כגון Azure Active Directory, שנועדו לטפל באימות של אפליקציות ושירותי ענן מרובים. פתרונות אלה משתמשים בדרך כלל בפרוטוקול SAML כדי לאפשר שירות של אימות אחד כדי לעבוד בחשבונות מרובים.

  • למרות שאימות ומתן הרשאות משמשים לעיתים קרובות לסירוגין, הם שני דברים קשורים אך נפרדים. האימות מוודא שהמשתמש שנכנס למערכת הוא מי שהוא, בעוד שמתן הרשאות מאשר שיש לו את ההרשאות המתאימות לגשת למידע שהוא רוצה. כשמשתמשים בהם יחד, אימות ומתן הרשאות עוזרים להפחית את הסיכון שתוקף יקבל גישה לנתונים רגישים.

  • אימות משמש כדי לאמת זהויות של אנשים וישויות לפני שהם מקבלים גישה למשאבים דיגיטליים ולרשתות. אף על פי שהמטרה העיקרית היא אבטחה, פתרונות אימות מודרניים נועדו גם לשפר את השימושיות. לדוגמה, ארגונים רבים מיישמים פתרונות כניסה יחידה כדי להקל על העובדים למצוא את מה שהם צריכים כדי לבצע את עבודתם. שירותים לצרכן מאפשרים לעיתים קרובות לאנשים להיכנס באמצעות חשבון Facebook,‏ Google או Microsoft כדי להאיץ את תהליך האימות.

עקוב אחר Microsoft