אם נמאס לכם מרשימת הסיסמאות ההולכת ומתארכת שאתם נאלצים לנהל מידי יום ביומו, הבשורה הזו על פי גוגל היא בשבילכם: ענקית הטכנולוגיה מתכוונת להעביר את הסיסמאות מהעולם ולהחליף אותן בדבר שמזהה אותנו בצורה המובהקת ביותר – הסמארטפון שלנו. מדובר במהפכה בקנה מידה עולמי, שתשנה את הדרך שבה מרבית המשתמשים מזדהים, והיא יוצאת מגוגל ישראל, אז הנה גם סיבה לגאווה לאומית.
עוד כתבות בערוץ דיגיטל:
אם עוקבים אחר הגל העולמי של מתקפות סייבר אפשר להבחין, שדרך החדירה העיקרית למחשבי ארגונים היא באמצעות חשבונות המייל של העובדים, שרובם מוגנים בסיסמה פשוטה. פישינג הוא פשע האינטרנט הנפוץ ביותר בעולם. גוגל מדווחת על חסימה של למעלה מ-100 מיליון ניסיונות פישינג ביום בג'ימייל. על פי נתוני ה-FBI, בשנת 2020 הוכפל מספר מקרי הפישינג לעומת 2019. הקלות הבלתי נסבלת של החדירה לחשבונות שלנו הופכת קלה אפילו יותר כשמתברר שכשני שליש מהמשתמשים משתמשים באותה סיסמה בכל החשבונות שלהם.
אז עכשיו החיים של ההאקרים הולכים להיות קצת יותר קשים. גוגל הכריזה לאחרונה על השקת פרויקט ארוך טווח, שיחליף את הסיסמה לכניסה לשירותי גוגל, ובהמשך בוודאי גם לחשבונות אחרים. בכנס המפתחים האחרון שלה הציגה גוגל את הצעדים הראשונים שהחברה נוקטת בהם לשינוי שיטת האבטחה וחשפה עדכוני אבטחה שמטרתם לסיים את התלות של משתמשים בסיסמאות.
תחום אבטחת חשבונות המשתמשים מנוהל בגוגל במספר מקומות בעולם, אבל הצוות הישראלי מוביל את פרויקט שיטת ההזדהות החדשה. מי שמנהל את הפרויקט הוא ג'ונתן סקלקר, מנהל מוצר בכיר בגוגל ואחד המומחים הבולטים בחברה בתחום האבטחה. בשיחה עם ynet הוא אומר: "אנחנו רוצים להעלים את הסיסמאות. הן נקודת החולשה בחיים שלנו ברשת. אנחנו מאמינים שעכשיו זו גם ההזדמנות הנכונה לעשות את זה".
הטכנולוגיה שגוגל מתכוונת להכניס לשימוש היא הזדהות באמצעות מפתח אבטחה שנמצא בסמארטפון של המשתמשים. מפתחות אבטחה פיזיים היו להיט לפני כמה שנים: אתה תוחב את המפתח בשקע ה-USB בלפטופ, והופ אתה בפנים. אחר כך הגיע האימות הדו-שלבי והשתלט על זירת האבטחה: אתה נכנס עם סיסמה וצריך לאשר את הכניסה בטלפון או להזין סיסמה נוספת שקיבלת ב-SMS.
לשתי השיטות האלה יש יתרונות וגם כמה חסרונות. הטכנולוגיה החדשה של גוגל משלבת את היתרונות משתי השיטות: היא עושה שימוש במפתח האבטחה שנשמר באחסון מאובטח בסמארטפון. הטלפון יוצר קשר עם המחשב באמצעות בלוטות' BLE כך שאין צורך להתחבר עם תקע למחשב, וגם אין צורך לקבל סיסמה בהודעת SMS. כל מה שצריך, זה להיות עם הטלפון ליד המחשב.
גם מיקרוסופט ואפל בעניין
"ברגע שיש לך מפתח אבטחה אין צורך יותר בסיסמה, זה מיותר", אומר סקלקר, "הסיסמה לא תורמת לאבטחה, היא רק מעכבת את התהליך ומסבכת אותו ואין בה צורך. אנחנו רוצים להביא את העולם למצב שאין יותר צורך בסיסמה. זה ממש לחנך את העולם מחדש כי התרגלנו לסיסמה. הבנק שלי עדיין מחייב אותי להחליף את הסיסמה כל שישה חודשים. זה נורא מרגיז אותי, כי זה הדבר הכי לא בטוח בעולם. להכניס תווים מיוחדים ומספרים? כל זה שטויות. אנחנו חייבים לשנות את התפיסה ולהסביר לאנשים למה זה לא טוב".
מדובר בטכנולוגיות לא חדשות בעצם, אז מה קרה שגוגל החליטה דווקא עכשיו להשתמש בהן?
"שני דברים קרו: הערך של מה שיש לאנשים בחשבון הוא היום הרבה יותר יקר ממה שהיה קודם. והדבר השני: בעקבות הקורונה אנשים התחילו להשתמש בטלפון שלהם לשימושים חדשים, למשל להעלות למסך את תפריט המסעדה באמצעות סריקת קוד QR. אנשים התרגלו עכשיו להשתמש בטלפון שלהם לדברים חדשים. תכלס, כמעט בכל החשבונות שלי היום יש אימות כפול, אז התרגלתי להשתמש בטלפון כדי להיכנס לחשבונות. אנחנו מרגישים שזה הזמן הנכון להתחיל בזה".
"אנשים לא מבינים את הערך שיש להם בחשבון. הם לא מקשרים בין זה שמישהו פרץ להם לחשבון גוגל לבין זה שגנבו להם כסף מהחשבון בנק. זה עוד לא חלק מה-DNA שלנו. החיים שלנו הפכו להיות הרבה יותר אונליין וזה נהיה קריטי. הסיסמאות פשוט לא מתאימות לזה, הן חלשות מדי"
השיטה החדשה אינה חפה מחסרונות. למשל אנחנו יודעים שלחלק מהאנשים מסובך לתפעל את הבלוטות'.
"זו אחת מהבעיות באמת, והסיבה שאנחנו לא אגרסיביים כמו שהיינו רוצים להיות. אבל זה בדרך, יש שיתוף פעולה עם מיקרוסופט, אפל, אמזון וחברות אחרות שמטרתו להגדיר סטנדרטים לאימות, וזה פשוט לוקח זמן. זה פרויקט שייקח לנו כמה שנים. בינתיים יש קצת אי-נוחות, אבל גם כשאתה חוזר הביתה עם ידיים עמוסות בקניות מהסופר, אין מה לעשות - אתה עדיין צריך להוציא את המפתח כדי לפתוח את הדלת. אנחנו צריכים שאנשים יבינו את זה".
אנשים לא מבינים שהם צריכים להגן על החשבון שלהם?
"אני חושב שהעידן החדש הזה קרה מאוד מאוד מהר. המין האנושי עבר אלפי שנים של אבולוציה שבהן למדנו איך להגן על עצמנו, אילו חיות מסוכנות, כל הדברים שהם היום אינסטינקטיביים. אבטחה היא לא חלק מזה, אנשים לא מבינים את הערך שיש להם בחשבון. הם לא מקשרים בין זה שמישהו פרץ להם לחשבון גוגל לבין זה שגנבו להם כסף מהחשבון בנק. זה עוד לא חלק מה-DNA שלנו. החיים שלנו הפכו להיות הרבה יותר אונליין וזה נהיה קריטי. הסיסמאות פשוט לא מתאימות לזה, הן חלשות מדי. זה כמו לשמור על כספת עם מנעול מזוודה. זה פשוט לא בנוי לזה".
הבעיה העיקרית שמטרידה את גוגל היא השאלה מה יקרה כשהטלפון שלנו ייעלם, ייגנב או יצלול לתוך בריכת השחייה ויפסיק לפעול. במצב כזה אדם עלול להישאר בחוץ, בלי יכולת להיכנס לחשבון. כדי להתמודד עם זה יהיה צורך באמצעים משוכללים לשחזור גישה, למשל מכשיר טלפון שני, אולי חבר טלפוני או כתובת מייל נוספת. וכל אלה עלולים להיות גם נתיב גישה של האקרים לתוך החשבונות. אז כן, יש הרבה פינות לסגור. זו אולי הסיבה שהסיסמאות שלנו לא ייעלמו כבר בשבוע הבא.
"אנחנו בונים את זה כתהליך שיימשך שנים", מודה סקלקר, "נתחיל באוכלוסיות שכבר הפעילו אפשרויות מתקדמות לשחזור החשבון שלהם, ואנחנו גם נגדיל את מספר האפשרויות לשחזור, נעביר אנשים לאט-לאט לשימוש באימות דו-שלבי ואז נגדיל את היקף האוכלוסייה שזה פונה אליה". הגל הראשון של המעבר לשיטה החדשה יקרה בחודשים הקרובים, ואם אתם צרכנים של כלי האבטחה הקיימים של גוגל יש סיכוי שאתם תקבלו הצעה כבר בגל הזה.
האחריות של גוגל
ג'ונתן סקלקר עלה לישראל ב-1994 עם מחשבה להיות מורה למתמטיקה. אבל החיים הובילו אותו לעולם התוכנה דרך IBM, אימפרבה, נגהקום וקליקטייל, ואחר כך לסטארט-אפ SureVisit שהוא היה אחד ממייסדיו, אשר התמחה ב-SEO והוביל אותו לגוגל. דווקא כאן הוא אינו עוסק בטכנולוגיות חיפוש אלא בטכנולוגיות אבטחה, חלק ממערך צוותים בינלאומי שעוקב אחר הכניסות של המשתמשים לחשבונות ומאתר כל אנומליה או פעילות חשודה: "הצוות הישראלי הוא זה שיוצר את הקשר עם המשתמשים כשצריך, מדברים איתם כשקורה משהו בחשבון שקשור באבטחה, אם יש שינוי במשהו שנראה רגיש אנחנו אומרים לך 'תבדוק' ובין השאר פיתחנו את כלי ה-Security Checkup שנותן עצות איך לקנפג יותר נכון את החשבון".
והנה סקלקר יוצא בווידוי מפתיע: הוא עצמו הפעיל לראשונה אימות דו-שלבי רק לפני כחצי שנה: "ואני עובד בגוגל וחלק מהצוות שאחראי לדברים האלה. אבל לא בא לי. זה מסבך לי את החיים ואני עצלן". השינוי הגיע אחרי שהבת שלו הצליחה להיכנס לחשבון שלו ולצמצם את מגבלות זמן המחשב. זה גם היה השלב שהאסימון ירד: "הרבה משתמשים נמצאים באותו מצב. אנחנו חייבים להפוך את זה למצב המחדל יכי אחרת אנשים לא יעשו את זה".
יש חשד של משמשים כלפי גוגל: היא יודעת כל כך הרבה עלי, למה שגם אשתף איתה את הסיסמאות שלי?
"עד שהתחלתי לעבוד בגוגל גם אני חששתי, ולא השתמשתי בהרבה מהכלים, לא נתתי את מספר הטלפון שלי. זה נכון, זה חשש שאפשר להבין אותו בלי ספק. אבל בגוגל יש קיר מאוד גבוה בין שימוש עסקי בנתונים לבין שימוש לאבטחה. מספר שאתה מוסיף לצרכי אבטחה ישמש אך ורק לצרכים האלה. הבעיה היא שאני אומר את זה והרבה אנשים עדיין חוששים. אבל מאוד חשוב לנו לדבר על זה, כדי שאנשים יהיו מוכנים לזה, ויבינו את זה כשזה יקרה. זה האחריות שלנו כגוגל, כמי שמרוויחים מהעולם החדש הזה".