שכחת סיסמה – לא נורא

אנחנו נאלצים לזכור עשרות אם לא מאות סיסמאות לשירותים שונים. אבל בקרוב מאוד נצטרך רק להביט בטלפון

ענת דאדי-רמתי

הידעתם? בתשע השנים האחרונות יום חמישי הראשון של כל חודש מאי הוא יום הסיסמאות – יום שנועד לעורר מודעות לבחירת סיסמה חזקה. עכשיו, אחרי שאתם יודעים את זה, תתכוננו לשכוח מזה, כי העולם הולך להיפרד מהשיטה הזאת.

אנחנו חיים בעולם דיגיטלי ונאלצים לבחור עשרות ולפעמים מאות סיסמאות לכל אתר, אפליקציה או שירות שלנו. רשתות חברתיות, אקדמיה ולמידה, מידע פיננסי, תשלומים, תרבות פנאי ועוד ועוד. כל שירות כזה כמובן מצריך סיסמה נפרדת וחזקה, ובסוף חלקנו מחפף ובוחר סיסמאות דומות. 

אז סוף סוף, שלוש ענקיות הטכנולוגיה, גוגל, אפל ומיקרוסופט, ששולטות במערכות ההפעלה הפופולריות ביותר – הודיעו ביחד שהן מרחיבות את תמיכתן בתקן FIDO – שיאפשר לטלפון להפוך אמצעי הזיהוי שלכם לכל שירות. 

איך זה עובד? בכניסה לכל שירות (מהטלפון או המחשב) תבקשו לפתוח את הטלפון שלכם, כפי שאתם רגילים היום – זיהוי פנים, טביעת אצבע, או סיסמה. יש גם אמצעים ביומטריים אחרים שיתכן שיפתחו את הטלפון בעתיד – זיהוי קולי, זיהוי מדדי גוף ואפילו זיהוי צורת ההליכה או תנועת הגוף שלנו.

כך או אך, הטלפון (שתצטרכו לחבר פעם אחת בלבד לכל שירות) ייצר טוקן מוצפן, יעביר אותו לאתר, והדלת תיפתח בפניכם.

הסוף לפישינג?

הפתרון הזה משלב לפחות שניים מתוך שלושה אמצעים שיש היום לזיהוי: משהו שאתה יודע (סיסמה לטלפון – ואז מספיק לזכור רק אותה), משהו שיש לך (הטלפון עצמו), ומשהו שהוא אתה – אמצעי זיהוי בימוטריים.

בנוסף, זה אמור להוריד משמעותית את הפישינג. אם האקר יבקש את הסיסמה שלנו – קודם כל, מאחר שנפסיק להשתמש בסיסמה, פשוט לא נזכור אותה, אז בהצלחה להאקר לגרום לנו להיזכר.

שנית, הזיהוי בטלפון יהיה אמצעי הגנה נוסף. העובדה שהוא לא יקפוץ ויציע להתחבר דרכו, יהווה עוד סימן אזהרה שיאותת לנו: זה לא האתר האמיתי שמבקש סיסמה עכשיו.

ומה אצלנו?

האמת שכבר היום לקוחות שבוחרים בכך ויש להם מכשירים תואמים, יכולים להיכנס לאפליקציית ניהול החשבון באמצעות טביעת האצבע או זיהוי הפנים ולא צריכים לזכור את הסיסמה. 

אודי בק, ארכיטקט אממ שמעורב במערכות המובייל והאתר, סיפר לי שבעבר היתה קיימת תמיכה חלקית באפשרות הזאת בשימוש בדפדפן Chrome. אולם הדרישה שלנו הייתה שזה לא יהיה באמצעות PIN או תבנית, כי אלה אמצעי זיהוי חלשים יותר.

נכון לעכשיו, היישומים שלנו לא תומכים בשיטה זו, אבל הבנק כל הזמן בודק ולומד טכנולוגיות חדשות, על מנת לשפר את חווית ההזדהות של הלקוח.

בחוויה שלנו, העובדים, מספיקה טביעת אצבע כדי להיכנס לעמדת העבודה מהמשרד וכדי שרוב מערכות הבנק ידעו לזהות אותנו ללא סיסמה. בעבודה מרחוק אנחנו עדיין נדרשים להזין יוזר וסיסמה וגם לתת אמצעי זיהוי ביומטרי באמצעות אפליקציית identity. בכל זאת, אנחנו בנק.