⚡ TL;DR - תקציר מהיר
🥇 הכי מאובטח: FIDO2 Security Keys - עמידות מלאה לפישינג, מומלץ למנהלים
🥈 מומלץ לכולם: Microsoft Authenticator - איזון מצוין בין אבטחה לנוחות
🥉 אלטרנטיבה טובה: Software OATH (Google Authenticator, Authy) - תמיכה רחבה
⚠️ להימנע אם אפשר: SMS ו-Voice - פגיעים למתקפות SIM Swapping
Microsoft Entra ID (לשעבר Azure Active Directory) מציע מגוון רחב של שיטות אימות כדי להגן על הזהויות בארגון שלכם. הבחירה הנכונה יכולה להיות ההבדל בין ארגון מוגן לבין פרצת אבטחה חמורה.
במדריך הזה נסביר על כל שיטות האימות הזמינות, רמת האבטחה שלהן, מתי להשתמש בכל אחת, ואיך לבנות אסטרטגיית אימות מאובטחת לארגון. אם אתם מתחילים עם ניהול הרשאות משתמשים, זה המקום להתחיל.
🎯 מקרא רמות אבטחה
📋 כל שיטות האימות בפירוט
Microsoft Authenticator
אפליקציית האימות של מיקרוסופט - הדרך המומלצת ביותר לאימות
✅ יתרונות
- • Passwordless
- • Push notifications
- • עמידות לפישינג
- • גיבוי בענן
❌ חסרונות
- • דורש סמארטפון
- • תלות באפליקציה
מתי להשתמש: מומלץ לכל המשתמשים כשיטה ראשית
FIDO2 Security Keys
מפתחות אבטחה פיזיים - הסטנדרט המתקדם ביותר
✅ יתרונות
- • עמידות מלאה לפישינג
- • Passwordless
- • ללא תלות בטלפון
- • עובד גם ללא אינטרנט
❌ חסרונות
- • עלות גבוהה
- • אפשרות לאובדן פיזי
- • לא כל האתרים תומכים
מתי להשתמש: מומלץ למנהלים ומשתמשים בעלי הרשאות גבוהות
Software OATH Tokens
קודים מתחלפים (TOTP) מאפליקציות כמו Google Authenticator
✅ יתרונות
- • תמיכה רחבה
- • עובד ללא אינטרנט
- • אפשרות לכמה אפליקציות
❌ חסרונות
- • יש להקליד קוד ידנית
- • תלות בסנכרון שעון
מתי להשתמש: אלטרנטיבה טובה למי שלא רוצה את Microsoft Authenticator
Hardware OATH Tokens
התקנים פיזיים שמייצרים קודים מתחלפים
✅ יתרונות
- • ללא תלות בסמארטפון
- • עובד ללא אינטרנט
- • פשוט לשימוש
❌ חסרונות
- • עלות גבוהה
- • ניהול מלאי
- • אפשרות לאובדן
מתי להשתמש: למשתמשים ללא סמארטפון או בסביבות עבודה מוגבלות
SMS
קבלת קוד חד-פעמי ב-SMS לנייד
✅ יתרונות
- • פשוט מאוד
- • לא דורש אפליקציה
- • עובד על כל טלפון
❌ חסרונות
- • פגיע ל-SIM Swapping
- • תלות בקליטה סלולרית
- • עלות SMS
מתי להשתמש: כשיטת גיבוי או למשתמשים עם טלפונים בסיסיים
Voice Call
קבלת שיחה קולית עם קוד אימות
✅ יתרונות
- • עובד על כל טלפון
- • אפשרות לקו נייח
- • נגיש יותר
❌ חסרונות
- • פגיע להאזנה
- • תלות בזמינות
- • איטי
מתי להשתמש: נגישות - למשתמשים עם קושי בקריאת SMS
Email OTP
קבלת קוד חד-פעמי באימייל
✅ יתרונות
- • זמין לכולם
- • לא דורש טלפון
- • פשוט
❌ חסרונות
- • תלות באבטחת המייל
- • עיכוב אפשרי
- • פגיע לפישינג
מתי להשתמש: בעיקר לאורחים (B2B) או כשיטת גיבוי אחרונה
Temporary Access Pass
קוד זמני שמנהל יכול להנפיק למשתמש
✅ יתרונות
- • שימושי ל-Onboarding
- • מאפשר הרשמה ל-Passwordless
- • שליטה מלאה
❌ חסרונות
- • דורש מנהל
- • זמני בלבד
- • לא לשימוש יומיומי
מתי להשתמש: עובדים חדשים, איפוס שיטות אימות, מעבר ל-Passwordless
📊 טבלת השוואה מהירה
| שיטה | אבטחה | נוחות | Passwordless | עמיד לפישינג |
|---|---|---|---|---|
| FIDO2 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ✓ | ✓ |
| Microsoft Authenticator | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ✓ | ✓ |
| Hardware OATH | ⭐⭐⭐⭐ | ⭐⭐⭐ | ✗ | ✗ |
| Software OATH | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ✗ | ✗ |
| SMS | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ✗ | ✗ |
| Voice | ⭐⭐⭐ | ⭐⭐⭐ | ✗ | ✗ |
| Email OTP | ⭐⭐ | ⭐⭐⭐⭐ | ✗ | ✗ |
| Temporary Access Pass | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ✓ | ✗ |
🔍 הסבר מעמיק על כל שיטה
📱 Microsoft Authenticator - השיטה המומלצת
אפליקציית Microsoft Authenticator היא הבחירה המומלצת לרוב הארגונים. היא מציעה שלוש צורות אימות:
🔔 Push Notifications
הודעה מופיעה בטלפון - לוחצים "אשר" או "דחה". הכי נוח ומהיר.
🔢 Number Matching
מספר מוצג במסך הכניסה - יש להקליד אותו באפליקציה. מונע מתקפות MFA Fatigue.
🔑 Passwordless
כניסה ללא סיסמה כלל - רק אישור באפליקציה עם ביומטריה. הכי מאובטח.
⚡ טיפ: הפעילו Number Matching
Microsoft הפכה את Number Matching לברירת מחדל. אם עדיין לא הפעלתם - זו אחת ההגנות החשובות ביותר נגד מתקפות MFA Fatigue בהן תוקף מציף את המשתמש בבקשות אישור עד שהוא לוחץ "אשר" בטעות.
🔑 FIDO2 Security Keys - הסטנדרט המתקדם
מפתחות FIDO2 (כמו YubiKey, Feitian, או Windows Hello) מייצגים את עתיד האימות. הם מספקים את רמת האבטחה הגבוהה ביותר מפני התקפות פישינג כי האימות קשור לאתר הספציפי - תוקף לא יכול "לזייף" את הבקשה.
🛡️ למי מומלץ במיוחד
- ✓ Global Administrators
- ✓ Security Administrators
- ✓ C-Level executives
- ✓ עובדי IT עם הרשאות גבוהות
- ✓ גישה לנתונים רגישים
💰 עלויות לדוגמה
- • YubiKey 5 NFC: ~$50
- • YubiKey 5C: ~$55
- • Feitian ePass: ~$25
- • Windows Hello: כלול במערכת
💡 שיטות עבודה מומלצות
- • תמיד הנפיקו שני מפתחות לכל משתמש - ראשי וגיבוי
- • שמרו את מפתח הגיבוי במקום בטוח (כספת)
- • הגדירו תהליך לאיפוס במקרה של אובדן שני המפתחות
- • שקלו שימוש ב-Temporary Access Pass לתרחישי חירום
⚠️ SMS ו-Voice - למה כדאי להימנע
למרות שהן נפוצות, שיטות אימות מבוססות SMS ו-Voice הן הפחות מאובטחות מכל האפשרויות. Microsoft ממליצה במפורש לעבור לשיטות אחרות.
הסיכונים העיקריים:
🔄 SIM Swapping
תוקף משכנע את חברת הסלולר להעביר את המספר לסים שלו. כל ה-SMS שלכם מגיעים אליו.
📡 SS7 Attacks
חולשות בפרוטוקול הטלקום מאפשרות ליירט SMS. נדיר אבל אפשרי למתקפים מתוחכמים.
📱 תלות בקליטה
אין קליטה = אין גישה. בעייתי במקומות עם קליטה חלשה או בנסיעות לחו"ל.
🎭 Social Engineering
קל יותר לבצע הנדסה חברתית כשהאימות תלוי במספר טלפון.
⏱️ Temporary Access Pass - הכלי הסודי
TAP הוא קוד זמני שמנהל יכול להנפיק למשתמש. זה כלי עוצמתי במיוחד עבור:
🆕 Onboarding
עובד חדש מקבל TAP כדי להיכנס לראשונה ולהגדיר את שיטות האימות שלו (Authenticator, FIDO2).
🔄 איפוס
משתמש איבד את הטלפון? TAP מאפשר לו להיכנס ולהגדיר מכשיר חדש.
🔑 מעבר ל-Passwordless
TAP מאפשר למשתמשים לעבור ל-Passwordless מבלי שיהיה להם סיסמה בכלל.
🎯 המלצות ליישום בארגון
1. הגדירו מדיניות מדורגת
🔴 משתמשים קריטיים
FIDO2 כראשי + Authenticator כגיבוי
🟡 משתמשים רגילים
Authenticator כראשי + Software OATH כגיבוי
🟢 משתמשים בסיסיים
Authenticator + SMS כגיבוי (בהדרגה לבטל)
2. דרשו לפחות שתי שיטות
כל משתמש צריך להגדיר לפחות שתי שיטות אימות. אם שיטה אחת לא זמינה (טלפון נשבר, מפתח אבד) - יש גיבוי.
הגדירו את זה ב-Conditional Access: Authentication Strengths.
3. התחילו ממנהלים
הטמיעו קודם את השיטות המאובטחות ביותר (FIDO2, Passwordless Authenticator) אצל מנהלי IT ו-Admins. הם המטרה הראשית של תוקפים, וגם ישמשו דוגמה לשאר הארגון.
4. הגדירו תהליך לחירום
מה קורה כשמשתמש נעול לגמרי? הכינו תהליך ברור:
- מי מורשה להנפיק TAP
- איך מאמתים את זהות המשתמש בטלפון
- תיעוד של כל איפוס
- בדיקה האם מדובר בניסיון מתקפה
📝 סיכום
בחירת שיטות האימות הנכונות היא אחת ההחלטות החשובות ביותר באבטחת הארגון. הנה מה לזכור:
🔑 נקודות עיקריות:
- FIDO2 - הכי מאובטח, חובה למנהלים
- Microsoft Authenticator - האיזון הטוב ביותר, מומלץ לכולם
- Software OATH - אלטרנטיבה טובה עם תמיכה רחבה
- TAP - כלי חיוני ל-Onboarding ואיפוסים
- SMS/Voice - להימנע ככל האפשר
- דרשו לפחות שתי שיטות מכל משתמש
המעבר לשיטות אימות מאובטחות הוא תהליך. התחילו מהמשתמשים הקריטיים, הדריכו את הצוות, והתקדמו בהדרגה. התוצאה: ארגון מוגן משמעותית יותר מפני גניבת זהויות ופריצות.
צריכים עזרה בהטמעת שיטות אימות?
נשמח לעזור לכם לבנות אסטרטגיית אימות מאובטחת לארגון