81% מהפרצות מתחילות בסיסמה גנובה. פאסקי ואימות חזק מחסלים את הסיסמה כנקודת כשל. במאמר: מה זה פאסקי, היררכיית ה-MFA, 4 שלבי מעבר שלא שוברים את העבודה, ו-FAQ לשאלות הנפוצות ביותר.
⚡ TL;DR, תקציר מהיר
הבעיה: 81% מהפרצות מתחילות בסיסמה גנובה. פישינג לא מנחש סיסמאות, הוא גורם לכם להזין אותן מרצון.
הפתרון: פאסקי (Passkeys) מבוססות FIDO2 קשורות למכשיר ספציפי ולדומיין, ולכן חסינות לחלוטין לפישינג.
היררכיית MFA: SMS (חלש) ← TOTP אפליקציה ← מפתח FIDO2 פיזי ← פאסקי / Windows Hello (חזק ביותר).
המעבר: 4 שלבים: MFA לכל המשתמשים ← Conditional Access ← Windows Hello for Business ← הסרת סיסמאות מחשבונות שירות.
פאסקי ואימות ללא סיסמה: המדריך לעסקים ב-2026
עובדת מחלקת הנהלת החשבונות מקבלת מייל שנראה בדיוק כמו דף הכניסה של Microsoft 365. היא מקלידה את שם המשתמש והסיסמה שלה, ו-30 שניות מאוחר יותר תוקף יושב בתיבת הדוא"ל של החברה. הסיסמה שלה הייתה "חזקה": 12 תווים, מספרים, אותיות גדולות, תו מיוחד. לא עזר. מתקפת פישינג לא גונבת סיסמה על ידי ניחוש, היא גורמת לכם להזין אותה מרצון.
לפי דוח Verizon Data Breach Investigations, 81% מהפרצות המוצלחות כוללות פרטי כניסה שנגנבו. הסיסמה היא ממשק האנושי הכי חלש במערך האבטחה שלכם, לא בגלל שהעובדים רשלנים, אלא כי סיסמאות ניתנות לגנוב, לנחש ולפשר. ב-2026 יש פתרון טוב יותר, ושמו פאסקי.
מה זה פאסקי ולמה זה שינוי אמיתי?
פאסקי (Passkeys) הם אישורי כניסה מבוססי קריפטוגרפיה שמחליפים לחלוטין את הסיסמה. כשמגדירים פאסקי לשירות, המכשיר יוצר זוג מפתחות אסימטרי: המפתח הציבורי נשמר אצל הספק, המפתח הפרטי נשמר רק על המכשיר, מוגן בביומטריה, קוד פין או Face ID. כשנכנסים, הספק שולח אתגר קריפטוגרפי שרק המפתח הפרטי שלכם יכול לענות עליו.
מה שחשוב לעסקים: פאסקי לא ניתנות לגנוב דרך פישינג. אין סיסמה להזין בדף מזויף, אין מה ליירט, אין מה לנחש. מייקרוסופט, גוגל ואפל כולן עברו לתמוך בפאסקי, ו-Microsoft 365 Entra ID מאפשר כניסה עם פאסקי לכל המשתמשים הארגוניים עוד מ-2024.
לא כל MFA שווה: מה להפעיל ומה להימנע ממנו
אימות רב-גורמי הוא שכבת הגנה חיונית, אך ישנה היררכיה ברורה בין הסוגים:
קוד SMS / שיחת טלפון – רמת הגנה נמוכה. ניתן ליירוט ב-SIM Swapping, שיטה שבה תוקף מצליח להעביר את מספר הטלפון שלכם לכרטיס SIM שלו. נחוץ כבסיס, אך לא מספיק לחשבונות עסקיים קריטיים.
אפליקציות TOTP (Authenticator) – טובות יותר. קוד שמתחדש כל 30 שניות קשה יותר ליירוט, אך עדיין פגיע לפישינג בזמן אמת: תוקף שיוצר דף מזויף יכול להשתמש בקוד שלכם תוך שניות ספורות.
מפתחות FIDO2 פיזיים (YubiKey) – רמת הגנה גבוהה. מכשיר חיצוני שמחובר ב-USB או NFC, כמעט בלתי ניתן לפרוץ מרחוק. מתאים לחשבונות מנהל מערכת ולתפקידים רגישים.
פאסקי ו-Windows Hello – רמת הגנה הגבוהה ביותר. מבוססות על FIDO2, קשורות למכשיר ספציפי, חסינות לחלוטין לפישינג.
המלצה: MFA חובה לכל המשתמשים, לפחות ברמת אפליקציה. פאסקי או מפתח פיזי לחשבונות מנהל ולכל מי שיש לו גישה לנתונים רגישים.
איך עוברים בשלבים בלי לשבש את העבודה?
המחשבה שמעבר לאימות חזק פוגע בפרודוקטיביות היא מיתוס. מייקרוסופט מצאה שברגע שמשתמשים רגילים להיכנס עם Windows Hello, הם מתחברים מהר יותר מאשר עם סיסמה.
שלב 1: הפעילו MFA לכל המשתמשים ב-Microsoft Entra ID (לשעבר Azure AD). עבודה של כמה שעות, לא ימים.
שלב 2: הגדירו Conditional Access כך שכניסה מחייבת MFA תמיד, בכל מכשיר. מכשירים לא מנוהלים מחייבים אימות חזק יותר.
שלב 3: הפעילו פאסקי ו-Windows Hello for Business. עובדים שמורגלים ב-PIN או ביומטריה לא יחושו שינוי גדול, רק שהכניסה מהירה יותר.
שלב 4: הסירו סיסמאות קבועות מחשבונות שירות. חשבונות אוטומטיים שרצים עם סיסמה סטטית הם יעד מועדף לתוקפים, ולעיתים קרובות שוכחים לטפל בהם.
איך SouliTek עוזרת
כחלק מ-Managed IT של SouliTek, אנחנו מטמיעים אימות חזק לפי מפת דרכים מדורגת שלא מפריעה לעבודה השוטפת. אנחנו מגדירים Conditional Access ב-Entra ID, מפרסים Windows Hello for Business, ומדריכים עובדים לקבל את השינוי בנוחות. עסקים שעברו איתנו לאימות חזק ב-12 החודשים האחרונים לא חוו אף אירוע גישה לא מורשית. הגנה בנקודת הכניסה היא חלק ממסגרת רחבה יותר שכוללת גם ניהול הרשאות משתמשים והגנה מפני מתקפות Password Spray על Microsoft 365.
רוצים לעבור לאימות ללא סיסמה? השאירו פרטים ונחזור אליכם
שאלות נפוצות
האם פאסקי בטוחות יותר מסיסמה ארוכה עם MFA?
כן, ברוב התרחישים. פאסקי חסינות בפני פישינג מעצם ההגדרה, כי הן קשורות לדומיין ספציפי ולא ניתן להזין אותן בדף מזויף. בנוסף, לא קיים מאגר סיסמאות שיכול להיגנב. שילוב פאסקי עם Windows Hello הוא הגנה חזקה מכל שילוב של סיסמה ו-MFA מסורתי.מה קורה אם עובד מאבד את המכשיר?
ב-Microsoft Entra אפשר לנהל פאסקי מרכזית, לבטל גישה למכשיר אבוד ולספק שיטת כניסה חלופית מאומתת. כל זה חלק מתכנון פריסה תקין שמגדירים מראש.האם המעבר מחייב ציוד חדש?
לא. Windows Hello for Business עובד עם מצלמת IR סטנדרטית או סורק טביעות אצבע ברוב המחשבים שנמכרו מ-2018 ואילך. ניתן להפעיל פאסקי גם דרך הטלפון הנייד של העובד, ללא ציוד נוסף.האם מספיק להפעיל MFA רק על חשבונות מנהל?
לא. תוקפים ממוקדים תחילה בחשבונות רגילים, שמהם אפשר לנוע לרוחב (Lateral Movement) לחשבונות בעלי הרשאות גבוהות. MFA לכל המשתמשים עוצר את התקיפה בשלב הראשוני, לפני שהיא מתפשטת.הסיסמה לא תמות בין לילה, אבל עסקים שממשיכים להסתמך עליה כשכבת ההגנה היחידה מגנים על עצמם עם מנעול שכבר פרצו ממנו מיליוני פעמים. פאסקי ואימות חזק הם לא עתיד רחוק — הם הפתרון הזמין היום, ועלותם האפסית ביחס לעלות פרצה אחת מדברת בעד עצמה.
רוצים לעבור לאימות ללא סיסמה בעסק שלכם?
המומחים שלנו ב-SouliTEK ישמחו לבצע סקירה מקצועית ולהתאים עבורכם תוכנית פעולה.
יוצא עולם הסייבר ההתקפי עם למעלה מ-10 שנות ניסיון בשירותי IT לארגונים. מוביל את SouliTek במתן שירותי מחשוב מנוהלים ואבטחת מידע לעסקים קטנים ובינוניים בישראל.
LinkedIn