אנחנו יודעים שזה סבל נוראי, שכדי להתחבר לג'ימייל, פייסבוק או כל חשבון אחר באינטרנט אתם צריכים להקליד סיסמה ולחלקם גם להוסיף קוד חד-פעמי כדי לוודא שזה באמת אתם ולא האקר. אבל אם אתם נתקלים באפליקציה שמבטיחה לחסוך לכם גם את הקלדת הסיסמה וגם את הזנת הקוד החד-פעמי - אל תסכימו.
האפליקציה שבגללה אנחנו מזהירים אתכם היא Last Pass - שבאופן כללי היא שירות לגיטימי לחלוטין, בלי שום קשר להאקרים, שעוזר לנו ולעוד מיליוני אנשים בעולם לחסוך לעצמם להיזכר בסיסמה שלהם לכל אתר שהם מנסים להיכנס אליו. ביום חמישי היא שחררה גרסה חדשה של Authenticator - אפליקציה שלה לאייפון ולאנדרואיד שמזינה עתה במקומכם את הקוד החד-פעמי.
איך זה עובד? האפליקציה מבוססת על העובדה שחברות כמו גוגל, למשל, משתמשת במנגנון קבוע שמחליף את הסיסמה החד פעמית כל דקה. אחרי שניסיתם להתחבר לחשבון שמאובטח באימות דו-שלבי (קוד חד-פעמי שמגיע ב-SMS או דרך אפליקציה מיוחדת) וקיבלתם את ההודעה שנשלח לכם קוד, האפליקציה של LastPass תזין את הקוד במקומכם, או לחילופין תציג לכם אותו אם הוא הגיע ב-SMS לסמארטפון בזמן שאתם מנסים להתחבר לחשבון מהטאבלט או מהמחשב.
הבעיה היא שאם מישהו יפרוץ אי פעם לחשבון שלכם ב-LastPass - הוא יקבל גישה באותה נשימה גם לסיסמאות שלכם וגם לקודים החד-פעמיים שלכם, שלאפליקציה יש גישה אליהם. ככה, בעצם, האימות הדו-שלבי מאבד את כל המטרה שלו - שתי סיסמאות נפרדות שאי אפשר לקשר ביניהן.
אמנם, השירות של LastPass די מאובטח, אך הוא כבר נפרץ בעבר ונגנבו ממנו פרטי משתמשים וסיסמאות (מוצפנים, אבל בסוף אפשר לפענח אותם עם מספיק כוח מחשוב וזמן), מה שאומר שהוא עלול גם להיפרץ בעתיד. לכן, ההמלצה שלנו היא לא להשתמש בהצעה של החברה לקצר לכם את האימות הדו-שלבי.