נותנים תאריך הנפקת תעודות זהות? זה עלול להיות מסוכן

מערך הסייבר הלאומי מזהיר היום (שני) מפני שימוש בתאריך הנפקת תעודת זהות כאמצעי אימות במערכות - וקורא לארגונים להפסיק עם זה, ולעבור לשיטות זיהוי ואימות מתקדמות ובטוחות יותר.

מספר תעודת הזהות, מזהירים במערך, הוא פרט סטטי, גלוי ונגיש שלא עומד בתקני אבטחת מידע בין-לאומיים ומהווה נקודת תורפה חמורה במערכות הזדהות דיגיטליות; בשנים האחרונות יותר ויותר אנשים מצלמים את תעודת הזהות שלהם ומשתפים אותה עם גורמים שונים, למשל, בעת קבלת משלוחים, השכרת דירה או קבלת שירותים, לצד מקרים רבים של דלף מידע כתוצאה ממתקפות סייבר או הגדרות שגויות.

מידע זה, יחד עם מספר תעודת הזהות, עלול לשמש האקרים ונוכלים לגניבת זהות להתחזות בכניסה למערכות הזדהות ולמתקפות דיוג (פישינג). כשבשנים האחרונות, כפי שמוסרים במערך, נרשמה עלייה חדה במקרי הונאה שהתבססו על פרטי תעודות זהות שנגנבו או דלפו לרשת.

"רבים מהציבור אינם מודעים מספיק לכך שצילום תעודת הזהות שהועבר כבדרך אגב למשל לשליח, עלול להביא לזיוף זהות דיגיטלית, להתחזות ואף לגניבה", אומרת נעמה בן צבי, ראש היחידה להזדהות ויישומים ביומטריים במערך. "שימוש בפרטים סטטיים וגלויים במערכות הזדהות כבר אינו עומד בדרישות התקופה. יש לעבור לשיטות מתקדמות שיכולות להבחין בין משתמש לגיטימי לבין מתחזה בצורה מהימנה".

המלצות מערך הסייבר הלאומי לאימות זהות בצורה מאובטחת

1. אימות באמצעות אפליקציה: אפליקציות אימות המייצרות קוד חד-פעמי בזמן אמת, או טכנולוגיות כמו Passkey מאפשרות התחברות ללא סיסמה באמצעות קוד ייחודי למכשיר.
2. אימות בטכנולוגיות מתקדמות: שימוש בחתימה דיגיטלית, זיהוי ביומטרי (פנים, טביעת אצבע) או הצפנה מתקדמת להגנה על המידע.
3. לציבור הרחב: הימנעו משיתוף מידע רגיש, והעדיפו שיטות אימות המבוססות על מידע שאינו חשוף לציבור.

המלצת המערכת, שהועברה בימים האחרונים גם למשרדי ממשלה, שנדרשו לבחון מחדש מערכות שירות מקוונות שבהן נדרש תאריך הנפקה כחלק מהליך הזדהות, מבוססת על חוות דעת מקצועית שגובשה ביחידה להזדהות ויישומים ביומטריים במערך. זאת בהתאם למדיניות הלאומית להזדהות בטוחה ובהתאם לתקנים בין-לאומיים, המחייבים שימוש באמצעים מבוססי הצפנה, זיהוי ביומטרי או קוד משתנה במקום נתונים שהפכו כיום לגלויים.