אימות דו-שלבי (2FA)

נבדק לאחרונה: מרץ 2026

שכבת אבטחה נוספת שמוודאת את זהות המשתמש באמצעות שני גורמים שונים, לא רק סיסמה

אימות דו-שלבי (Two-Factor Authentication / 2FA) הוא שיטת אבטחה שדורשת מהמשתמש להוכיח את זהותו בשתי דרכים שונות לפני קבלת גישה לחשבון. בדרך כלל מדובר בשילוב של "משהו שאתה יודע" (סיסמה) עם "משהו שיש לך" (טלפון נייד) או "משהו שאתה" (טביעת אצבע).¹

בישראל, בנק ישראל מחייב את כל הבנקים ליישם אימות דו-שלבי בפעולות רגישות כמו העברות כספים, הוספת מוטבים חדשים ושינוי פרטי חשבון. בפועל, כשלקוח מבצע העברה בנקאית דרך האפליקציה, הוא מתבקש לאשר באמצעות קוד SMS, התראת Push או אימות ביומטרי – בנוסף לסיסמת הכניסה.²

שימוש ב-2FA מפחית דרמטית את הסיכון לפריצה לחשבון. גם אם הסיסמה נגנבה (דרך פישינג, פריצת מאגר או ניחוש), התוקף עדיין צריך את הגורם השני, שנמצא פיזית אצל בעל החשבון.³

סוגי אימות דו-שלבי

SMS OTP: קוד חד-פעמי שנשלח בהודעת טקסט, נפוץ אך פחות מאובטח עקב סיכון ל-SIM Swapping.
אפליקציית Authenticator: אפליקציה שמייצרת קודים מתחלפים כל 30 שניות (כמו Google Authenticator), מאובטחת יותר מ-SMS.
Push Notification: התראה באפליקציית הבנק שהלקוח מאשר בלחיצה , נוח ומאובטח.
מפתח פיזי (Security Key): התקן USB או NFC שמחובר למחשב/טלפון, רמת האבטחה הגבוהה ביותר.

למה SMS לבד לא מספיק?

במתקפת SIM Swapping, עבריין משכנע את חברת הסלולר להעביר את מספר הטלפון לכרטיס SIM שברשותו , וכך מקבל את כל הודעות ה-SMS, כולל קודי 2FA. לכן בנקים ישראליים עוברים להתראות Push ולאימות ביומטרי כחלופה מאובטחת יותר.

SMS אינו בטוח

אימות דו-שלבי באמצעות SMS נחשב לחלש ביותר. תוקפים יכולים ליירט הודעות SMS דרך מתקפת SIM Swap (העברת מספר טלפון לסים שלהם). מומלץ מאוד לעבור לאפליקציית אימות (Google Authenticator, Authy) או מפתח חומרה (YubiKey) לכל חשבונות ההשקעות.

סיכום

אימות דו-שלבי הוא שכבת ההגנה החשובה ביותר על חשבונות פיננסיים מקוונים. העדיפו אפליקציית אימות (כמו Google Authenticator) על פני SMS, שמרו גיבוי של קודי שחזור במקום בטוח, והפעילו 2FA בכל חשבון שתומך בכך, במיוחד בנקים, ברוקרים וארנקים דיגיטליים.

מקורות

NIST. "Digital Identity Guidelines - Authentication and Lifecycle Management (SP 800-63B)" pages.nist.gov ↗ ↩
בנק ישראל. "הנחיות לאבטחת מידע בתאגידים בנקאיים - אימות לקוחות" boi.org.il ↗ ↩
Duo Security / Cisco. "2023 State of the Auth Report - Two-Factor Authentication Adoption" duo.com ↗ ↩

מושגי מפתח

OTP (One-Time Password)

סיסמה חד-פעמית שתקפה לזמן קצר, נשלחת ב-SMS, במייל או מיוצרת באפליקציה. כל קוד משמש לאימות יחיד בלבד.

SIM Swapping

מתקפה שבה עבריין מעביר את מספר הטלפון שלכם לכרטיס SIM שלו, ומקבל גישה לקודי SMS ולחשבונות מקושרים.

MFA (Multi-Factor Authentication)

אימות רב-שלבי, הרחבה של 2FA לשלושה גורמים או יותר. נפוץ בשירותים פיננסיים רגישים במיוחד.

אימות דו-שלבי (2FA)

נבדק לאחרונה: מרץ 2026

שכבת אבטחה נוספת שמוודאת את זהות המשתמש באמצעות שני גורמים שונים, לא רק סיסמה

סוגי אימות דו-שלבי

SMS OTP: קוד חד-פעמי שנשלח בהודעת טקסט, נפוץ אך פחות מאובטח עקב סיכון ל-SIM Swapping.
אפליקציית Authenticator: אפליקציה שמייצרת קודים מתחלפים כל 30 שניות (כמו Google Authenticator), מאובטחת יותר מ-SMS.
Push Notification: התראה באפליקציית הבנק שהלקוח מאשר בלחיצה , נוח ומאובטח.
מפתח פיזי (Security Key): התקן USB או NFC שמחובר למחשב/טלפון, רמת האבטחה הגבוהה ביותר.

למה SMS לבד לא מספיק?

SMS אינו בטוח

סיכום

מקורות

NIST. "Digital Identity Guidelines - Authentication and Lifecycle Management (SP 800-63B)" pages.nist.gov ↗ ↩
בנק ישראל. "הנחיות לאבטחת מידע בתאגידים בנקאיים - אימות לקוחות" boi.org.il ↗ ↩
Duo Security / Cisco. "2023 State of the Auth Report - Two-Factor Authentication Adoption" duo.com ↗ ↩

מושגי מפתח

OTP (One-Time Password)

סיסמה חד-פעמית שתקפה לזמן קצר, נשלחת ב-SMS, במייל או מיוצרת באפליקציה. כל קוד משמש לאימות יחיד בלבד.

SIM Swapping

מתקפה שבה עבריין מעביר את מספר הטלפון שלכם לכרטיס SIM שלו, ומקבל גישה לקודי SMS ולחשבונות מקושרים.

MFA (Multi-Factor Authentication)

אימות רב-שלבי, הרחבה של 2FA לשלושה גורמים או יותר. נפוץ בשירותים פיננסיים רגישים במיוחד.

תוכן עניינים

אימות דו-שלבי (2FA)

סוגי אימות דו-שלבי

מקורות

מושגי מפתח

תוכן עניינים

אימות דו-שלבי (2FA)

סוגי אימות דו-שלבי

מקורות

מושגי מפתח