הפעילות של המחתרת בכלא החלה לצבור תאוצה, ולודה ובלעם החלו לגייס עוד ועוד אסירים לתוכניותיהם. לצורך כך הם הפכו את תאו של בלעם לחדר מועדון, והציבו שומר גברתן בכניסה שהיה צריך לסנן את הנכנסים. הגברתן ביקש שם וסיסמה מכל מי שרצה להיכנס לתאו של בלעם ולהצטרף לדיונים המחתרתיים, ומי שלא ידע את הסיסמה, או שהסיסמה שהיתה בידיו לא תאמה את הרשימות של הגברתן, לא הורשה להיכנס.

אבל בכלא פעלה גם מחתרת אחרת, שרצתה מאוד לדעת מה נאמר בחדרו של בלעם. לצורך כך נעמד אחד מחבריה בדיסקרטיות על יד הגברתן והאזין קשב רב לסיסמה שנאמרה בכל פעם שמישהו מחברי המחתרת של לודה ביקש להיכנס. עכשיו, כשהיתה בידו הסיסמה והוא ראה למי היא שייכת, הוא העביר אותה לחבריו, ואלה יכלו גם הם לעבור את הגברתן. לא טוב, חשבו בלעם ולודה. סיסמה זה לא מספיק.

ישבו וחשבו, שעתיים בערך, והעלו רעיון חדש: הם הכינו תעודות מיוחדות עם ציור של פרח שרק בלעם ידע לצייר, והורו לגברתן בכניסה לא להכניס אף אחד אלא אם בנוסף לשם ולסיסמה הוא מציג בפניו גם את אחת התעודות עם הפרח המיוחד. רק שילוב של שלושת הדברים האלה איפשר לו להיכנס. המחשבה מאחורי זה היתה שהרבה יותר קשה להשיג גם סיסמה וגם תעודה מאותו אדם. לא בלתי אפשרי, אבל בהחלט קשה משמעותית.

וככה בעצם עובד “אימות דו שלבי” (2 Factor Authentication, או לעיתים אפילו Multi Factor Authentication): השיטה הזו דורשת “משהו שאתה יודע”, בשילוב עם “משהו שיש לך” (טלפון, כרטיס, וכו’) או “משהו שאתה” (טביעת אצבע, רשתית, וכו’). שאלות אבטחה כמו “מה היה שם נעוריו של הכלב הראשון שלך” לא נחשבות אימות דו שלבי כי הן נופלות תחת אותה קטגוריה של “משהו שאתה יודע”.

כך גם אם מצליחים ארגוני פשיעה לגנוב למשתמש את הסיסמה באמצעות קי-לוגרים (רושעות השומרות כל הקשה על המקלדת) או אמצעי ציתות אחרים, אלא אם ישיגו גישה פיזית לטלפון הנייד של המשתמש לא יצליחו להיכנס לחשבונו.

בנוסף, משתמשים רבים (וכן, אני מסתכל עליך, ועל מעל 80% מכם) נוטים להשתמש באותה סיסמה במספר אתרים. מספיק שאתר אחד יפרץ, ותוך זמן קצר (עד שעות ספורות) ינסו ההאקרים את אותה סיסמה בשלל שירותים ברשת. הפעלה של אימות דו-שלבי תמנע את כניסתם אפילו אם יש ברשותם את הסיסמה שלכם.

ברשת השימוש באימות דו שלבי הפך נפוץ מאוד, ומומלץ מאוד להפעיל אותו בכל מקום שרק אפשר. בחשבונות הגוגל שלכם אפשר להפעיל אותו מכאן, ובאתר הזה יש הסברים מפורטים על איך להפעיל אותו בשירותים רבים אחרים.

כל זה עבד יופי, עד שהצליחו אנשי המחתרת המתחרה לצייר את הפרח של בלעם בכשרון מרשים. אי אפשר היה להסתמך יותר על היכולת היחודית של בלעם, והיה צריך משהו נוסף. לצורך כך הטילה לודה תורנות על כמה מהחברים, ועכשיו כל מי שרצה להיכנס היה צריך להזדהות לפניהם, והם נתנו למבקש סיסמה חד פעמית. המבקש אז אומר את הסיסמה לגברתן, הגברתן בודק עם התורן, ואם הסיסמה תואמת - הוא מאפשר את הכניסה.

הפרקטיקה הזו נקראת OTP, ראשי תיבות של One Time Password, ויש כמה דרכים ליישם אותה. יש שירותים ששולחים את הסיסמה הזו לטלפון הנייד של המשתמש בהודעת SMS, יש שירותים שאותה סיסמה מיוצרת גם באפליקציה אצל הלקוח וגם בשרת ומתחלפת כל דקה, ויש שירותים שמשתמשים באלגוריתמים מורכבים של מפתחות הצפנה יחד עם מונה כדי לוודא שכניסה מתאפשרת רק למי שמחזיק במכשיר הנכון.

גם השיטה הזו אינה חסינה מבעיות. בטלגרם, למשל, אפשר “לפרוץ” לחשבונות באמצעות חטיפה של הודעות SMS. ממשלות כמו זו של רוסיה ושל אירן שולטות ברשת הטלפונים, וכך יכולות לנתב הודעות SMS שנשלחות לצורך אימות דו שלבי (או סתם “איפוס” סיסמה) ובכך להיכנס לחשבונות של אזרחיהן.

מכשיר שנחשב בטוח יחסית לצורך אימות דו שלבי הוא זה של Yubico, שמשתמש בהצפנה, פשוט מאוד לשימוש, ונתמך על ידי שירותים רבים. אלטרנטיבה אחרת היא אפליקציה של גוגל לטלפונים ניידים בשם Google Authenticator שמאפשרת ניהול אימות דו-שלבי להרבה מאוד שירותים אחרים.

אם יש נושאים שהייתם רוצים שלודה ובלעם יעסקו בהם, כמו למשל חוזים חכמים, סוגי מטבעות, צורות שונות של הצפנה, פרוטוקולים של תקשורת ברשת, וכל סוג של ירק שתרצו, תרגישו חופשיים להשאיר תגובות כאן למטה, והם ישקלו את העניין בחיוב.