OpenAI מגיעים לאבטח:ChatGPT עם אימות עמיד ל'פישינג' ומפתחות אבטחה
OpenAI הכריזה על Advanced Account Security, שכבת אבטחה חדשה ואופציונלית לחשבונות ChatGPT ו-Codex. ההגדרה מחייבת התחברות באמצעות Passkeys או מפתחות אבטחה פיזיים, מקשיחה שחזור חשבון ומקצרת סשנים כדי לצמצם השתלטות על חשבונות. במקביל, OpenAI משתפת פעולה עם Yubico להצעת חבילת YubiKey במחיר מועדף.
שכבת אבטחה חדשה לחשבונות ChatGPT ו-Codex הושקה בימים האחרונים, כפי שנחשף בפרסום של OpenAI. החברה מציגה את Advanced Account Security, הגדרה חדשה בהפעלה יזומה שמיועדת למשתמשים שנמצאים בסיכון גבוה למתקפות דיגיטליות, וכן לכל מי שרוצה את רמת ההגנה החזקה ביותר לחשבון.
לפי OpenAI, חשבונות ChatGPT הפכו בשנים האחרונות למוקד מידע רגיש במיוחד: החל משאלות אישיות ועד עבודה מקצועית עתירת סיכונים. כאשר משתמשים מחברים כלים ותהליכי עבודה לחשבון, אירוע של השתלטות על חשבון עלול להפוך לנזק משמעותי, גם מבחינת פרטיות וגם מבחינת המשכיות עסקית. זו הסיבה שהחברה מציינת אוכלוסיות כמו עיתונאים, נבחרי ציבור, פעילים פוליטיים, חוקרים ומשתמשים עם מודעות אבטחתית גבוהה כקהל יעד טבעי.
רוצה להישאר מעודכן ב-AI?
הירשם לדיוור השבועי שלנו וקבל עדכונים, המלצות על כלים, חדשות ודוחות מיוחדים
מה כוללת Advanced Account Security בפועל
החידוש המרכזי הוא מעבר לאימות עמיד ל'פישינג' כברירת מחדל עבור מי שמפעיל את ההגדרה. OpenAI מחייבת שימוש ב-Passkeys או במפתחות אבטחה פיזיים, ומבטלת התחברות מבוססת סיסמה. בהקשר טכני, Passkeys נשענים על תקני FIDO2/WebAuthn: במקום להקליד סיסמה שניתן לגנוב או לשכנע את המשתמש למסור, ההתחברות מתבצעת באמצעות קריפטוגרפיה של מפתח ציבורי ופרטי, כשהמפתח הפרטי נשמר במכשיר מאובטח (למשל במנהל סיסמאות / מנגנון מערכת ההפעלה או במפתח חומרה). המשמעות היא שגם אם תוקף יקים אתר מתחזה, מנגנון WebAuthn לא ישלים אימות לדומיין שגוי, וכך מתקפות פישינג נפוצות מאבדות יעילות.
בהיבט שחזור החשבון, OpenAI מקשיחה את המנגנון באופן שמבקש לצמצם תרחיש שבו תוקף משיג שליטה על האימייל או מספר הטלפון של המשתמש ומבצע איפוס. עם הפעלת Advanced Account Security, שחזור באמצעות אימייל או SMS מבוטל, ובמקומו נדרשים אמצעים חזקים יותר: Passkeys לגיבוי, מפתחות אבטחה פיזיים ומפתח שחזור ייעודי. OpenAI מדגישה נקודה חשובה: בשל ההקשחה הזו, צוות התמיכה לא יוכל לסייע בשחזור חשבונות למשתמשים שנרשמו להגדרה. בפועל, המשתמש מקבל יותר ביטחון נגד חטיפה, אבל גם יותר אחריות לניהול גיבויים והחזקה בטוחה של מפתחות.
שכבה נוספת היא ניהול סשנים, עם קיצור זמן התחברות כדי להקטין את חלון החשיפה במקרה שמכשיר או סשן פעיל נפרצו. המשתמשים מקבלים התראות על התחברות לחשבון ויכולים לעיין ולנהל סשנים פעילים בין מכשירים. זהו מנגנון שמוכר ממערכות ארגוניות, וכאן הוא מגיע כחלק מחבילת הגנה מרוכזת.
OpenAI מוסיפה גם מרכיב פרטיות בעל משמעות לקהילת הטכנולוגיה: כאשר Advanced Account Security מופעל, שיחות מהחשבונות הללו לא ישמשו לאימון המודלים באופן אוטומטי. עבור צוותים שעוסקים במידע רגיש, זהו מנגנון שמפחית חיכוך תפעולי ומקטין את הסיכון לטעויות הגדרה, אם כי עדיין נדרש להבין את מדיניות השמירה והעיבוד הכוללת של השירות.
שיתוף פעולה עם Yubico והנגשה של מפתחות אבטחה
כדי להפוך אימות עם מפתחות חומרה לנגיש יותר, OpenAI הכריזה על שותפות עם Yubico, יצרנית YubiKey. לפי הפרסום, משתמשים יקבלו תמחור מועדף לחבילה מותאמת שכוללת YubiKey C Nano לשימוש יומיומי “נמוך חיכוך” (מפתח קטן שנשאר בלפטופ), לצד YubiKey C NFC כגיבוי ולשימוש רוחבי גם במובייל. לצד זאת, OpenAI מציינת שניתן להשתמש בכל מפתח אבטחה תואם FIDO, או ב-Passkeys מבוססי תוכנה.
דרישה מחייבת במערך Trusted Access for Cyber
OpenAI קושרת את המהלך גם לתוכנית Trusted Access for Cyber, שמספקת גישה למודלים “מסוגלים יותר ומתירניים יותר” עבור מגיני סייבר מאומתים. החל מ-1 ביוני 2026, חברים פרטיים בתוכנית שיקבלו גישה למודלים עם יכולות סייבר מתקדמות יידרשו להפעיל Advanced Account Security. ארגונים יכולים כחלופה להצהיר שיש להם אימות עמיד לפישינג כחלק מזרימת ה-SSO שלהם.
בפועל, Advanced Account Security מסמנת מגמה ברורה: כאשר AI הופכת לתשתית עבודה ולמאגר ידע אישי, אבטחת חשבון אינה “תוספת” אלא שכבת בסיס. ההגדרה זמינה להצטרפות דרך סעיף האבטחה בחשבון ChatGPT בגרסת הווב, וההגנה חלה גם על Codex תחת אותו Login.