شاید شما نیز در مورد این توصیه امنیتی زیاد شنیده باشید: با استفاده از «تایید هویت دو عاملی» از حسابهای شخصی خود محفاظت کنید. با استفاده از این تکنیک، دسترسی هکرها به حسابتان را سختتر خواهید کرد؛ به این ترتیب که اگر رمز عبور خود را با کدی که از طریق پیام متنی فرستاده میشود و یا توسط نرمافزارهایی مثل Google Authenticator ساخته میشود، هماهنگ کنید، امنیت حساب خود را بهبود دادهاید.
مشکل اصلی این روش این است که به راحتی میتوان آن را دور زد. برای مثال، میتوانید از مدیر اجرایی توییتر، جک دورسی (Jack Dorsey) بپرسید که چگونه هکرها موفق شدند با استفاده از حمله «تعویض سیمکارت» به حساب کاربری توییتر او دسترسی پیدا کنند. در این حمله هکرها، سرویسدهنده سیمکارت را به تغییر سرویس به یک شماره جدید متقاعد میکنند و سپس کد تایید هویت دو عاملی به شماره جدید فرستاده میشود.
مطالب مرتبط:
امروزه بانکها، شبکههای اجتماعی و دیگر سرویسهای آنلاین در حال حرکت به سمت استفاده از تایید هویت دو عاملی برای مقابله با سیل حمله هکرها و دزدی اطلاعات شخصی کاربران هستند. بیش از ۵۵۵ میلیون رمز عبور پس از یک رخنه اطلاعاتی در فضای اینترنت پخش شده است. حتی اگر گذرواژه شما در فهرست رمز عبورهای لو رفته نیست، با توجه به اینکه بیشتر افراد حتی خود هکرها دوباره از پسوردهای قبلی خود برای دیگر حسابهای کاربریشان استفاده میکنند، بیشتر از آنچه که تصور میکنید در معرض خطر هستید.
اشتباه برداشت نکنید، تکنیک امنیتی تایید هویت دو عاملی میتواند همچنان مفید واقع شود. محققان امنیت با توسعه تایید هویت دو عاملی، برای جلوگیری از نفوذ هکرها تایید هویت چند عاملی را پیشنهاد کردهاند. تایید هویت چند عاملی ورود به سیستم را برای کاربر عذابآور اما بسیار ایمن میکند. همانطور که از اسم آن مشخص است، این تکنیک بر پایه ترکیب چندین فاکتور توسعه یافته است که این عوامل خصوصیات مختلفی را در برخواهند داشت. برای مثال، یک رمز عبور کدی است که شما میدانید و کلید امنیتی کدی است که به شما داده میشود، و اثر انگشت یا اسکن صورت در واقع قسمتی از وجود خود شما است.
رهگیری کد احراز هویت
متاسفانه، تایید هویت دو عاملی مبتنی بر کد، نمیتواند آنچنان که انتظار میرود، سطح امنیت اطلاعات شخصی شما را افزایش دهد. به این دلیل که کد تاییدی که برای شما فرستاده میشود ماهیتی متفاوت از رمز عبورتان نخواهد داشت و طول عمر کوتاهتر این کد مانع از دزدیده شدن آن توسط هکرها نمیشود. مانند گذرواژه، اگر این کد دزدیده شود، امنیت اطلاعات شما در معرض خطر قرار خواهد گرفت.
هکرها میتوانند با ساخت وبسایتهای جعلی اطلاعات شما را بدست بیاورند. برای مثال یک محقق امنیت، نرمافزاری به نام Modlishka طراحی کرده است تا میزان آسیبپذیری وبسایتها در مقابل حمله هکرها را نشان دهد. این نرمافزار به صورت خودکار فرآیند هک را انجام میدهد. متاسفانه هیچ مانعی بر سر راه هکرها برای ساخت این نرمافزارها یا سایر ابزارهای هک وجود ندارد.
این حملهها معمولا به این صورت انجام میشود که یک پیام متنی یا یک ایمیل، شما را به یک وبسایت جعلی هدایت میکند که هکرها میتوانند به صورت خودکار و بلادرنگ از نسخه اصلی آن وبسایت کپیبرداری کنند تا این وبسایت جعلی قانعکننده جلوه کند. در آن وبسایت جعلی، شما اطلاعات ورود خود و کدی که توسط پیامک یا نرمافزار احراز هویت دریافت کردهاید را وارد میکنید؛ سپس هکرها این اطلاعات را در وبسایت واقعی وارد میکنند تا به حساب کاربری شما دسترسی پیدا کنند.
حمله تعویض سیمکارت
یک نوع حمله دیگر موسوم به حمله تعویض سیمکارت وجود دارد که هکرها با استفاده از آن توانستهاند به حساب توییتر جک دورسی دسترسی پیدا کنند. یک هکر هویت شما را جعل میکند، و یک کارمند شرکت خدمات موبایل مانند همراه اول، ایرانسل، ورایزن یا AT&T را قانع میکند تا خدمات سرویس موبایلتان را به تلفن هکر منتقل کند. هر گوشی، یک چیپ – یک قسمت هویت کاربر یا سیمکارت – دارد که توسط آن در شبکه شناسایی میشود. با انتقال حساب شما به سیمکارت هکر، او میتواند محتویات تمامی پیامهای شما از جمله پیام کد تایید هویت فرستاده شده برای ورود به یک سیستم را بخواند.
نکته قابل توجه این است که نباید روش تایید هویت دو عاملی را بخاطر بینقص نبودن کنار بگذارید. مسلما بهتر از استفاده از رمز عبور به تنهایی خواهد بود و همچنان میتواند امنیت حسابتان را در مقابل طیف گستردهای از حمله هکرها تضمین کند؛ اما برای حسابهای حساس و مهم حتما یک راه حفاظت قویتری، مانند کلیدهای امنیتی سختافزاری را در نظر بگیرید. فیسبوک، گوگل، توییتر، دراپباکس، گیتهاب و مایکروسافت امروزه از این تکنولوژی پشتیبانی میکنند.
نظرات