چرا تایید هویت دو عاملی آن قدری که انتظار می رود امن نیست؟ - تکفارس 
چرا تایید هویت دو عاملی آن قدری که انتظار می رود امن نیست؟ - تکفارس 

چرا تایید هویت دو عاملی آن قدری که انتظار می رود امن نیست؟

مهدی ملکی
۱۲ تیر ۱۴۰۰ - 18:00
چرا تایید هویت دو عاملی آن قدری که انتظار می رود امن نیست؟

شاید شما نیز در مورد این توصیه امنیتی زیاد شنیده باشید: با استفاده از «تایید هویت دو عاملی» از حساب‌های شخصی خود محفاظت کنید. با استفاده از این تکنیک، دسترسی هکرها به حسابتان را سخت‌تر خواهید کرد؛ به این ترتیب که اگر رمز عبور خود را با کدی که از طریق پیام متنی فرستاده می‌شود و یا توسط نرم‌افزارهایی مثل Google Authenticator ساخته می‌شود، هماهنگ کنید، امنیت حساب خود را بهبود داده‌اید.

مشکل اصلی این روش این است که به راحتی می‌توان آن را دور زد. برای مثال، می‌توانید از مدیر اجرایی توییتر، جک دورسی (Jack Dorsey) بپرسید که چگونه هکرها موفق شدند با استفاده از حمله «تعویض سیم‌کارت» به حساب کاربری توییتر او دسترسی پیدا کنند. در این حمله هکرها، سرویس‌دهنده سیم‌کارت را به تغییر سرویس به یک شماره جدید متقاعد می‌کنند و سپس کد تایید هویت دو عاملی به شماره جدید فرستاده می‌شود.

مطالب مرتبط:

امروزه بانک‌ها، شبکه‌های اجتماعی و دیگر سرویس‌های آنلاین در حال حرکت به سمت استفاده از تایید هویت دو عاملی برای مقابله با سیل حمله هکرها و دزدی اطلاعات شخصی کاربران هستند. بیش از ۵۵۵ میلیون رمز عبور پس از یک رخنه اطلاعاتی در فضای اینترنت پخش شده‌ است. حتی اگر گذرواژه شما در فهرست رمز عبورهای لو رفته نیست، با توجه به اینکه بیشتر افراد حتی خود هکرها دوباره از پسوردهای قبلی خود برای دیگر حساب‌های کاربری‌شان استفاده می‌کنند، بیشتر از آنچه که تصور می‌کنید در معرض خطر هستید.

اشتباه برداشت نکنید، تکنیک امنیتی تایید هویت دو عاملی می‌تواند همچنان مفید واقع شود.  محققان امنیت با توسعه تایید هویت دو عاملی، برای جلوگیری از نفوذ هکرها تایید هویت چند عاملی را پیشنهاد کرده‌اند. تایید هویت چند عاملی ورود به سیستم را برای کاربر عذاب‌آور اما بسیار ایمن می‌کند. همانطور که از اسم آن مشخص است، این تکنیک بر پایه ترکیب چندین فاکتور توسعه یافته‌ است که این عوامل خصوصیات مختلفی را در برخواهند داشت. برای مثال، یک رمز عبور کدی است که شما می‌دانید و کلید امنیتی کدی است که به شما داده می‌شود، و اثر انگشت یا اسکن صورت در واقع قسمتی از وجود خود شما است.

تایید هویت دو عاملی

رهگیری کد احراز هویت

متاسفانه، تایید هویت دو عاملی مبتنی بر کد، نمی‌تواند آنچنان که انتظار می‌رود، سطح امنیت اطلاعات شخصی شما را افزایش دهد. به این دلیل که کد تاییدی که برای شما فرستاده می‌شود ماهیتی متفاوت از رمز عبورتان نخواهد داشت و طول عمر کوتاه‌تر این کد مانع از دزدیده شدن آن توسط هکرها نمی‌شود. مانند گذرواژه، اگر این کد دزدیده شود، امنیت اطلاعات شما در معرض خطر قرار خواهد گرفت.

هکرها می‌توانند با ساخت وب‌سایت‌های جعلی اطلاعات شما را بدست بیاورند. برای مثال یک محقق امنیت، نرم‌افزاری به نام  Modlishka طراحی کرده‌ است تا میزان آسیب‌پذیری وب‎سایت‌ها در مقابل حمله هکرها را نشان دهد. این نرم‌افزار به صورت خودکار فرآیند هک را انجام می‌دهد. متاسفانه هیچ مانعی بر سر راه هکرها برای ساخت این نرم‌افزارها یا سایر ابزارهای هک وجود ندارد.

این حمله‌ها معمولا به این صورت انجام می‌شود که یک پیام متنی یا یک ایمیل، شما را به یک وب‌سایت جعلی هدایت می‌کند که هکرها می‌توانند به صورت خودکار و بلادرنگ از نسخه اصلی آن وب‌سایت کپی‌برداری کنند تا این وب‌سایت جعلی قانع‌کننده جلوه کند. در آن وب‌سایت جعلی، شما اطلاعات ورود خود و کدی که توسط پیامک یا نرم‌افزار احراز هویت دریافت کرده‌اید را وارد می‌کنید؛ سپس هکرها این اطلاعات را در وب‌سایت واقعی وارد می‌کنند تا به حساب کاربری شما دسترسی پیدا کنند.

تایید هویت دو عاملی

حمله تعویض سیم‌کارت

یک نوع حمله دیگر موسوم به حمله تعویض سیم‌کارت وجود دارد که هکر‌ها با استفاده از آن توانسته‌اند به حساب توییتر جک دورسی دسترسی پیدا کنند. یک هکر هویت شما را جعل می‌کند، و یک کارمند شرکت خدمات موبایل مانند همراه اول، ایرانسل، ورایزن یا AT&T را قانع می‌کند تا خدمات سرویس موبایلتان را به تلفن هکر منتقل کند. هر گوشی، یک چیپ – یک قسمت هویت کاربر یا سیم‌کارت – دارد که توسط آن در شبکه شناسایی می‌شود. با انتقال حساب شما به سیم‌کارت هکر، او می‌تواند محتویات تمامی پیام‌های شما از جمله پیام کد تایید هویت فرستاده شده برای ورود به یک سیستم را بخواند.

نکته قابل توجه این است که نباید روش تایید هویت دو عاملی را بخاطر بی‌نقص نبودن کنار بگذارید. مسلما بهتر از استفاده از رمز عبور به تنهایی خواهد بود و همچنان می‌تواند امنیت حسابتان را در مقابل طیف گسترده‌ای از حمله هکرها تضمین کند؛ اما برای حساب‌های حساس و مهم حتما یک راه حفاظت قوی‌تری، مانند کلیدهای امنیتی سخت‌افزاری را در نظر بگیرید. فیسبوک، گوگل، توییتر، دراپ‌باکس، گیت‌هاب و مایکروسافت امروزه از این تکنولوژی پشتیبانی می‌کنند.

 

اینستاگرام تکفارستلگرام تکفارس

مطالب مرتبط سایت

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.