چرا مردم می گویند احراز هویت دو مرحله ای کامل نیست

هنگامی که احراز هویت دو مرحله ای برای اولین بار معرفی شد، امنیت دستگاه را متحول کرد و کمک کرد تا سرقت هویت بسیار دشوارتر شود – با هزینه اندک یک ناراحتی جزئی که به ورود به سیستم اضافه شد.

اما این کامل نیست و تمام مشکلات هک و سرقت اطلاعات ما را حل نکرده است. برخی اخبار اخیر زمینه بیشتری را در مورد اینکه چگونه هکرها احراز هویت دو عاملی را دور می زنند و برخی از اعتماد ما به آن را از بین می برند، ارائه کرده است.

احراز هویت دو مرحله ای دقیقا چیست؟

احراز هویت دو مرحله ای یک لایه امنیتی اضافی به فرآیند ورود به سیستم دستگاه ها و سرویس ها اضافه می کند. پیش از این، ورود به سیستم دارای یک عامل احراز هویت بود – معمولاً یک رمز عبور یا یک ورود بیومتریک مانند اسکن اثر انگشت یا شناسه چهره، که گاهی اوقات با سؤالات امنیتی اضافه می شد. این مقداری امنیت را فراهم می‌کرد، اما به‌ویژه با رمزهای عبور ضعیف یا گذرواژه‌های پرشده خودکار (یا اگر پایگاه‌های اطلاعاتی ورود هک شده بود و این اطلاعات در وب تاریک نشان داده می‌شد) بسیار عالی بود.

احراز هویت دو مرحله‌ای با افزودن یک عامل دوم، این مسائل را برطرف می‌کند، کاری که فرد باید انجام دهد تا مطمئن شود که واقعاً آنها هستند و مجوز دسترسی دارند. این معمولاً به معنای ارسال کد از طریق کانال دیگری است، مانند دریافت یک پیام متنی یا ایمیل از سرویس، که سپس باید آن را وارد کنید.

برخی از کدهای حساس به زمان (TOTP، گذرواژه یک بار مصرف مبتنی بر زمان)، و برخی دیگر از کدهای منحصر به فرد مرتبط با یک دستگاه خاص (HOTP، گذرواژه یک بار مبتنی بر HMAC) استفاده می کنند. برخی از نسخه های تجاری حتی ممکن است از کلیدهای فیزیکی اضافی استفاده کنند که باید در دست داشته باشید.

این ویژگی امنیتی آنقدر رایج شده است که احتمالاً به دیدن پیام‌هایی مانند «یک ایمیل با کد امنیتی برای شما ارسال کرده‌ایم که باید آن را وارد کنید، اگر آن را دریافت نکرده‌اید، لطفاً فیلتر اسپم خود را بررسی کنید» عادت کرده‌اید. رایج ترین روش برای دستگاه های جدید است، و اگرچه زمان کمی می برد، اما در مقایسه با روش های تک عاملی، جهشی بزرگ در امنیت است. اما برخی از اشکالات وجود دارد.

به نظر می رسد بسیار امن است. مشکل چیه؟

اخیراً گزارشی از شرکت امنیت سایبری Sophos منتشر شده است که جزئیات روش جدیدی را که هکرها در حال دور زدن احراز هویت دو عاملی هستند، توضیح می دهد: کوکی ها. بازیگران بد «دزدان کوکی» هستند که به آنها تقریباً به هر نوع مرورگر، سرویس وب، حساب ایمیل یا حتی فایل دسترسی دارند.

این مجرمان سایبری چگونه این کوکی ها را دریافت می کنند؟ خوب، Sophos خاطرنشان می‌کند که بات‌نت Emotet یکی از بدافزارهایی است که کوکی‌ها را می‌دزدد و داده‌های مرورگرهای Google Chrome را هدف قرار می‌دهد. مردم همچنین می توانند کوکی های دزدیده شده را از طریق بازارهای زیرزمینی خریداری کنند، که در مورد اخیر EA که جزئیات ورود به سیستم در بازاری به نام Genesis منتشر شد، شناخته شد. نتیجه 780 گیگابایت اطلاعات دزدیده شده بود که برای باج‌گیری از شرکت استفاده شد.

در حالی که این یک مورد تبلیغاتی است، روش اصلی وجود دارد و نشان می دهد که احراز هویت دو عاملی به دور از یک گلوله نقره ای است. علاوه بر سرقت کوکی، تعدادی از مسائل دیگر نیز وجود دارد که طی سال‌ها شناسایی شده‌اند:

• اگر یک هکر نام کاربری یا رمز عبور شما را برای سرویسی به دست آورد، ممکن است بتواند به ایمیل شما (به خصوص اگر از همان رمز عبور استفاده می کنید) یا شماره تلفن شما دسترسی داشته باشد. این امر به‌ویژه برای احراز هویت دو مرحله‌ای مبتنی بر پیامک/متن مشکل‌ساز است، زیرا شماره تلفن‌ها به راحتی پیدا می‌شوند و می‌توان از آنها برای کپی کردن تلفن (در میان سایر ترفندها) و دریافت کد متنی استفاده کرد. کار بیشتر می‌طلبد، اما یک هکر مصمم هنوز راه روشنی دارد.
• برنامه‌های احراز هویت دو مرحله‌ای فردی مانند Google Auth یا Duo بسیار امن‌تر هستند، اما نرخ پذیرش بسیار پایین است. مردم تمایل ندارند برنامه دیگری را فقط برای اهداف امنیتی برای یک سرویس دانلود کنند، و سازمان‌ها به جای اینکه از مشتریان بخواهند یک برنامه شخص ثالث را دانلود کنند، خیلی راحت‌تر می‌توانند به سادگی «ایمیل یا پیام متنی» را بپرسند. به عبارت دیگر، بهترین انواع احراز هویت دو مرحله ای در واقع استفاده نمی شود.
• گاهی اوقات بازنشانی رمزهای عبور بسیار آسان است. سارقان هویت می توانند اطلاعات حساب کافی برای تماس با خدمات مشتری یا یافتن راه های دیگر برای درخواست رمز عبور جدید را جمع آوری کنند. این اغلب هر گونه احراز هویت دو عاملی را دور می زند و هنگامی که کار می کند، به سارقان اجازه می دهد تا مستقیماً به حساب دسترسی داشته باشند.
• اشکال ضعیف‌تر احراز هویت دو عاملی محافظت کمی در برابر دولت‌های ملی ارائه می‌کنند. دولت‌ها ابزارهایی دارند که می‌توانند به راحتی با احراز هویت دو مرحله‌ای مقابله کنند، از جمله نظارت بر پیام‌های SMS، احضار شرکت‌های مخابراتی بی‌سیم، یا رهگیری کدهای احراز هویت به روش‌های دیگر. این خبر خوبی برای کسانی نیست که خواهان راه هایی برای حفظ خصوصی اطلاعات خود از رژیم های توتالیتر هستند.
• بسیاری از طرح‌های سرقت اطلاعات، احراز هویت دو مرحله‌ای را به طور کامل دور می‌زنند و در عوض بر فریب دادن افراد تمرکز می‌کنند. فقط به تمام تلاش‌های فیشینگ که وانمود می‌کنند از سوی بانک‌ها، سازمان‌های دولتی، ISP‌ها و غیره انجام شده‌اند که اطلاعات مهم حساب را مطالبه می‌کنند، نگاه کنید. این پیام‌های فیشینگ می‌توانند بسیار واقعی به نظر برسند و ممکن است شامل مواردی مانند “ما به کد احراز هویت شما نیاز داریم تا بتوانیم تأیید کنیم که شما صاحب حساب هستید” یا ترفندهای دیگری برای دریافت کد باشد.

آیا باید به استفاده از احراز هویت دو مرحله ای ادامه دهم؟

کاملا. در واقع، شما باید خدمات و دستگاه های خود را بررسی کنید و احراز هویت دو مرحله ای را در صورت وجود فعال کنید. امنیت بسیار بهتری را در برابر مسائلی مانند سرقت هویت نسبت به نام کاربری و رمز عبور ارائه می دهد.

حتی احراز هویت دو مرحله‌ای مبتنی بر پیامک بسیار بهتر از هیچ‌کدام است. در واقع، مؤسسه ملی استاندارد و فناوری یک بار استفاده از پیامک را برای احراز هویت دو مرحله‌ای توصیه نمی‌کرد، اما سال بعد آن را لغو کرد، زیرا علیرغم نقص‌هایی که داشت، هنوز ارزشش را داشت.

در صورت امکان، یک روش احراز هویت غیر متنی را انتخاب کنید و شکل بهتری از امنیت خواهید داشت. همچنین، رمزهای عبور خود را قوی نگه دارید و در صورت امکان از یک مدیر رمز عبور برای ایجاد آنها برای ورود استفاده کنید.

چگونه می توان احراز هویت دو مرحله ای را بهبود بخشید؟

دور شدن از احراز هویت مبتنی بر پیامک پروژه بزرگ فعلی است. این امکان وجود دارد که احراز هویت دو مرحله ای راه خود را به تعداد انگشت شماری از برنامه های شخص ثالث مانند Duo باز کند که بسیاری از نقاط ضعف مرتبط با این فرآیند را برطرف می کند. و فیلدهای پرخطر بیشتری به MFA یا احراز هویت چند عاملی منتقل می‌شوند، که یک شرط سوم مانند اثر انگشت یا سؤالات امنیتی اضافی را اضافه می‌کند.

اما بهترین راه برای از بین بردن مشکلات احراز هویت دو مرحله ای، معرفی جنبه فیزیکی و سخت افزاری است. شرکت‌ها و سازمان‌های دولتی در حال حاضر شروع به درخواست این برای سطوح خاصی از دسترسی کرده‌اند. در آینده نزدیک، احتمال زیادی وجود دارد که همه ما کارت‌های احراز هویت شخصی‌سازی شده را در کیف پول‌های خود داشته باشیم، که هنگام ورود به سرویس‌ها، آماده تند کشیدن روی دستگاه‌هایمان هستند. ممکن است در حال حاضر عجیب به نظر برسد، اما با افزایش شدید حملات امنیت سایبری، این ممکن است زیباترین راه حل باشد.

توصیه های سردبیران