1. خانه
  2. تکنولوژی
  3. آیا با وجود تایید دو مرحله ای ممکن است هک شویم؟

آیا با وجود تایید دو مرحله ای ممکن است هک شویم؟

 

امنیت روش های مختلف تایید دو مرحله ای

امنیت سایبری مثل بازی Whack a mole است. به محض اینکه فرد نیکوکاری یک روش موثر در برابر حمله ها معرفی می کند، مشکل بعدی رو می شود. این بازی ممکن است در امنیت روش های تایید دو مرحله ای هم حکمفرما باشند.

در گذشته داشتن یوزرنیم و پسور به تنهایی امنیت یک حساب کاربری را تضمین می کرد. اما رفته رفته، مجرمان سایبری راه حل دور زدن این لایه های امنیتی را کشف کردند.

هکرها بیشتر اوقات به وسیله حمله بروت فورس (Brute Force) یک حساب را مورد بمباران یوزرنیم ها و پسوردهای متعدد قرار می دهند، تا از بین این تعداد بالاخره یکی از این ترکیب ها درست باشد. برای جلوگیری با این حمله ها، نیاز به لایه امنیتی دومی به اسم تایید دو مرحله ای یا Two-factor Authentication داریم. اگرچه امروزه این روش امنیتی بسیار رایج و شناخته شده است، اما آیا داشتن تایید دومرحله ای امنیت حساب مارو تایید می کند؟ آیا با داشتن تایید دومرحله ای ممکن است هک شویم؟ با مرکز دانش میزبان نت همراه باشید تا به این سوال اساسی جواب دهیم.

تایید دو مرحله ای روشی قابل هک است

روش های مختلف تایید دو مرحله ای

داشتن یک روش احراز هویت دو یا چند مرحله ای به تنهایی نمی تواند امنیت اطلاعات شما را تضمین کند. ویژگی های مختلفی در روش های متفاوت افزایش امنیت دو مرحله ای وجود دارد. در بخش بعدی انواع روش های تایید دومرحله و میزان امنیت و نفوذپذیری آن ها را بررسی می کنیم:

  • روش تایید دومرحله ای متنی

  • نرم افزارهای تایید دومرحله ای

  • تایید اطلاعات شخصی

 

تایید دو مرحله ای متنی

مدل های مختلف تایید دومرحله ای (۲FA) وجود دارد.اما به جرئت می توان گفت، محبوب ترین آن ارسال یک کد متنی به تلفن شما از طریق پیامک می باشد. شما موظفید این کد را در وب سایت یا سرویسی که در حال استفاده هستید معرفی کنید. اگرچه این روش رایج ترین نوع می باشد، اما الزاما امن ترین هم نیست.

هکرها توانسته اند با گول زدن سرویس دهنده خط شما، خود را جای صاحب اصلی خط تلفن جا بزنند. به اینگونه که ابتدا با آوردن بهانه هایی مانند “این خط منه ولی گوشی همراهمو فراموش کردم” اپراتور را گول می زنند. سپس بواسطه این امر کدهای تایید آتی برای آن ها نیز ارسال شود.

به این روش، دزدی سیم کارت یا SIM swapping می گویند. و شاید راحت ترین راه برای کلاه برداری از طریق دور زدن سیستم تایید دومرحله ای باشد.

 

استفاده از نرم افزارهای تایید دو مرحله ای

استفاده از نرم افزارهای تایید دومرحله ای مطمئنا روش مطمئن تری در مقایسه با ارسال کد تایید از طریق پیامک باشد. این نرم افزارهای از یک الگو به اسم TOTP یا پسورد یکتای انقضا دار استفاده می کنند.

نرم افزارهای تایید دو مرحله ای

استفاده از TOTP از این جهت مطمئن تر است زیرا کد تایید دو مرحله ای در گوشی شخصی شما ساخته می شود تا اینکه پیامی از اپراتور برای شما ارسال شود. نرم افزارهای مختلفی مانندی Google Authentication، LastPass، ۱Password، Microsoft Authenticator، Authy، و Yubico سرویس دهنده این نوع از تایید دومرحله ای می باشند.

اگرچه این روش، روشی ایمن تر از تایید دو مرحله ای پیامی است اما هکرها توانسته اند با نفوذ به گوشی های اندروید، امنیت این گوشی ها را تحت شعاع قرار بدهند. روش هم بدین صورت است که شما بصورت ناخواسته یک بدافزار شبیه نرم افزار اصلی نصب می کنید. و اینجاست که کار هکر شروع میشود.

 

استفاده از اطلاعات شخصی در تایید دو مرحله ای

روش بایومتریک، نوعی دیگر از امنیت دو مرحله ای می باشد.شما با استفاده از اثر انگشت، تشخیص چهره و صوت می توانید کلید استفاده از سرویس مدنظر را دریافت کنید. بیشتر تلفن های هوشمند امروزی با استفاده از یکی از این روش ها فعالیت می کنند. و با سرعت بیشتری تایید دومرحله هم انجام میشود.

اما این روش هم ممکن است چندان ایمن نباشد. در سال گذشته ۲۸ میلیون اطلاعات بایومتریک سرویس امنیتی Biostar 2 دچار حمله سایبری قرار گرفت. این سازمان با استفاده از تکنولوژی تشخیص چهره و اثر انگشت، بانک اطلاعاتی برای کمک به سایر سازمان ها بوجود آورده است.

نوعی دیگر از تایید دومرحله ای این دسته، استفاده از اطلاعات شخصی شما، مانند سوالات امنیتی است:

  • اسم شهر محل تولد شما چیست؟
  • اسم اولین حیوان خانگی شما چی بوده است؟

 

روش تایید دو مرحله ای همچنان بهترین راه حفظ و افزایش امنیت شماست

صرف نظر از تمام نکات گفته شده، مهم ترین عامل و فاکتور نفوذ، خطای انسانی است.  بیشترین تکنیکی که هکرها از آن بهره می برند، تحریک کردن احساسات شماست. یک هکر ممکن است از در محبت، هشدار، تهدید یا راه های دیگر اطلاعات شمارا به سرقت ببرد.

اما بهترین روش استفاده از تایید دومرحله ای میباشد. توصیه میشود بجای استفاده از تایید دومرحله ای پیامی، از سایر روش های امن تر استفاده کنید.

 

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
فهرست