جذاب ترین ها
برگزیده

از پیامک برای تایید هویت دو مرحله‌ای استفاده نکنید!

گجت نيوز

بروزرسانی 1403/10/02 - 16:53

از پیامک برای تایید هویت دو مرحله‌ای استفاده نکنید!

گجت نیوز/ تایید هویت دو مرحله‌ای به کمک پیامک می‌تواند اطلاعات کاربران را به خطر بیندازد. این خطرها چیستند و به جای پیامک باید از چه ابزاری استفاده کنیم؟

تایید هویت دو مرحله‌ای (2FA) یک لایه امنیتی ضروری به حساب‌های آنلاین شما اضافه می‌کند؛ اما متاسفانه همه روش‌ها به یک اندازه ایمن نیستند. بسیاری از افراد به احراز هویت دو مرحله‌ای مبتنی بر پیامک تکیه و تصور می‌کنند این امن‌ترین انتخاب است. پیامک اما اصلا بی‌عیب نیست. در ادامه با گجت نیوز همراه شوید تا دلیلش را بهتر توضیح دهیم. خلاصه بگوییم، دیگر نباید از پیامک برای تایید هویت دو مرحله‌ای استفاده کنید. روش‌های مناسب و جایگزین را هم معرفی خواهیم کرد.

تعویض سیم‌کارت، راه دسترسی هکرها به شماره تلفن
یکی از نگران ‌کننده‌ترین خطرات استفاده از پیامک برای تایید هویت دو مرحله‌ای، تعویض سیم‌کارت (SIM Swapping) است. در این روش، مهاجمان اپراتور موبایل را فریب می‌دهند تا شماره تلفن شما را به یک سیم‌کارت جدید منتقل کند. هنگامی که کنترل شماره شما را به دست می‌آورند، می‌توانند هر پیامک ارسال‌ شده به آن را هم رهگیری کنند.

روش اینگونه عمل می‌کند که مهاجمان با اپراتور موبایل شما تماس می‌گیرند و خود را به ‌جای شما جا می‌زنند. با استفاده از اطلاعات شخصی سرقت ‌شده مانند آدرس یا چهار رقم آخر کد ملی شما، اپراتور را متقاعد می‌کنند که شماره تلفن را به سیم‌کارت آن‌ها منتقل کند. پس از تکمیل این انتقال، مهاجم پیامک‌های ارسال ‌شده به شماره شما را از جمله کدهای احراز هویت رهگیری می‌کند.

البته که آسیب فقط به اینجا ختم نمی‌شود. بسیاری از ما شماره تلفن خود را به حساب‌های مختلف از ایمیل و شبکه‌های اجتماعی گرفته تا اپلیکیشن‌های بانکی متصل می‌کنیم. یک بار تعویض سیم‌کارت موفق می‌تواند به مهاجم امکان دسترسی به حساب‌های متعدد متصل را مانند ایمیل و اپلیکیشن‌های بانکی بدهد. اگر مشکلی در این زمینه دارید، راهنمای قبلی ما درباره تعویض سیم‌کارت در گوشی شیائومی یا فعالسازی سیم کارت ایرانسل و همراه اول را بخوانید.

امکان رهگیری پیامک و به خطر افتادن احراز هویت

حتی اگر از تعویض سیم‌کارت اجتناب کنید، خود پیامک‌ها نیز امن نیستند. آن‌ها از طریق شبکه‌هایی منتقل می‌شوند که ممکن است در برابر رهگیری آسیب‌ پذیر باشند. هکرها می‌توانند از ضعف‌های موجود در سیستم سیگنالینگ شماره ۷ (SS7) سو استفاده کنند. سیستم سیگنالینگ شماره ۷ پروتکل جهانی مخابرات است که به اپراتورها اجازه می‌دهد تماس‌ها و پیام‌ها را مسیریابی کنند. با بهره‌گیری از SS7، مهاجمان هم قادر هستند پیامک‌هایتان را بدون دسترسی فیزیکی به تلفن شما رهگیری کنند.

این مسئله تنها یک تئوری نیست! هک سیم‌کارت را یک مشکل مستند و شناخته‌ شده بدانید. مجرمان سایبری و حتی برخی گروه‌های دولتی تحت حمایت از نقاط ضعف SS7 برای جاسوسی از ارتباطات و سرقت اطلاعات حساس استفاده کرده‌اند. از آنجا که پیامک رمزنگاری نشده، محتوای پیام از جمله کدهای یک‌بارمصرف در طول انتقال افشا می‌شود.

یکی دیگر از روش‌هایی که پیام‌ها را به خطر می‌اندازد، اپلیکیشن‌های مخرب یا جاسوس ‌افزارهایی است که روی دستگاه نصب کرده‌اند. چنین برنامه‌هایی می‌توانند پیامک‌های دریافتی شما را زیر نظر بگیرند و کدهای تایید هویت دو مرحله‌ای را بدون اطلاع شما به مهاجمان ارسال کنند.

وابستگی پیامک به شماره تلفن
یکی دیگر از معایب قابل ‌توجه احراز هویت دو مرحله‌ای مبتنی بر پیامک، وابستگی آن به شماره تلفن است. توانایی شما در دریافت کدها مستقیما به خدمات تلفن همراهتان بستگی دارد. اگر در منطقه‌ای با پوشش ضعیف شبکه باشید، حتی در صورت دسترسی به وای فای احراز هویت مبتنی بر پیامک کاملا بی‌فایده می‌شود. برخلاف سایر روش‌های احراز هویت که می‌توانند از طریق اتصال اینترنت عمل کنند، پیامک به سیگنال پایدار شبکه تلفن همراه نیاز دارد.

این وابستگی ممکن است شما را در شرایطی که به دسترسی حساب‌هایتان نیاز دارید اما نمی‌توانید کدها را دریافت کنید، دچار مشکل کند. چه در حال سفر به مکانی دور افتاده باشید یا صرفا در ساختمانی با پوشش ضعیف شبکه قرار بگیرید، این محدودیت باعث می‌شود پیامک به اندازه روش‌های جایگزین قابل‌اعتماد نباشد.

راهکارهای جایگزین برای تایید هویت دو مرحله‌ای با پیامک

به جای تکیه بر پیامک برای احراز هویت دو مرحله‌ای، ما استفاده از اپلیکیشن‌های احراز هویت را پیشنهاد می‌کنیم. اپلیکیشن‌هایی مانند Google Authenticator، Microsoft Authenticator و Authy کدهای یک‌بارمصرف مبتنی بر زمان (TOTP) را مستقیما روی دستگاه شما تولید می‌کنند. اپلیکیشن‌های مذکور جایگزین‌های بسیار امن‌تر و قابل‌اعتمادتر نسبت به پیامک ارائه هستند.

اولین مزیت بزرگ اپلیکیشن‌های احراز هویت، امنیت آن‌هاست. برخلاف پیامک، این اپلیکیشن‌ها کد را به‌ صورت محلی روی تلفن شما تولید می‌کنند. به این معنی که کدها از طریق شبکه‌هایی که ممکن است رهگیری یا هک شوند، ارسال نمی‌شوند. علاوه بر این، اپلیکیشن‌ها با لایه‌های امنیتی اضافی محافظت می‌شوند. بسیاری از آن‌ها برای دسترسی به کد نیاز به رمز عبور، اثر انگشت یا اسکن چهره دارند.

دلیل دیگر ترجیح ما، قابلیت کارکرد آفلاین آن‌هاست. از آنجا که کدها مستقیما روی دستگاه تولید می‌شوند، نیازی به اتصال شبکه تلفن همراه ندارید. چه در منطقه‌ای دورافتاده بدون سرویس باشید و چه در داخل ساختمانی با پوشش ضعیف شبکه، تا زمانی که دستگاه در اختیارتان باشد، می‌توانید به کد دسترسی پیدا کنید.

در این میان، اپلیکیشن Authy را به سایر اپلیکیشن‌های احراز هویت ترجیح می‌دهیم. برنامه مذکور قابلیت تهیه نسخه بکاپ یا پشتیبان‌ ابری ارائه می‌دهد که بازیابی حساب‌ها را در صورت گم‌ کردن تلفن آسان می‌کند. در عین حال، این پشتیبان‌ها با رمزنگاری محافظت می‌شوند. به‌طوری که فقط خود کاربر می‌تواند به آن‌ها دسترسی پیدا کند. یک گزینه محبوب دیگر هم Google Authenticator است. هر دو اپلیکیشن رایگان هستند و سازندگان به ‌طور گسترده از آن‌ها پشتیبانی‌ می‌کنند. راه‌اندازی آن‌ها هم برای کاربران واقعا ساده است.

پس از راه‌اندازی برنامه معمولا با اسکن یک کد QR که وب‌سایت در طی فرآیند تنظیم ارائه می‌دهد، تنها کافی است اپلیکیشن را باز کرده و هنگام ورود به سیستم یک کد دریافت کنید. کدها هر ۳۰ ثانیه یک‌بار تغییر می‌کنند. بنابراین حتی اگر کسی یکی از آن‌ها را بدزدد، خیلی سریع بدون ‌استفاده می‌شود.

کلام آخر
تایید هویت دو مرحله‌ای برای ایمن نگه‌ داشتن حساب‌های شما ضروری است، اما روش مورد استفاده اهمیت زیادی دارد . احراز هویت مبتنی بر پیامک ممکن است راحت به نظر برسد، اما آسیب‌پذیری زیادی به همراه دارد. از تعویض سیم‌کارت گرفته تا روش‌های رهگیری و حتی مشکلات عملی مانند ضعف دریافت سیگنال از معضلات همین روش هستند. خطرات باعث می‌شوند پیامک یک ابزار نامطمئن برای حفاظت از امنیت آنلاین شما باشد.