امنیت

فناوری اطلاعات

June 22, 2016
22:24 چهارشنبه، 2ام تیرماه 1395
کد خبر: 78085

آیا احراز هویت دوعامله راه‌حلی برای جلوگیری از نفوذگری است؟

پس از نفوذهای اخیر به داده‌ها که علیه غول‌های فناوری (برای مثال MySpace، لینکدین، توییتر) صورت گرفت، ‌کارشناسان امنیتی کاربران را دعوت می‌کنند تا از به‌اشتراک‌گذاری اعتبارنامه‌های ورود خود روی وبگاه‌های متعدد جلوگیری کنند و اگر قابلیت احراز هویت دوعامله (FA۲) وجود دارد آن را فعال کنند.
 
بنابراین آیا احراز هویت دوعامله، راه‎حل صحیحی برای هر نوع از نفوذ است؟ البته که نه، بسیار مهم است که فرض کنیم وضعیت امنیتی مناسب، هوشیاری از وقوع تهدیدات است. فرایند احراز هویت دوعامله می‌تواند توسط راه‌های متعدد دور زده شود، برای مثال با استفاده از بدافزار یا از طریق حملات مهندسی اجتماعی.
 
احراز هویت دوعامله به‌شدت امنیت شما را بهبود می‌بخشد، حتی هنگامی‌که نفوذگران موفق به سرقت گذرواژه‌ شما شوند، بازهم نیاز دارند تا عامل دوم را برای کامل‌کردن فرایند احراز هویت در اختیار داشته باشند. متأسفانه، ‌آنها می‌توانند این عامل دوم را با فریب کاربران برای افشای آن در اختیار بگیرند. اوایل این هفته، کارشناسان امنیتی الکس مک کاو از بنیان‌گذاران شرکت Clearbit درباره تکنیک‌های حمله‌ای هشدار داده که در حملات واقعی دیده است. این ترفندها کمک می‌کند تا کاربران فریفته شوند و کد احراز هویت دوعامله خود را برای حساب گوگل افشا کنند.
 
در اینجا این ترفند مرحله‌به‌مرحله توضیح داده می‌شود: مهاجم یک پیام کوتاه برای کاربر ارسال و تظاهر می‌کند که از طرف شرکت ارسال ‌شده است. همچنین این ترفند درصورتی‌که کاربر از سایر ارائه‌دهندگان خدمات استفاده کند، در آنها نیز کار می‌کند. این پیام به کاربر می‌گوید که ارائه‌دهنده خدمات که در اینجا شرکت گوگل است، فعالیت‌های مشکوکی را در حساب کاربر مشاهده کرده است و اکنون شرکت از قربانی می‌خواهد کد احراز هویت دومرحله‌ای را برای اجتناب از قفل‌شدن حساب برای او پیامک کند.
 
قربانی برای جلوگیری از بروز مشکل، این کد را پس می‌فرستد و تصور می‌کند که در حال تلاش برای خنثی‌کردن حمله است. در این لحظه، همه‌ آنچه را که لازم دارد، برای کنترل حساب قربانی در دست دارد. نفوذگر از مشخصات احراز هویت قربانی و کد دومرحله‌ای استفاده کرده و از طریق فرایند گفته‌شده می‌تواند به ‌حساب کاربر دسترسی پیدا کند. 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.