بزرگ‌ترین نقطه ضعف در احراز هویت دو-عاملی خودِ شما هستید

کمیته رکن چهارم – یکی از روش‌های بسیار مؤثر برای حفظ امنیت بر روی حساب‌های کاربری، استفاده از احراز هویت دو-عاملی است. این روش با تمام مزایایی که دارد، دارای یک نقص عمده است که شاید شما انتظار شنیدن آن را نداشته باشید. آن نقص خودِ شما هستید.

به گزارش کمیته رکن چهارم،شاید شنیدن این موضوع برای شما کمی گیج‌کننده باشد ولی باید هر صفحه‌ای را که بازدید می‌کنید، بسیار مراقب باشید. براساس اسنادی که متعلق به آژانس امنیت ملی آمریکا بوده و به دست خبرگزاری‌ها رسیده است، نفوذگران روسی توانسته‌اند سال گذشته با موفقیت، سامانه‌های رأی‌گیری آمریکا را مورد نفوذ قرار دهند.

در همین سند، اسلایدی وجود دارد که اشاره می‌کند نفوذگران می‌توانند با درخواست کدهای تأیید از کاربر، سازوکارهای احراز هویت دو-عاملی را دور بزنند. در این اسلاید آمده است: «اگر کاربر قبلاً احراز هویت دو-عاملی را فعال کرده باشد، زمانی که از وب‌گاهِ مهاجم بازدید می‌کند، درخواستی به نمایش داده شده و از او شماره‌ی تماس و کد اعتبارسنجی گوگل که برای تلفن همراه او ارسال شده را می‌پرسد.»

به‌طور خلاصه، اگر قربانی وارد وب‌گاه جعلی مهاجمان شده و آدرس رایانامه و گذرواژه‌ی خود را در این صفحه وارد کند، مهاجمان در ادامه اطلاعات بیشتری از او درخواست خواهند کرد و این اطلاعات همان کد اعتبارسنجی مربوط به ویژگی احراز هویت دو-عاملی است. وقتی قربانی این اطلاعات را وارد کرد، به سمت سرویس‌های قانونی گوگل هدایت می‌شود.

مرحله‌ی دوم: اسناد آلوده

در این سناریوی حمله، یک مرحله‌ی دیگر نیز وجود دارد. وقتی مهاجمان به حساب‌های کاربری قربانی دسترسی پیدا کردند، نفوذگران می‌توانند از این حساب‌ها، رایانامه‌هایی را برای ادارات و سازمان‌های مربوط به انتخابات ارسال کنند. این رایانامه‌ها حاوی اسناد مخرب در قالب ضمیمه هستند و اگر گیرنده برای باز کردن این اسناد متقاعد شود، سامانه‌ی انتخاباتی آلوده خواهد شد.

به اثبات رسیده است که ویژگی احراز هویت دو-عاملی یکی از بهترین روش‌ها برای حفاظت از حساب‌های کاربری است ولی این موضوع تا زمانی صحیح است که شما در مورد اینکه چه داده‌هایی را کجا وارد می‌کنید، بسیار هوشیار باشید. مخصوصاً زمانی‌که پیوندهای مربوط به یک وب‌گاه را از طریق یک رایانامه‌ی مشکوک دریافت می‌کنید، بیشتر باید محتاط باشید. یکی از بهترین گزینه‌ها برای اینکه تشخیص دهید یک وب‌گاه قانونی است، این است که خودتان آدرس وب‌گاه را در نوار آدرس تایپ کنید و در ادامه اطلاعات مهم مانند نام کاربری، گذرواژه و کدهای احراز هویت دو-عاملی را وارد کنید.

منبع:softpedia

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.