کمیته رکن چهارم – به تازگی گوگل مدعی شده که اقدامات شرکت در راستای ثبتنام کاربران در فرایند سازوکار احراز هویت دو مرحلهای، احتمال هک حسابهای کاربری را تا حداقل ۵۰ درصد کاهش داده است.
گوگل این خبر را حدود ۴ ماه پس از فعال نمودن احراز هویت دو مرحلهای برای حسابهای کاربران گوگل منتشر کرده است. در این طرح بیش از ۱۵۰ میلیون کاربر گوگل به صورت خودکار در فرایند اعتبارسنجی دو مرحلهای این شرکت ثبتنام شدهاند. همچنین گوگل استفاده از اعتبارسنجی دو مرحلهای را برای بیش از دو میلیون حساب یوتیوب اجباری نموده است.
اعلانهایی که در برنامههای کاربری گوگل برای گوشیهای هوشمند منتشر میشوند، پیام متنی یا صوتی، کد پشتیبان، نرمافزار احراز هویت و کلیدهای امنیتی فیزیکی از جمله گزینههای موجود جهت فعال نمودن احراز هویت چند مرحلههای برای حسابهای کاربری هستند.
Guemmy Kim مدیر ایمنی و امنیت حسابهای کاربری گوگل یافتههای جدید این شرکت را در مطلبی منتشر کرده و در آن نوشته: «پس از ثبتنام خودکار ۱۵۰ میلیون کاربر گوگل در احراز هویت دو مرحلهای، شاهد کاهش چشمگیر هک حسابهای کاربری بودیم».
او میگوید: «این اعداد و ارقام دلالت بر میزان کارایی یک روش اعتبارسنجی دوم برای حفاظت از دادهها و اطلاعات شخصی است. در حال حاضر از این نتایج اولیه و واکنش کاربرانمان بسیار خرسند بوده و همچنان در پشت صحنه برای ایمنسازی هر چه بیشتر آنها تلاش خواهیم کرد».
احراز هویت چند مرحلهای
همچنین در این مطلب اعلام شده که گوگل همواره به صورت فعال و بیوقفه در حال کار بر روی فناوریهایی است که تجربیاتی روان و امن برای ورود به حسابهای کاربری فراهم نموده و میزان وابستگی به کلمات عبور را کاهش میدهند. علاوه بر این گوگل در سال ۲۰۲۲ نیز همچنان روند خودکار فعالسازی احراز هویت دو مرحلهای را ادامه میدهد.
یکی از سخنگویان این شرکت در ایمیلی که به تازگی برای وبسایت SearchSecurity ارسال کرده، گفته: «تیم امنیتی گوگل روزانه به صورت خودکار ۹۹ درصد از تلاشهای صورت گرفته برای حمله را مسدود میکند. بنابراین منظور ما از کاهش ۵۰ درصدی حملات هک، حملاتی است که آن یک درصد باقیمانده را مورد هدف قرار میدهند. همچنین این کاهش ۵۰ درصدی منعکسکننده نرخ موفقیت نیست بلکه متوجه شدیم که در بین افرادی که به صورت خودکار در احراز هویت چند مرحلهای ثبتنام شدهاند، هک حسابهای کاربری ۵۰ درصد کمتر شده بنابراین این دادهها منعکسکننده مقایسه یک به یک نیست. همچنان در حال ثبتنام خودکار کاربران در احراز هویت دو مرحلهای بوده و انتظار داریم که سطح حفاظت از گروههای کاربری آتی نسبت به گذشته افزایش یابد».
همچنین این سخنگوی گوگل میگوید: «وجود مشکلات بسیار زیادی که در مسیر فعال کردن احراز هویت چند مرحلهای وجود دارند از جمله دلایل اصلی است که مانع از افزایش این نرخ موفقیت بیش از ۵۰ درصد شد. در حال حاضر بسیاری از کاربران میتوانند احراز هویت دو مرحلهای را غیرفعال کنند. از طرفی براساس دادههای مرکز پشتیبانی حسابهای کاربری گوگل بسیاری از کاربران از فعال شدن خودکار این قابلیت انتقاد کرده و خواهان غیرفعال کردن آن هستند». وی با تأکید بر این موضوع که سرقت اعتبارنامههای کاربری همچنان جزو مسیرهای هک محبوب به شمار میآیند معتقد است که امکان دور زدن احراز هویت چند مرحلهای با استفاده از روشهای مهندسی اجتماعی سازماندهی شده وجود دارد.
پس از انجام چنین اقدامی توسط گوگل، این شرکت از ارایه آمار و ارقام دقیق درباره تعداد حسابهای هک شده خودداری کرده اما سخنگوی آن اعلام نموده که گوگل در حال تلاش برای ثبتنام حداکثر تعداد کاربران ممکن در این فرایند است.
گوگل میگوید: «بیوقفه در حال تلاش برای ثبتنام خودکار حداکثر تعداد کاربران ممکن در فرایند احراز هویت دو مرحلهای هستیم و متعهدیم که این کار را با نهایت سرعت انجام دهیم. همچنین باید یکسری آموزشهای کاربردی و مرتبط با احراز هویت دو مرحلهای را در اختیار کاربران قرار دهیم. امیدواریم که کاربران پس از آشنایی با سازوکار و مزایای احراز هویت دو مرحلهای تشویق و ترغیب به استفاده از آن شوند. علاوه بر این باید اطمینان یابیم که حسابهای کاربری به صورت کاملاً اصولی و فقط با یک شماره تلفن و ایمیل بازیابی که اصولاً متعلق به خود کاربران است تنظیم شده باشند. بنابراین فعال شدن احراز هویت دو مرحلهای مانع از دسترسی کاربران به حساب خودشان نخواهد شد. در این طرح کاربرانی را که به نظر میرسید به چنین قابلیتی علاقمند بوده و همچنین کاربرانی که آمادگی تنظیم این فرایند را بر روی حسابهای کاربریشان داشتند ثبتنام کردیم».
احراز هویت چند مرحلهای که قابلیتهای بسیار زیادی از جمله ارسال اعلان به تلفن همراه کاربر را دارد همچنان یکی از خطوط دفاعی و محافظتی اولیه در برابر مهاجمان محسوب میشود.
منبع: فراست
