کمیته رکن چهارم – متخصصان سوئیسی برای کاستن از دردسرهای استفاده از پسوردهای دومرحلهای٬ اپلیکیشنی ساختهاند که با دو بار شنود صدای محیط از طریق موبایل٬ هویت کاربر را تایید میکند. رمز عبور ثانوی در این روش٬ بدون دخالت کاربر بررسی میشود.
به گزارش کمیته رکن چهارم،در چند سال گذشته کمپانیهای بزرگ تکنولوژیک جهان برای ارتقاء امنیت کاربران و حراست از زندگی دیجیتال آنها در برابر حملات هکرها٬ امکان استفاده از پسوردهای دومرحلهای را فعال کردهاند.
با بهرهگیری از پسوردهای دومرحلهای٬ هر بار که میخواهید با حساب کاربریتان وارد سرویسی نظیر جیمیل٬ توییتر یا آیکلاود شوید٬ از طرف سرورها کد چهاررقمی تصادفی یکتایی به موبایلتان ارسال میشود که ورود به اکانت تنها با در اختیار داشتن و وارد کردن آن در کنار رمز عبور میسر خواهد بود.
ابداع پسوردهای دومرحلهای تحول مهمی در دنیای امنیت دیجیتال بود٬ اما در کنار همه مواهبش برای کاربران٬ مصائبی هم داشته و دارد؛ برای هر بار ورود به اکانت باید موبایلتان را در دست بگیرید٬ آنلاکش کنید٬ کد چهار رقمی را ببینید و بعد آن را در صفحه مرورگر یا اپلیکیشن وارد کنید. برای بسیاری از کاربران٬ این فرآیند عذابآور به نظر میرسد و به همین خاطر از فعال کردن این سرویس چشمپوشی میکنند٬ در حالی که میدانند بدون آن تهدیدهای امنیتی بیشتری در کمینشان خواهد بود.
حالا تیمی از متخصصان امنیت در موسسه تکنولوژی فدرال سوئیس٬ میگویند روشی ابداع کردهاند که دردسرهای رایج پسوردهای دومرحلهای را ندارد٬ چون در مرحله دوم با دو بار شنود صدای محیط٬ هویت کاربر را احراز میکند. ابزاری که آنها طراحی کردهاند “ساوندپروف” (Sound-Proof) نام دارد. این گروه قرار است روز پنجشنبه (۲۰ اوت) نتایج پژوهشهای خود را در قالب مقالهای در کنفرانس امنیتی یوزنیکس (Usenix) ارائه کنند.
به این ترتیب وقتی میخواهید وارد سایت یا سرویسی شوید که امکان “ساوندپروف” روی آن فعال شده٬ سرور اپلیکیشنی را به صورت اتوماتیک روی موبایلتان فرا میخواند. سپس هم موبایل و هم مرورگرتان به صورت اتوماتیک چندثانیهای از صدای محیط را شنود و ضبط میکنند٬ بدون اینکه نیاز به آنلاک کردن گوشی داشته باشید٬ یا حتی آن را از جیبتان خارج کنید.
ساوندپروف بر اساس صداهای شنود شده از محیط٬ دو امضای دیجیتال میسازد و آن را روی سرور آپلود میکند. در صورت مطابقت دو امضای دیجیتال٬ سرور فرض را بر این میگیرد که موبایل و کامپیوتر شما در همان اتاقی هستند که خودتان حضور دارید و به همین سادگی شما میتوانید وارد اکانتتان شوید.
برای حراست از حریم خصوصی کاربران٬ ساوندپروف فایلهای صدا را آپلود نمیکند و فقط امضاهای دیجیتال روی سرورهای آن آپلود میشود. برای صرفهجویی در مصرف باتری هم فرآیند ضبط تنها با دریافت تایید از سوی کاربر آغاز خواهد شد.
مبتکران و متخصصان ساوندپروف میگویند پژوهشهای آنها نشان داده که اکثر کاربران ترجیح میدهند در شرایط برابر میان پسورد دومرحلهای و ساوندپروف٬ دومی را انتخاب کنند. برای استفاده از ساوندپروف٬ کاربر فقط اپلیکیشن آن را روی موبایلش نصب میکند و بقیه کارها به صورت اتوماتیک انجام خواهد شد.
با این حال٬ بدیهی است که این سیستم احراز هویت هم آسیبپذیریهای خاص خودش را دارد: اول اینکه اگر کسی که پسورد شما را در اختیار دارد در همان فضایی باشد که شما هم در آن حضور دارید٬ به سادگی میتواند با استفاده از صدای محیط به اکانتتان دسترسی داشته باشد. این احتمال هم وجود دارد که هکر مشغول تماشای همان برنامه تلویزیونی یا شنیدن همان موسیقی ملایمی باشد که شما دارید میشنوید؛ باز هم راه برای او باز است تا بتواند خودش را به جای شما به ساوندپروف قالب کند.
اما طراحان آن میگویند حملاتی تا این اندازه هدفمند٬ چندان رایج نیستند و گذشته از آن استدلال آنها این است که بهرهگیری از این روش بسیار بهتر و امنتر از آن است که اساسا امکان پسورد دومرحلهای را برای اکانتتان فعال نکنید.
منبع:رسانه خبری امنیت اطلاعات