موارد مهم
- کارشناسان می گویند هکرها می توانند کدهای احراز هویت چند عاملی مبتنی بر تلفن (MFA) را سرقت کنند.
- شرکتهای تلفن فریب خوردهاند تا شمارههای تلفن را انتقال دهند تا مجرمان بتوانند کدها را دریافت کنند.
- یک راه ساده و کم هزینه برای افزایش امنیت این است که از برنامه احراز هویت در تلفن خود استفاده کنید.
برای در امان ماندن از هکرها، استفاده از کدهای احراز هویت چند عاملی مبتنی بر تلفن (MFA) ارسال شده از طریق پیامک و تماس صوتی را متوقف کنید، یک کارشناس ارشد امنیت در تحلیلی جدید می نویسد.
الکس واینرت، مدیر امنیت هویت مایکروسافت، در یک پست وبلاگ اخیر نوشت:کدهای تلفن در برابر رهگیری توسط هکرها آسیب پذیر هستند. ناظران می گویند کدهای مبتنی بر متن بهتر از هیچ هستند. اما کاربران باید احراز هویت مبتنی بر تلفن را با برنامهها و کلیدهای امنیتی جایگزین کنند.
این مکانیسمها مبتنی بر شبکههای تلفنی سوئیچشونده عمومی (PSTN) هستند، و من معتقدم که آنها کمترین امنیت را در بین روشهای MFA موجود امروز دارند.
"این شکاف تنها زمانی افزایش می یابد که پذیرش MFA علاقه مهاجمان به شکستن این روش ها را افزایش می دهد و احراز هویت هدفمند مزیت های امنیت و قابلیت استفاده آنها را گسترش می دهد. اکنون حرکت خود را به سمت احراز هویت قوی بدون رمز عبور برنامه ریزی کنید - برنامه احراز هویت فورا و گزینه در حال تکامل."
MFA یک روش امنیتی است که در آن به کاربر رایانه تنها پس از ارائه موفقیت آمیز دو یا چند مدرک به مکانیزم احراز هویت اجازه دسترسی به یک وب سایت یا برنامه داده می شود. این کدها اغلب از طریق تلفن ارسال می شوند.
هکرها وانمود می کنند که شما هستند
ناظران می گویند:راه هایی وجود دارد که هکرها می توانند به کدهای تلفن دسترسی پیدا کنند. در برخی موارد، شرکتهای تلفن فریب خوردهاند تا شمارههای تلفن را به هکرها انتقال دهند تا بتوانند کدها را دریافت کنند.
"تلفنها آنقدر ناامن هستند که کاربران اغلب تماسهای کلاهبرداری را از کشورهای جهان سوم دریافت میکنند، در حالی که شماره تلفنهای منطقهای آمریکا را نشان میدهند. "تلفنها همچنین در معرض حملات تعویض سیمکارت هستند که میتوانند به راحتی از طریق پیام متنی از MFA عبور کنند."
اخیرا جرمی واین مجری محبوب رادیو بی بی سی قربانی حمله ای شد که منجر به نفوذ حساب واتس اپ وی شد.
ری والش، کارشناس حریم خصوصی داده در سایت بررسی حریم خصوصی ProPrivacy، در گفت: حمله ای که Vine را با موفقیت فریب داد با دریافت یک پیام اس ام اس به ظاهر ناخواسته شروع می شود که حاوی کد احراز هویت دو مرحله ای به حساب آنها است. یک مصاحبه ایمیلی
"پس از آن، قربانی یک پیام مستقیم از یک مخاطب دریافت می کند که ادعا می کند یک کد تصادفی برای آنها ارسال کرده است. در نهایت، از قربانی خواسته می شود تا کد را برای هکر ارسال کند، که به آنها امکان دسترسی فوری به حساب قربانی را می دهد."
نرم افزار نیز می تواند مشکل ساز باشد. جورج فریمن، مشاور راه حل در گروه دولتی LexisNexis Risk Solutions، در یک مصاحبه ایمیلی گفت: "به دلیل آسیب پذیری های دستگاه، MFA به طور بالقوه می تواند توسط یک برنامه درز یا دستگاه در معرض خطری که کاربر از آن آگاه نیست شنود شود."
هنوز تلفن خود را رها نکنید
به گفته کارشناسان، با این حال، MFA مبتنی بر متن بهتر از هیچ است. Mark Nunnikhoven، معاون تحقیقات ابری در شرکت امنیت سایبری Trend Micro، در یک مصاحبه ایمیلی گفت: "MFA یکی از قدرتمندترین ابزارهایی است که یک کاربر برای محافظت از حساب های خود دارد".
"هر زمان ممکن است باید فعال شود. اگر انتخابی دارید، از یک برنامه احراز هویت در تلفن هوشمند خود استفاده کنید - اما در پایان، فقط مطمئن شوید که MFA به هر شکلی فعال باشد."
پیتر رابرت، یکی از بنیانگذاران و مدیر عامل شرکت فناوری اطلاعات Expert Computer Solutions، در یک مصاحبه ایمیلی گفت:یک راه ساده و کم هزینه برای افزایش امنیت استفاده از برنامه احراز هویت در تلفن شما است.
"اگر بودجه دارید و امنیت را حیاتی می دانید، من شما را تشویق می کنم که کلیدهای MFA مبتنی بر سخت افزار را ارزیابی کنید." سرویس نظارت به شما اطلاع می دهد که آیا اطلاعات شخصی شما در دسترس است و برای فروش در وب تاریک."
برای رویکردی بیشتر به سبک ماموریت غیرممکن، استاندارد جدید FIDO2 با Webauthn از احراز هویت بیومتریک استفاده می کند. کاربر به یک سایت مالی متصل میشود، یک نام کاربری وارد میکند، وبسایت با دستگاه تلفن همراه کاربر تماس میگیرد، یک برنامه ایمن روی تلفن، سپس از کاربر میخواهد که شناسه چهره یا اثرانگشت [خود] را درخواست کند. در صورت موفقیتآمیز، احراز هویت میشود. جلسه وب، "او گفت.
با وجود بسیاری از تهدیدات احتمالی، ممکن است زمان آن رسیده باشد که به دنبال راه های امن تر برای ورود به وب سایت هایی باشید که اطلاعات شخصی را ذخیره می کنند. هکرها ممکن است در وب کمین کرده باشند و فقط منتظر رمز عبور شما باشند.
