رمزهای عبور که از سالهای قبل برای کاربران راه مطمئن ممانعت از دسترسی غیرمجاز به حسابهای کاربری بود، در سالهای اخیر جای خود را به روشهای جدیدتری داده است. یکی از ابداعات در این زمینه استفاده از رمزهای عبور دومرحلهای است، این نوع دسترسی که مورد استقبال شرکتهای بزرگ خدماترسانی همچون گوگل و کاربران آنها نیز قرار گرفته، منجر به مسدود شدن بسیاری از دسترسیهای غیرمجاز شده است. اما هکرها برای مقابله با این اقدام گوگل تلاشهایی را برای دور زدن فرآیند دسترسی دومرحلهای آغاز کردهاند.
رمز دو مرحلهای چیست؟
برخلاف روش آشنا و قدیمی ارائه رمز برای وارد شدن به حسابهای کاربری، در روش رمزهای دو مرحلهای، کاربر پس از واردکردن رمز، پیامکی را که از طرف خدمات دهنده برای او ارسال شده دریافت کرده و کد موجود در آن را به عنوان بخش دوم کلید دسترسی وارد میکند. این فرآیند که به لطف همهگیر شدن گوشیهای تلفن همراه عملی شده اخیراً مورد استقبال کاربران نیز واقع گردیده است. در این روش کاربر ابتدا شماره تلفن همراه خود را به اطلاعات حساب کاربری میافزاید و به خدمات دهنده اجازه میدهد که دسترسی او را منوط به ورود رمز اولیه و کد ارسال شده برای تلفن همراه بسازد. با داشتن این امکان، خدمات دهنده از محدود شدن دسترسی غیرمجاز بهحساب کاربران یقین حاصل میکند، و کاربر نیز مطمئن میشود که در صورت افشای رمز عبور اولیه، حساب کاربری او ایمن خواهد ماند.
این روش در کنار همه مزایای اولیه، دارای مشکلاتی است که منجر به بیمیلی برخی افراد نسبت به استفاده از آن شده است. نخستین مشکل مربوط به افشا شدن شماره تلفن، کشور محل زندگی، و ارتباط حساب کاربری با شخص حقیقی استفاده کننده از آن است. این مسئله برای کاربرانی که مایل هستند حساب کاربری آنها به دلایلی از جمله نوع فعالیتهایشان، از دید نهادهای امنیتی مخفی بماند، موضوعی حیاتی است. انتشار اخباری مبنی بر دسترسی هکرها با اطلاعات و رمزهای دسترسی کاربران (حتی برای شرکتهایی چون گوگل) نشان میدهد که این نگرانی منطقی و واقعی است.
تهدیدات جدید هکرها
در کنار همه روشهایی که هکرها برای دسترسی به بانکهای اطلاعات شرکتهای خدمات دهنده انجام میدهند (که بهتناوب نمونههایی از موفق بودن آنها نیز گزارش میشود)، روشی به نام فیشینگ (Phishing) نیز مورد استفاده است. در این روش اطلاعات کاربر با قرار گرفتن سارق در میانه راه ارتباطی کاربر و خدمات دهنده به سرقت میرود. در دنیای اینترنت یکی از راههای سرقت اطلاعات، ساختن صفحات جعلی، هدایت کاربر به این صفحات، و در انتها دریافت اطلاعات محرمانه کاربر در یک صفحه جعلی است. با این روش کاربر به دلیل تشابه شکل ظاهری صفحه یا استفاده از عناصری که او را متقاعد میکند که با یک صفحه قابل اعتماد ساخته شده توسط خدمات دهنده مواجه است، اطلاعات حساس خود را بهراحتی در اختیار سارق قرار میدهد.
گزارش اخیر شرکت امنیتی سیمانتک [۱] نشان میدهد سرقت اطلاعات کاربرانی که از دسترسی دو مرحلهای استفاده میکنند نیز عملی است. این گزارش بیانگر استفاده هکرها از روش Phishing برای مقابله با رمز عبور دو مرحلهای گوگل است.
بیشتر بخوانید: حملات فیشینگ؛ کلاهبرداری متداول
چارچوب عملکرد سارقین در این روش بسیار شبیه به آن چیزی است که از چند سال پیش در ایران برای برداشت از حسابهای بانکی متداول شده است. افرادی با شماره تلفن فرد قربانی خود تماس گرفته و ادعا میکنند که برنده جایزهای شده و برای دریافت آن لازم است اطلاعات حساب بانکی خود را برای تماس گیرنده ارسال کند. در اینجا نیز سارق بر اساس اعتمادی که بهطور معمول بین کاربر و خدمات دهنده وجود دارد، او را مورد سوءاستفاده قرار میدهد. از آنجا که برای تغییر رمز عبور و بسیاری خدمات دیگر یک پیامک حاوی کد امنیتی به تلفن صاحب ایمیل ارسال میشود، هکرها تلاش میکنند که در میانه این ارتباط، کد ارسال شده را به دست آوردند. اگر هکر همزمان شماره تلفن شما و نشانی ایمیلتان را بداند در بهترین موقعیت برای پیشبرد این روش قرار گرفته است.
بنابراین هکری که شما را هدف قرار داده:
۱- درخواست بازیابی رمز عبور را بهعنوان صاحب ایمیل برای گوگل ارسال میکند.
۲- از آنجا که کد دسترسی برای تلفن شما ارسال میگردد، هکر اقدام به ارسال پیامک به تلفن شما کرده و ادعا میکند که ارائهکننده خدمات ایمیل است و میخواهد که کد دسترسی را برای او بفرستید.
۳- با داشتن این کد هکر به سهولت میتواند وارد حساب کاربری شما شده و فعالیت خود را ادامه دهد.
بهتازگی گوگل تلاش کرده است که این فرآیند دسترسی دو مرحلهای را با استفاده از ابزارهای دیگری نیز عملی کند. به این منظور امکان تماس مستقیم تلفنی بهجای ارسال پیامک، دریافت و ذخیره کد امنیتی، کدهای دسترسی با طول عمر بیشتر، و یا ثبت شناسه وسیله کاربر را نیز ایجاد کرده است.
نکاتی که باید رعایت کرد
روش دسترسی دو مرحلهای به خدماتی چون ایمیل گوگل، روش مفید و کارآمدی است که استفاده درست از آن میتواند ضریب اطمینان بیشتری را برای کاربران به همراه بیاورد. اما لازم است که توجه کنیم استفاده همراه با کمتوجهی و بدون رعایت اصول اولیه ایمنی، این روش را نیز مانند بسیاری از امور دیگر از یک ابزار کارآمد به تهدید تبدیل میسازد.
در این مورد خاص کاربران لازم است موارد زیر را رعایت کنند:
۱- به شماره و مشخصات منبع ارسال پیامکها توجه کنید.
۲- در صورت بروز هر نوع تردید نسبت به صحت پیامک دریافتی، موارد را با بخش پشتیبانی خدمات دهنده خود در میان بگذارید.
۳- شرکتهای خدمات دهنده در هیچ موردی نیاز به دریافت مجدد کدهای ارسالی ندارند، بنابراین به چنین درخواستهایی پاسخ ندهید.
فیلم آموزشی سیمانتک در این زمینه:
پینوشت:
۱. Symantec
برای دسترسی به آرشیو بخش امن گذر اینجا را کلیک کنید.
