در نیمه ماه فوریه/بهمن امسال، شرکت توییتر اعلام کرد که دریافت پیامک همراه با کد امنیتی را محدود به کسانی میکند که دستکم ماهی هشت دلار آمریکا، حق اشتراک پرداخت کنند. آیا توییتر بدون پرداخت پول و عدم دریافت این اساماسها، ناامن میشود؟ خیر. درحقیقت، نهتنها شما مجبور نیستید هزینهای به توییتر پرداخت کنید، بلکه حتی توصیه میشود از این امکان استفاده نکنید تا هک نشوید و بهجایش سراغ اپلیکیشنهای دریافت کد امنیتی بروید یا از یواسبی فیزیکی برای ورود به پلتفورم توییتر استفاده کنید.
متن خبر توییتر هم اشاره به ضعف استفاده از دریافت پیامک دارد:
اگرچه از لحاظ تاریخی استفاده از پیامک در ورود دومرحلهای محبوب است، متاسفانه شاهد این بودهایم که شماره تلفنی که برای دریافت پیامک استفاده شده، مورد سوءاستفاده عوامل بد قرار گرفته است.
بعضی برای سرقت اطلاعات مخاطبان شبکههای اجتماعی، از «تعویض سیمکارت» (SIM swapping) استفاده میکنند. بدینمعنا که شرکت تلفن همراه یک مخاطب را وادار میکنند تا شماره تلفن موردنظر را به یک سختافزار منتقل کند که آنها (هکر، نیروهای دولتی و امنیتی، …) به آن دسترسی دارند اما صاحب واقعی شماره به آن دسترسی ندارد. سپس کد امنیتی را دریافت و اطلاعات شخصی افراد را هک میکنند یا از حساب کاربری آنها برای رسیدن به مقاصد خود استفاده میکنند. بهعنوان مثال با این دادهها، حسابهای شبکههای اجتماعی درست میکنند و از آنها برای پخش خبرهای جعلی استفاده میکنند.
در یک شیوه دیگر، سارق مجازی با استفاده از دادههای آشکار یک مخاطب (مانند نام و نامخانوادگی و آدرس که اغلب در جستجوهای اینترنتی راحت پیدا میشوند) یک شرکت تلفن همراه را متقاعد میکند تا شماره تماس مخاطبی را به شرکت موردنظرشان منتقل کند. سپس دسترسی صاحب سیمکارت به حساب کاربری محدود میشود و سارق میتواند با دریافت کد امنیتی، حسابهای کاربری آن فرد در شبکههای اجتماعی را صاحب شود.
همچنین در حکومتهایی مانند جمهوری اسلامی ایران که آزادی بیان در آنها محدود شده است، نظام حداکثر تلاش خود را میکند تا دسترسی مردم به دریافت پیامک حاوی کد امنیتی محدود شود تا آنها بتوانند راحتتر مخاطبان شبکههای اجتماعی را کنترل کنند. اگر لازم شد، حتی میتوانند شرکتهای تلفن همراه را وادار به ارایه کدهای امنیتی به عوامل امنیتی و اطلاعاتی کنند تا اینکه اجازه ندهند شما تلفن همراهتان را نسبت به دسترسی غریبهها امن کنید.
در چرایی ورود دو مرحلهای
در ورود دو مرحلهای یا به بیان دقیقتر «احراز هویت چند عاملی» (multi-factor authentication) فرد برای استفاده از یک سختافزار یا نرمافزار، بهجز رمز عبور (پسورد یا پین) از عوامل دیگری هم برای احراز هویت خودش استفاده میکند.
این عامل میتواند دریافت یک پیامک از طریق تلفن همراه باشد یا اینکه اسکن قرنیه چشم، اثر انگشت یا مانند اینها. در حال حاضر یکی از بهترین شیوههای احراز هویت، استفاده از ابزارهای فیزیکی مانند یک یواسبی یا یوبیکی است.
استفاده از ورود دومرحلهای به سختافزار و نرمافزار مورد استفاده شما امنیت بیشتری میدهد. در مقابل استفاده از تنها پسورد یا پین، به هکرها و بهخصوص هکرهای وابسته به حکومتهای دیکتاتوری این اجازه را میدهد تا بهراحتی بتوانند به تلفن همراه یا رایانه شما وارد شده و نه تنها دادههای خصوصی شما را بهسرقت ببرند، بلکه از آنها علیه شما استفاده کنند.
سه راه سنتی ورود دو مرحلهای به توییتر
توییتر تا به امروز سه راه برای ابراز هویت چندعاملی در اختیار مخاطبان خود قرار داده است. نخستین آنها دریافت پیامک است. تا ۲۰ مارس ۲۰۲۳ میلادی/ ۲۹ اسفند ۱۴۰۱، توییتر به مخاطبان خود این اجازه را میدهد تا شماره تلفن خود را در حسابکاربریشان ثبت و پس از نوشتن رمزعبور، کد امنیتی را دریافت و با آن به حساب کاربری خود دسترسی پیدا کنند. از این تاریخ به بعد این امکان تنها در اختیار کسانی است که دستکم ماهی هشت دلار آمریکا (حدود ۴۵۰هزار تومان در زمان نوشتن این مقاله) به توییتر پرداخت کنند.
آدرس و تلفن این افراد توسط توییتر تایید شده است و در صورت سرقت حساب کاربری آنها، توییتر بهراحتی با استفاده از مدارک شناساییشان، میتواند حساب کاربری را به آنها بازگرداند. بقیه افراد میبایست برای ورود امن به توییتر از ۲۰ مارس، سراغ دو گزینه دیگر بروند: استفاده از یک نرمافزار دریافت کد امنیتی (authentication app) و یا استفاده از یک کلید امنیتی فیزیکی مانند یک یواسبی (security key).
برای استفاده از نرمافزارهای دریافت کد امنیتی میبایست اپلیکیشن مورد تایید توییتر یا دیگر شبکههای اجتماعی را دانلود و در سختافزار موردنظرتان (تلفنهمراه، لبتاپ، …) نصب کنید. سپس توییتر با اسکن یک تصویر رمزنگاری شده به سختافزار شما اجازه میدهد تا کدهای امنیتی برای ورود به توییتر صادر کند. بدینشکل شما پس از ثبت پسورد کدی را مینویسید که این نرمافزار فقط برای یک سختافزار شما صادر کرده و تنها در یک بازه زمانی چند دقیقهای میتوان از آن استفاده کرد.
آخرین راه استفاده از یک ابزار فیزیکی مانند یواسبی است که تنها در اختیار شماست و فقط با دسترسی به آن میتواند وارد جیمیل یا توییتر یا دیگر نرمافزارها شد.
آیا هر یواسبی را میتوان استفاده کرد؟
از انواعی از یواسبی برای ورود به توییتر میتوان استفاده کرد که دارای امکان «ارتباط میداننزدیک» یا انافسی (near field communication or NFC) باشد. یعنی سختافزارهای مختلف بتوانند با ورود این یواسبی به پورت مربوطه یا با نزدیک گرفتن آن به دستگاه، به دادههای درونش دسترسی پیدا کنند.
این ارتباط فقط میتواند بین دو دستگاه فیزیکی شکل بگیرد و فاصله آن دو حداکثر میتواند حدود چهار سانتیمتر (یکونیم اینچ) باشد. این یعنی دسترسی هکرها و سارقان مرتبط به سازمانهای اطلاعاتی به سختافزارها و نرمافزارهای شما محدود میشود، مگر اینکه به این دستگاهها دسترسی فیزیکی پیدا کنند.
برای فعال کردن این یواسبیها، میتوان از راهنمای منتشر شده در توییتر استفاده کرد که خلاصهاش این است:
ابتدا کلید امنیتی موردنظرتان را خریداری کنید. با یک یواسبی یا یوبیکی میتوان چند حساب کاربری در چند سختافزار را ثبت کرد. فقط بایستی مراقب باشید تا آن را گم نکنید. در صورتی که برایتان ممکن است دو یواسبی بخرید که بتوانید یکی را اگر مسافرت میروید، بههمراه داشته باشید و دیگری را در جایی امن نگهداری کنید. سپس این کلید را در حساب کاربری توییتر خود، از طریق تلفن همراه یا رایانه یا تبلت ثبت کنید. وارد توییتر شده و سپس در تنظیمات (settings) سراغ امنیت و دسترسی به اکانت (security and account access) بروید. سپس گزینه امنیت (security) را انتخاب و درنهایت وارد بخش احرازهویت دو عاملی (two-factor authentication) بشوید. در اینجا میتوانید گزینه استفاده از نرمافزار کد امنیتی (authentication app) یا کلید امنیتی (security key) را انتخاب کنید. سپس بسته به نوع سیستم عامل و سختافزارتان، مسیری که توییتر به شما نشان میدهد دنبال کرده، کلید را ثبت و سپس تنها با کمک آن پس از ثبت رمزعبور، به امنترین شیوه موجود، وارد توییتر بشوید.