آیا عبور دومرحلهای شما را از هکرها محافظت میکند؟
در ایران، موسسه خیریه "جمعیت امام علی"، اعلام کرده که گروهی از اعضایش، هدف یک حمله "سازماندهی شده" سایبری قرار گرفتهاند و کنترل چند حساب کاربری خود را از دست داده اند.
چرا این خبر بحث برانگیز شده است؟
آنچه این خبر را بحث برانگیز کرده این نکته است که اعضایی که هدف حمله قرار گرفتهاند، برای محافظت از خود در برابر هکرها از خدمات "عبور دو مرحلهای" استفاده میکنند.
عبور دو مرحلهای که یک لایه امنیتی دوم برای کاربران ایجاد میکند، اولین بار - به صورت گسترده و مجانی - از سوی گوگل برای سرویس ایمیلش، جیمیل، معرفی شد. این لایه امنیتی به عنوان یکی از ایمنترین روشهای مقابله با دزدیده شدن حسابهای کاربری حالا به صورت گسترده در بیشتر خدمات دهندگان آنلاین استفاده میشود. برای همین "دور زدن" این لایه امنیتی، خبرساز شده است.
مظنون اصلی حملات اخیر سایبری به آمریکا کدام کشور است؟چین، روسیه یا ایران!
عبور دو مرحلهای چطور کار میکند؟
این لایه امنیتی، بعد از وارد کردن شناسه و رمز کاربری در سایتها یا اپلیکیشنهای خدمات دهنده فعال میشود و از کاربر یک رمز دوم که به عنوان "رمز احراز هویت" شناخته میشود را سوال میکند.
این رمز، به صورت مجزا، به شمارهای که کاربر قبلا اعلام و تایید کرده است، ارسال میشود. البته این یکی از روشها است. این رمز میتواند در یک اپلیکیشن، که قبلا نصب و به سرویس دهنده وصل شده است هم تولید شود.
نمونه آن، اپلیکیشن تایید هویت گوگل است با نام Google Authenticator بعد از متصل کردن این اپلیکیشن به حساب جی-میل میتوانید حتی به صورت آفلاین از آن استفاده کنید. این اپلیکیشن، به طور منظم کدهایی را تولید میکند که بعد از چند ثانیه منقضی میشوند و کد جدیدی تولید میشود.
چطور ممکن است عبور دو مرحلهای هک شود؟
در صورتی که شما از روش دریافت رمز احراز هویت از طریق پیامک استفاده کنید، هکرها در صورت دسترسی به موبایل شما میتوانند رمز را به دست بیاورند و وارد حساب کاربری شما شوند. تصویر زیر این روند را نمایش میدهد.
همانطور که نمایش داده شده است، اگر هکرها بتوانند، در مسیر عبور پیامک حامل رمز احراز هویت، از شرکت خدمات دهنده (مثلا گوگل) تا موبایل کاربر وارد شوند و این پیامک را بخوانند، میتوانند وارد حساب کاربری شوند و کنترل آن را از دست صاحب آن خارج کنند.
چه کسی میتواند پیامک حاوی رمز احراز هویت شما را ببیند؟
از تصویر بالا میتوان اینطور برداشت کرد که اتهام نفوذ، متوجه اوپراتور، یا شرکت مخابرات است. اما پاسخ به اینکه در ایران چه کسی میتواند پیامکها را بخواند، بدون دسترسی به مقامات و اطلاعات بیشتر از زیرساخت شبکه موبایل ایران ممکن نیست.
در کشورهای غربی، دادگاه میتواند اجازه دسترسی به پیامکهای صاحب یک شماره موبایل را صادر کند. برای همین هم در سالهای اخیر استفاده از پیامرسانهایی که پیامها را رمز گذاری میکنند افزایش یافته است و حتی در بسیاری از کشورها تبدیل به یک مشکل پیچیده برای پلیس و سرویسهای امنیتی در مقابله با تروریسم و حتی جنایتکاران شده است.
اما در ایران، دستگاه امنیتی ایران بارها اقدام به شنود مکالمات یا تماسهای اینترنتی کسانی کرده که به نوعی آنان را تهدید امنیتی میداند. این افراد مخالفان سیاسی، خبرنگاران و فعالان اجتماعی را هم شامل میشوند.
آیا میشود بدون استفاده از موبایل، رمز احراز هویت را دریافت کرد؟
همانطور که در شیوه کار عبور دو مرحلهای توضیح داده شد، در مورد گوگل میتوان از اپلیکیشن تایید هویت Google Authenticator استفاده کرد. در مورد فیس بوک، اپلیکیشن موبایل کد احراز هویت را تولید میکند. همچنین بعضی از خدمات دهندگان اینترنتی، مانند گوگل و پیپل (سایت نقل و انتقال پول از طریق اینترنت) گزینه استفاده از کلیدهای امنیتی را هم ارائه میکنند. البته این کلیدها که زمان نیاز به احراز هویت به درگاه یواسبی کامپیوترها متصل میشود، باید مجزا خریداری شود.
یکی از راههای دیگر هم تولید و چاپ کردن تعدادی از کدهای احراز هویت است که از هر رمز میتوان برای یک بار وارد شدن استفاده کرد.
با این حال همچنان محبوبترین و شاید آسانترین روش احراز هویت، پیامک موبایل است.
آیا همیشه پای مخابرات در میان است؟
اگر با دید وسیعتری به روشهای ممکن برای به دست آوردن کد احراز هویت یک کاربر نگاه کنیم، میتوان این فرض را هم در نظر گرفت که موبایل کاربر، قبلا به یک بد افزار آلوده شده باشد و به محض دریافت پیامک رمز، آن را بخواند و برای یک شماره دیگر که هکر تعیین کرده، بفرستد.
همچنین میتوان این فرض را در نظر گرفت که هکرها، به شبکه اوپراتور موبایل نفوذ کرده باشند. البته در مورد اتفاقی که برای گروهی از اعضای جمعیت امام علی افتاده نیاز به بررسیهای بیشتر و حتی شاید امکانات دولتی برای ردیابی مهاجمان است.