SMS یا TOTP : کدام یک برای احراز هویت چند مرحله ای بهتر است؟

رمز دوم از طریق پیامک (SMS 2FA) و رمز دوم زماندار (TOTP)، دو روش رایج برای احراز هویت چند مرحله ای کاربران هستند. اگرچه هر دو روش از گذرواژه های یکبار مصرف استفاده می کنند، اما تفاوت های زیادی بین آنها وجود دارد. در این مقاله آموزشی از وب‌سایت امنیت اینترنت کنش‌‌‌تک می‌خوانیم که “ SMS یا TOTP کدام بهتر است؟“.

TOTP در مقابل SMS : تفاوت چیست؟

رمز دوم از SMS نوعی احراز هویت دو مرحله ای است که در آن کاربر یک رمز عبور یکبار مصرف (OTP: One Time Password) را از طریق پیامک دریافت می‌کند و آن را پس از رمز عبور وارد می کند تا به حساب خود دسترسی پیدا کند.

رمز دوم زماندار (TOTP) نوع دیگری از احراز هویت دو مرحله‌ای است که به موجب آن کاربر برای دسترسی به حساب کاربری خود ابتدا رمز عبور و سپس رمز عبور یکبار مصرفی (OTP) که بوسیله یک اپلیکیشن تولید میشود را وارد می‌کند.

اکثر کاربران از رمز دوم SMS در تامین امنیت حساب بانکی و محافظت از حساب های آنلاین خود استفاده می کنند. به این دلیل که تقریباً همه افراد صاحب یک تلفن و سیم کارت هستند، قابلیت احراز هویت آفلاین یکی از بزرگترین نقاط قوت رمز دوم پیامکی (SMS 2FA) است و همچنین، استفاده از آن بسیار ساده است و نیازی به تنظیمات اولیه ندارد. کاربران تنها باید شماره تلفن خود را وارد کند، که پیش شرط ساده ای برای همه به نظر می رسد.

با این حال، روش احراز هویت TOTP (رمز یکبار مصرف وابسته به زمان) در حال جایگزین شدن روش احراز هویت پیامکی است. استفاده از گذرواژه های زماندار (TOTP) نیز نسبتاً ساده است و از آنجا که این روش نیز امکان احراز هویت آفلاین را فراهم می کند، آن را به جایگزینی مناسب برای رمز دوم پیامکی تبدیل کرده است. اما آیا رمز زماندار TOTP واقعا بهتر از پیامک است؟ بیایید نگاه دقیق تری بیندازیم.

SMS یا TOTP  : چرا TOTP امن تر از پیامک است؟

هر دو روش یاد شده از رمزهای عبور یکبار مصرف برای ایمن کردن حساب های کاربری در برابر دسترسی های غیرمجاز استفاده می کنند. در رمز دوم پیامکی، سرور یک کد تولید می کند و آن را به تلفن همراه کاربر ارسال می کند. هر کد پس از استفاده از آن منقضی می شود. کد استفاده نشده حدود 10 دقیقه پس از ارسال معتبر باقی می ماند که به مهاجم، زمان کافی برای رهگیری کد و نفوذ به حساب کاربر را می دهد. ۱۰ دقیقه البته زمان قطعی نیست، و توسعه دهندگان می‌توانند مدت زمان اعتبار این کد را تعیین کنند.

برعکس، توکن‌های زماندار (TOTP)، هر 30 تا 60 ثانیه یک کد جدید تولید می‌کنند. این امر به طور قابل توجهی محدوده زمانی حمله احتمالی را محدود می‌کند. هنگامی که یک کد جدید تولید می شود، کد قبلی فوراً نامعتبر می شود. در نتیجه، حتی اگر شخصی بتواند کد را بدست بیاورد، زمان بسیار کمی برای اقدام قبل از تولید کد جدید خواهد داشت. هکرها نمی توانند از کدهای قبلی برای پیدا کردن کدهای آینده استفاده کنند و کد منقضی شده برای مهاجم غیرقابل استفاده است. از این رو رمزهای عبور یکبار مصرف زماندار به دلیل داشتن طول عمر کوتاه تر، ایمن‌تر هستند.

علاوه بر این، کد پیامکی ممکن است حتی در صورت قفل بودن صفحه نمایش، روی صفحه گوشی شما ظاهر شوند. اما اگر از یک برنامه احراز هویت استفاده می کنید، این مورد اتفاق نخواهد افتاد. اکثر اپلیکیشن های ارائه دهنده این کدها، از شما می خواهند که برنامه را باز کنید تا کدهای TOTP را ببینید. علاوه بر این شما می‌توانید برنامه را با یک پسورد یا قفل بیومتریک (اثر انگشت یا تشخیص چهره FaceID) ایمن تر کنید تا مطمئن شوید که هیچ شخص دیگری نمی‌تواند به این اپلیکیشن و کدهای شما دسترسی پیدا کند.

متأسفانه، دستیابی به رمز دوم پیامکی (SMS-2FA) بسیار آسان تر از رمز دوم زماندار (TOTP 2FA) است. از آنجایی که پیامک ها به سیم‌کارت ارسال می‌شوند و نه گوشی تلفن، مهاجم این امکان را دارد که به روش‌های مختلفی پیام‌های شما را رهگیری کند؛ تعویض سیم‌کارت، هک سیم‌کارت، و حملات SS7 برخی از روش‌های شناخته‌شده ای هستند که توسط هکرها برای دسترسی به رمز دوم پیامکی استفاده می شوند. به عنوان مثال، در یک حمله تعویض سیم‌کارت، مهاجم با شرکت مخابراتی تلفن همراه شما تماس می‌گیرد و با استفاده از هویت شما درخواست میکند که یک کپی از سیم کارت شما به آدرس او ارسال شود. هنگامی که مهاجم موفق شد به کپی سیم کارت دسترسی پیدا کند، می تواند رمز عبور دوم شما را دریافت کند و به حساب شما دسترسی پیدا کند.

رهگیری کدهای زماندار TOTP سخت تر از کدهای پیامکی است، زیرا این کد ها توسط برنامه ای که روی تلفن همراه کاربر نصب شده است و یا توسط یک توکن فیزیکی OTP متعلق به کاربر تولید می شوند. از آنجایی که کدهای TOTP فقط برای 30 ثانیه معتبر هستند، مهاجم زمان بسیار کوتاهی برای دسترسی به حساب شما دارد. به همین دلیل مهاجمان ترجیح می دهند که کدهای معتبر خود را تولید کنند و به راهی برای ایجاد این کدهای متوالی زماندار دسترسی یابند. برا این کار؛ هکر باید یا دستگاه توکن کاربر را به سرقت برد یا به نوعی به اپلیکیشن احراز هویت در تلفن کاربر نفوذ کند. هر دوی این گزینه‌ها امکان‌پذیر هستند، اما به مهارت فنی بسیار بیشتری نیاز دارند، و انجام آنها بسیار سخت‌تر از اکثر حملات مربوط به روش پیامکی می باشد.

در مجموع می توان گفت، احراز هویت TOTP بهتر از احراز هویت SMS است. اما ایمن تر بودن به معنی کامل بودن نیست. اگرچه این روش نیز هنوز در معرض برخی از انواع حملات سایبری می باشد اما طول عمر کوتاه این رمز ها به نفع این روش عمل میکند.

منبع: https://rublon.com/blog/sms-vs-totp