چرا فعال کردن 2FA با پیامک امن نیست

0
359
چرا فعال کردن 2FA با پیام متنی کوتاه امن نیست

احراز هویت دو مرحله‌ای (2FA) یک لایه امنیتی اضافی را به همراه دارد که رمز عبور به تنهایی نمی تواند آن را فراهم کند. نیاز به یک مرحله اضافی برای اثبات هویت کاربر، احتمال دسترسی یک مهاجم سایبری به داده‌ها را کاهش می‌دهد.

یکی از متداول‌ترین روش‌های 2FA، پیام‌ متنی کوتاه یا SMS است. مشکل اینجاست که پیامک یک رسانه امن نیست. هکرها ابزارهای مختلفی دارند که می توانند پیامک‌ها را رهگیری، فیش و جعل کنند. با وجود این نقص امنیتی و همچنین گزینه‌های بهتر برای احراز هویت، 2FA مبتنی‌ بر SMS هنوز توسط چندین سازمان و شرکت استفاده می‌شود.

هکرها چگونه SMS را رهگیری می‌کنند

اضافه کردن 2FA به هر اپلیکیشنی برای افزایش امنیت ایده خوبی است. حملات رمز عبور هر روز پیشرفته‌ و پیچیده‌تر می‌شوند و حتی رمزهای عبور پیچیده را می‌توان شکست. نیاز به احراز هویت بیشتر برای هر ورود، محافظت بهتری را تضمین می‌کند.

اما پس از انجام آن گام امنیتی اضافی، چرا از یک شکل ناامن برای آن استفاده کنیم؟ بهرحال، پیامک‌ها بر اساس شبکه‌های تلفن هستند. اولین هکرها عده‌ای بودند که راه های جالبی برای دور زدن شبکه‌های تلفن پیدا می‌کردند. رهگیری پیامک برای بسیاری از هکرها کار قدیمی‌ای است.

همانطور که Daniel B. Cid اشاره می‌کند، این فقط مربوط به شبکه‌‌های تلفن نیست، بلکه شرکت‌های تلفن هم امنیت ضعیفی دارند :

“پست صوتی شما فقط با یک پین ۴ رقمی محافظت می شود. و در اکثر اپراتورها می توانید از راه دور به پست صوتی خود دسترسی داشته باشید.

به راحتی فیش می شود. اگر اطلاعات اولیه‌ای در مورد صاحب پست صوتی می‌دانید، می توانید پین را تغییر دهید.

به راحتی جعل می شود. جعل پیام کوتاه بسیار آسان است. هیچ SSL یا گواهی برای تأیید اینکه واقعاً از کجا آمده است وجود ندارد.”

‌روش‌های کلاهبرداری با فیشینگ ترکیب می‌شوند تا مهاجم به دسترسی‌ای که می‌خواهد دست پیدا کند. این فرآیند به هکرها این امکان را می دهد که SMS را جعل کنند، بطوریکه به نظر برسد که از یک منبع قانونی ارسال شده است. در این پیام کوتاه از قربانی خواسته می‌شود که کد امنیتی را ارسال کند. در همان زمان، هکر یک درخواست ورود به سیستم 2FA را ارسال می‌کند. اگر قربانی در پاسخ SMS، آن کد را به مهاجم ارسال کند، هکر می تواند از آن برای دسترسی به حساب قربانی که با 2FA مبتنی بر SMS محافظت می‌شد، استفاده کند.

در این مورد بیشتر بدانید: چگونه حمله فیشینگ می‌تواند احراز هویت دو مرحله‌ای را دور بزند؟

علاوه‌بر‌این، پیروی از روش‌های جلوگیری و مقابله با فیشینگ برای ایمن کردن احراز هویت دو عامله با پیام کوتاه کافی نیست. همانطور که Daniel اشاره کرد، یک هکر با داشتن اطلاعات اولیه از قربانی می‌تواند پین را تغییر دهد.متاسفانه شما بعنوان کاربر معمولی نمی‌توانید جلوی حمله فیشینگ در شرکت تلفن را بگیرید.

از روش مهندسی اجتماعی هم می‌توان برای تعویض سیم‌کارت استفاده کرد. یک هکر می‌تواند با استفاده از اطلاعات قربانی و روش‌های مهندسی اجتماعی، وانمود کند که یک قربانی است و برای شماره مورد نظرش یک سیم‌کارت جدید بگیرد. قبل از آنکه قربانی متوجه شد، هکر از مرحله 2FA با SMS عبور کرده است.

اگرچه این فرآیند ممکن است پیچیده به نظر برسد، اما به طرز شگفت انگیزی موثر است. به عنوان مثال، CloudFlare با استفاده از روشی مشابه هک شد. ارائه‌دهنده تلفن آن‌ها، AT&T، فریب خورد تا صندوق صوتی خود را تغییر مسیر دهد، سپس فرایند بازیابی حساب جیمیل از طریق ارسال پین به آن صندوق پستی صورت گرفت و دسترسی به حساب ایمیل بدست آمد. اگر این برای یکی از مهمترین شرکت‌ها در زمینه امنیت سایبری اتفاق افتاده است، برای دیگران هم ممکن است اتفاق بیافتد.

هکرها همچنین می‌توانند اطلاعات سیم کارت را از طریق یک پروتکل دسکتاپ از راه دور (RDP) مبادله کنند. این حملات البته به مهندسی اجتماعی نیاز دارند تا برنامه RDP را سمت قربانی نصب کنند. همانطور که Joseph Cox در ژانویه ۲۰۱۹ در Vice گزارش داد، هکرها مشکلی برای دسترسی از راه دور به سیستم‌های شرکت تلفن نداشتند. یکی حتی تا آنجا پیش رفت که برخی از کارمندان و مدیران را «مرگ مغزی» خطاب کرد.

جایگزین‌های بهتر برای 2FA با پیامک

اگر پیامک تنها گزینه است، چاره دیگری ندارید، هر چند با فعال کردن 2FA با SMS امنیتی که گزینه احراز هویت دو مرحله‌ای قرار بود فراهم کند، بدست نمی‌آید. بهرحال همین ممکن است جلوی چندین حمله را بگیرد، بعلاوه اینکه باعث حملات دیگری هم بشود.

خوشبختانه گزینه‌های بهتری (نرم‌افزاری و سخت‌افزاری) برای فعال کردن احراز هویت دو عامله وجود دارند، اگر سرویسی که از آن استفاده می‌کنید یکی از گزینه‌های زیر را پشتیبانی می‌کند حتما از آن استفاده کنید:

  • احراز هویت دو مرحله‌ای با اپلیکیشن‌‌هایی مانند Google Authenticator و Duo Mobil.
  • احراز هویت دو مرحله‌‌ای با تلفن همراه.
  • 2FA با کلید‌های سخت‌افزاری مانند Yubico و RSA SecurID.
  • احراز هویت دو مرحله‌ای بر اساس IP: کاربر می‌تواند IP‌های مجاز را وارد کند، در اینصورت تلاش برای وارد شدن به حساب از IP‌های دیگر مسدود می‌شود.
  • احرازهویت بیومتریک: کاربر برای وارد شدن به حساب یا باز کردن دستگاه‌ش نیاز به وارد کردن اثرانگشت دارد.

فراموش نکنید، در حالیکه فعال کردن احراز هویت دو عامله قویا توصیه می‌شود، همچنان باید در مورد امنیت رمزعبور‌هایتان محتاط باشید.

منبع: https://blog.sucuri.net/2020/01/why-2fa-sms-is-a-bad-idea.html

مقاله قبلیآسیب‌پذیری Polkit روی سیستم‌های لینوکس
مقاله بعدیچه چیزهایی از هک‌‌ها و هک‌ شدن‌ یاد می‌گیریم؟

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.