آیا احراز هویت دوعامله راهحلی برای جلوگیری از نفوذگری است؟
پس از نفوذهای اخیر به دادهها که علیه غولهای فناوری (برای مثال MySpace، لینکدین، توییتر) صورت گرفت، کارشناسان امنیتی کاربران را دعوت میکنند تا از بهاشتراکگذاری اعتبارنامههای ورود خود روی وبگاههای متعدد جلوگیری کنند و اگر قابلیت احراز هویت دوعامله (FA٢) وجود دارد آن را فعال کنند.
بنابراین آیا احراز هویت دوعامله، راهحل صحیحی برای هر نوع از نفوذ است؟ البته که نه، بسیار مهم است که فرض کنیم وضعیت امنیتی مناسب، هوشیاری از وقوع تهدیدات است. فرایند احراز هویت دوعامله میتواند توسط راههای متعدد دور زده شود، برای مثال با استفاده از بدافزار یا از طریق حملات مهندسی اجتماعی.
احراز هویت دوعامله بهشدت امنیت شما را بهبود میبخشد، حتی هنگامیکه نفوذگران موفق به سرقت گذرواژه شما شوند، بازهم نیاز دارند تا عامل دوم را برای کاملکردن فرایند احراز هویت در اختیار داشته باشند. متأسفانه، آنها میتوانند این عامل دوم را با فریب کاربران برای افشای آن در اختیار بگیرند. اوایل این هفته، کارشناسان امنیتی الکس مک کاو از بنیانگذاران شرکت Clearbit درباره تکنیکهای حملهای هشدار داده که در حملات واقعی دیده است. این ترفندها کمک میکند تا کاربران فریفته شوند و کد احراز هویت دوعامله خود را برای حساب گوگل افشا کنند.
در اینجا این ترفند مرحلهبهمرحله توضیح داده میشود: مهاجم یک پیام کوتاه برای کاربر ارسال و تظاهر میکند که از طرف شرکت ارسال شده است. همچنین این ترفند درصورتیکه کاربر از سایر ارائهدهندگان خدمات استفاده کند، در آنها نیز کار میکند. این پیام به کاربر میگوید که ارائهدهنده خدمات که در اینجا شرکت گوگل است، فعالیتهای مشکوکی را در حساب کاربر مشاهده کرده است و اکنون شرکت از قربانی میخواهد کد احراز هویت دومرحلهای را برای اجتناب از قفلشدن حساب برای او پیامک کند.
قربانی برای جلوگیری از بروز مشکل، این کد را پس میفرستد و تصور میکند که در حال تلاش برای خنثیکردن حمله است. در این لحظه، همه آنچه را که لازم دارد، برای کنترل حساب قربانی در دست دارد. نفوذگر از مشخصات احراز هویت قربانی و کد دومرحلهای استفاده کرده و از طریق فرایند گفتهشده میتواند به حساب کاربر دسترسی پیدا کند.