عبور دو مرحله‌ای چطور کار می‌کند؟ و ممکن است هک شود؟

عبور دو مرحله‌ای چیست؟

عبور دو مرحله‌ای که یک لایه امنیتی دوم برای کاربران ایجاد می‌کند، اولین بار – به صورت گسترده و مجانی – از سوی گوگل برای سرویس ایمیلش، جی‌میل، معرفی شد. این لایه امنیتی به عنوان یکی از ایمن‌ترین روش‌های مقابله با دزدیده شدن حساب‌های کاربری حالا به صورت گسترده در بیشتر خدمات دهندگان آنلاین استفاده می‌شود. برای همین “دور زدن” این لایه امنیتی، خبرساز شده است.

عبور دو مرحله‌ای چطور کار می‌کند؟

این لایه امنیتی، بعد از وارد کردن شناسه و رمز کاربری در سایت‌ها یا اپلیکیشن‌های خدمات دهنده فعال می‌شود و از کاربر یک رمز دوم که به عنوان “رمز احراز هویت” شناخته می‌شود را سوال می‌کند.

این رمز، به صورت مجزا، به شماره‌ای که کاربر قبلا اعلام و تایید کرده است، ارسال می‌شود. البته این یکی از روش‌ها است. این رمز می‌تواند در یک اپلیکیشن، که قبلا نصب و به سرویس دهنده وصل شده است هم تولید شود.

نمونه آن، اپلیکیشن تایید هویت گوگل است با نام Google Authenticator بعد از متصل کردن این اپلیکیشن به حساب جی-میل می‌توانید حتی به صورت آفلاین از آن استفاده کنید. این اپلیکیشن، به طور منظم کدهایی را تولید می‌کند که بعد از چند ثانیه منقضی می‌شوند و کد جدیدی تولید می‌شود.

چطور ممکن است عبور دو مرحله‌ای هک شود؟

در صورتی که شما از روش دریافت رمز احراز هویت از طریق پیامک استفاده کنید، هکرها در صورت دسترسی به موبایل شما می‌توانند رمز را به دست بیاورند و وارد حساب کاربری شما شوند. تصویر زیر این روند را نمایش می‌دهد.

همانطور که نمایش داده شده است، اگر هکرها بتوانند، در مسیر عبور پیامک حامل رمز احراز هویت، از شرکت خدمات دهنده (مثلا گوگل) تا موبایل کاربر وارد شوند و این پیامک را بخوانند، می‌توانند وارد حساب کاربری شوند و کنترل آن را از دست صاحب آن خارج کنند.

 

آیا می‌شود بدون استفاده از موبایل، رمز احراز هویت را دریافت کرد؟

همانطور که در شیوه کار عبور دو مرحله‌ای توضیح داده شد، در مورد گوگل می‌توان از اپلیکیشن تایید هویت Google Authenticator استفاده کرد. در مورد فیس بوک، اپلیکیشن موبایل کد احراز هویت را تولید می‌کند. همچنین بعضی از خدمات دهندگان اینترنتی، مانند گوگل و پی‌پل (سایت نقل و انتقال پول از طریق اینترنت) گزینه استفاده از کلیدهای امنیتی را هم ارائه می‌کنند. البته این کلید‌ها که زمان نیاز به احراز هویت به درگاه یو‌اس‌بی کامپیوترها متصل می‌شود، باید مجزا خریداری شود.

یکی از راه‌های دیگر هم تولید و چاپ کردن تعدادی از کد‌های احراز هویت است که از هر رمز می‌توان برای یک بار وارد شدن استفاده کرد. با این حال همچنان محبوب‌ترین و شاید آسان‌ترین روش احراز هویت، پیامک موبایل است.

آیا همیشه پای مخابرات در میان است؟

اگر با دید وسیع‌تری به روش‌های ممکن برای به دست آوردن کد احراز هویت یک کاربر نگاه کنیم، می‌توان این فرض را هم در نظر گرفت که موبایل کاربر، قبلا به یک بد افزار آلوده شده باشد و به محض دریافت پیامک رمز، آن را بخواند و برای یک شماره دیگر که هکر تعیین کرده، بفرستد. همچنین می‌توان این فرض را در نظر گرفت که هکرها، به شبکه اوپراتور موبایل نفوذ کرده باشند.

مرور بیشتر...

0

دیدگاهی بنویسید

ایمیل شما منتشر نخواهد شدفیلد های ضروری نشانه گذاری شده است. *

*

4 × 1 =