احراز هویت دو مرحله ای (2FA) یک لایه امنیتی حیاتی را به حساب های آنلاین شما اضافه می کند، اما متأسفانه، همه روش ها یکسان ایجاد نمی شوند. بسیاری از مردم به 2FA مبتنی بر پیامک تکیه می کنند، با این فرض که انتخاب ایمن است. متأسفانه پیامک به دور از خطا نیست. به این دلیل است که من استفاده از پیامک برای 2FA را متوقف کردهام و در عوض از چه چیزی استفاده میکنم…
خلاصه عناوین
- تعویض سیم کارت به هکرها اجازه می دهد شماره تلفن شما را بدزدند
- پیام های اس ام اس را می توان رهگیری کرد
- پیامک به شماره تلفن شما گره خورده است
- آنچه من به جای آن استفاده می کنم: Authenticator Apps
احراز هویت دو مرحله ای (2FA) یک لایه امنیتی حیاتی را به حساب های آنلاین شما اضافه می کند، اما متأسفانه، همه روش ها یکسان ایجاد نمی شوند. بسیاری از مردم به 2FA مبتنی بر پیامک تکیه می کنند، با این فرض که انتخاب ایمن است. متأسفانه پیامک به دور از خطا نیست. به این دلیل است که من استفاده از پیامک برای 2FA را متوقف کردهام و در عوض از چه چیزی استفاده میکنم…
تعویض سیم کارت به هکرها اجازه می دهد شماره تلفن شما را بدزدند
یکی از هشداردهنده ترین خطرات استفاده از SMS برای 2FA تعویض سیم کارت است، تکنیکی که در آن مهاجمان ارائه دهنده تلفن همراه شما را فریب می دهند تا شماره تلفن شما را به یک سیم کارت جدید منتقل کند. هنگامی که آنها شماره شما را کنترل می کنند، می توانند هر پیامک ارسال شده به آن را رهگیری کنند.
نحوه کار به این صورت است: مهاجمان با اپراتور تلفن همراه شما تماس می گیرند و وانمود می کنند که شما هستید. با استفاده از اطلاعات شخصی دزدیده شده – مانند آدرس شما یا چهار رقم آخر شماره تامین اجتماعی – آنها ارائه دهنده را متقاعد می کنند که شماره تلفن شما را به سیم کارت خود منتقل کند. هنگامی که این انتقال کامل شد، مهاجم پیامهای متنی ارسال شده به شماره شما، از جمله کدهای 2FA که برای محافظت از حسابهای شما هستند را رهگیری میکند.
آسیب در اینجا متوقف نمی شود. بسیاری از ما شماره تلفن خود را به چندین حساب، از ایمیل گرفته تا رسانه های اجتماعی و برنامه های بانکی مرتبط می کنیم. یک تعویض موفق سیمکارت میتواند به مهاجم اجازه دهد به چندین حساب مرتبط با شماره تلفن شما، از ایمیل گرفته تا برنامههای بانکی، دسترسی داشته باشد. راهنمای قبلی ما در مورد اینکه تعویض سیم کارت چیست و چگونه از خود محافظت کنید می تواند به شما کمک کند از این کلاهبرداری رو به افزایش رایج جلوگیری کنید.
پیام های اس ام اس را می توان رهگیری کرد
حتی اگر از تعویض سیمکارت خودداری کنید، خود پیامهای SMS امن نیستند. آنها از طریق شبکه هایی که می توانند در برابر رهگیری آسیب پذیر باشند، حرکت می کنند. هکرها می توانند از نقاط ضعف سیستم سیگنالینگ شماره 7 (SS7)، پروتکل جهانی مخابراتی که به اپراتورها اجازه می دهد تماس ها و پیام ها را مسیریابی کنند، سوء استفاده کنند. با سوء استفاده از SS7، مهاجمان می توانند پیام های SMS شما را بدون نیاز به دسترسی به تلفن فیزیکی شما رهگیری کنند.
این فقط تئوری نیست. هک سیم کارت یک موضوع کاملاً مستند است. مجرمان سایبری و حتی برخی از گروه های تحت حمایت دولت از آسیب پذیری های SS7 برای جاسوسی از ارتباطات و سرقت اطلاعات حساس استفاده کرده اند. از آنجایی که پیامک فاقد رمزگذاری است، محتوای پیام، از جمله رمزهای عبور یک بار مصرف، در حین ارسال در معرض دید قرار می گیرد.
راه دیگری که میتوان پیامها را در معرض خطر قرار داد، از طریق برنامههای مخرب یا نرمافزارهای جاسوسی نصب شده بر روی دستگاه شما است. این برنامه ها می توانند پیامک های دریافتی شما را کنترل کنند و کدهای 2FA را بدون اطلاع شما به مهاجمان ارسال کنند.
پیامک به شماره تلفن شما گره خورده است
یکی دیگر از اشکالات مهم 2FA مبتنی بر پیامک، وابستگی آن به شماره تلفن شما است. توانایی شما برای دریافت کد مستقیماً به سرویس تلفن همراه شما وابسته است. اگر در منطقه ای با دریافت ضعیف هستید، 2FA مبتنی بر پیامک کاملاً بی فایده می شود، حتی اگر Wi-Fi داشته باشید. برخلاف سایر روشهای احراز هویت که میتوانند از طریق اتصال به اینترنت کار کنند، پیامک به یک سیگنال تلفن همراه پایدار نیاز دارد.
این وابستگی میتواند شما را در شرایطی که نیاز به دسترسی به حسابهای خود دارید، اما نمیتوانید کدها را دریافت کنید، سرگردان کند. چه در یک مکان دورافتاده سفر کنید و چه صرفاً در ساختمانی با استقبال ضعیف، این محدودیت باعث میشود پیامک کمتر از سایر گزینهها قابل اعتماد باشد.
آنچه من به جای آن استفاده می کنم: Authenticator Apps
به جای اتکا به پیامک برای 2FA، به برنامه های احراز هویت 2FA تغییر وضعیت داده ام. برنامههایی مانند Google Authenticator، Microsoft Authenticator و Authy گذرواژههای یکبار مصرف مبتنی بر زمان (TOTP) را مستقیماً در دستگاه شما ایجاد میکنند و جایگزین بسیار مطمئنتری برای پیامک ارائه میدهند.
اولین مزیت اصلی برنامه های احراز هویت، امنیت است. برخلاف پیامک، این برنامهها کدهایی را به صورت محلی روی تلفن شما تولید میکنند، به این معنی که از طریق شبکههایی که میتوانند رهگیری یا سوءاستفاده شوند، منتقل نمیشوند. آنها همچنین توسط لایه های امنیتی اضافی محافظت می شوند – بسیاری از برنامه ها برای دسترسی به کدها به رمز عبور، اثر انگشت یا اسکن چهره نیاز دارند.
دلیل دیگری که من برنامه های احراز هویت را ترجیح می دهم، عملکرد آفلاین آنها است. از آنجایی که کدها مستقیماً روی دستگاه تولید می شوند، برای استفاده از آنها نیازی به اتصال سلولی ندارید. چه در یک منطقه دورافتاده و بدون خدمات باشید یا صرفاً در داخل خانه با دریافت ضعیف باشید، تا زمانی که دستگاه خود را در اختیار دارید همچنان میتوانید به کدهای خود دسترسی داشته باشید.
من Authy را به سایر برنامههای احراز هویت ترجیح میدهم، زیرا پشتیبانگیری ابری ارائه میدهد و در صورت گم شدن گوشی، بازیابی حسابهایم را آسان میکند. در عین حال، این نسخه های پشتیبان را با رمزگذاری ایمن می کند و اطمینان می دهد که فقط من می توانم به آنها دسترسی داشته باشم. Google Authenticator یکی دیگر از گزینه های محبوب است. هر دو گزینه رایگان هستند، به طور گسترده پشتیبانی می شوند و به راحتی تنظیم می شوند.
استفاده از برنامه احراز هویت ساده است. هنگامی که آن را راهاندازی کردید، معمولاً با اسکن یک کد QR ارائهشده توسط وبسایت در طول فرآیند راهاندازی 2FA، به سادگی برنامه را باز میکنید تا هر زمان که وارد سیستم میشوید به یک کد دسترسی پیدا کنید. کدها هر 30 ثانیه یکبار تجدید میشوند، حتی اگر کسی مدیریت کند برای سرقت یکی، تقریباً بلافاصله بی فایده می شود.
احراز هویت دو مرحله ای برای ایمن نگه داشتن حساب های شما ضروری است، اما روشی که استفاده می کنید مهم است. اگرچه 2FA مبتنی بر پیامک ممکن است راحت به نظر برسد، اما مملو از آسیبپذیریهایی است – از تعویض سیمکارت گرفته تا روشهای رهگیری و حتی مسائل عملی مانند دریافت ضعیف تلفن همراه. این خطرات پیامک را به یک محافظ غیر قابل اعتماد برای امنیت آنلاین شما تبدیل می کند.