چرا نباید از پیامک برای احراز هویت دو مرحله ای استفاده کرد

احراز هویت دو مرحله ای (2FA) یک لایه امنیتی حیاتی را به حساب های آنلاین شما اضافه می کند، اما متأسفانه، همه روش ها یکسان ایجاد نمی شوند. بسیاری از مردم به 2FA مبتنی بر پیامک تکیه می کنند، با این فرض که انتخاب ایمن است. متأسفانه، پیامک به دور از خطا نیست. به این دلیل است که من استفاده از پیامک برای 2FA را متوقف کرده‌ام و در عوض از چه چیزی استفاده می‌کنم…

تعویض سیم کارت به هکرها اجازه می دهد شماره تلفن شما را بدزدند

یکی از هشداردهنده ترین خطرات استفاده از SMS برای 2FA تعویض سیم کارت است، تکنیکی که در آن مهاجمان ارائه دهنده تلفن همراه شما را فریب می دهند تا شماره تلفن شما را به یک سیم کارت جدید منتقل کند. هنگامی که آنها شماره شما را کنترل می کنند، می توانند هر پیامک ارسال شده به آن را رهگیری کنند.

این کار به این صورت است: مهاجمان با اپراتور تلفن همراه شما تماس می گیرند و وانمود می کنند که شما هستید. با استفاده از اطلاعات شخصی دزدیده شده – مانند آدرس شما یا چهار رقم آخر شماره تامین اجتماعی – آنها ارائه دهنده را متقاعد می کنند که شماره تلفن شما را به سیم کارت خود منتقل کند. هنگامی که این انتقال کامل شد، مهاجم پیام های متنی ارسال شده به شماره شما، از جمله کدهای 2FA که برای محافظت از حساب های شما طراحی شده است را رهگیری می کند.

آسیب در اینجا متوقف نمی شود. بسیاری از ما شماره تلفن خود را به چندین حساب، از ایمیل گرفته تا رسانه های اجتماعی و برنامه های بانکی مرتبط می کنیم. یک تعویض موفق سیم‌کارت می‌تواند به مهاجم اجازه دهد به چندین حساب مرتبط با شماره تلفن شما، از ایمیل گرفته تا برنامه‌های بانکی، دسترسی داشته باشد. راهنمای قبلی ما در مورد اینکه تعویض سیم کارت چیست و چگونه از خود محافظت کنید می تواند به شما کمک کند از این کلاهبرداری رو به افزایش رایج جلوگیری کنید.

 

پیام های اس ام اس را می توان رهگیری کرد

حتی اگر از تعویض سیم‌کارت خودداری کنید، خود پیام‌های SMS امن نیستند. آنها از طریق شبکه هایی که می توانند در برابر رهگیری آسیب پذیر باشند. هکرها می توانند از نقاط ضعف سیستم سیگنالینگ شماره 7 (SS7)، پروتکل جهانی مخابراتی که به اپراتورها اجازه می دهد تماس ها و پیام ها را مسیریابی کنند، سوء استفاده کنند. با سوء استفاده از SS7، مهاجمان می توانند پیام های SMS شما را بدون نیاز به دسترسی به تلفن فیزیکی شما رهگیری کنند.

این فقط تئوری نیست. هک سیم کارت یک موضوع کاملاً مستند است. مجرمان سایبری و حتی برخی از گروه های تحت حمایت دولت از آسیب پذیری های SS7 برای جاسوسی از ارتباطات و سرقت اطلاعات حساس استفاده کرده اند. از آنجایی که پیامک فاقد رمزگذاری است. از جمله رمزهای عبور یک بار مصرف، در حین ارسال در معرض دید قرار می گیرد.

راه دیگری که می‌توان پیام‌ها را در معرض خطر قرار داد، از طریق برنامه‌های مخرب یا نرم‌افزارهای جاسوسی نصب شده بر روی دستگاه شما است. این برنامه ها می توانند پیامک های دریافتی شما را کنترل کنند و کدهای 2FA را بدون اطلاع شما به مهاجمان ارسال کنند.

پیامک به شماره تلفن شما گره خورده است

یکی دیگر از اشکالات مهم 2FA مبتنی بر پیامک، وابستگی آن به شماره تلفن شما است. توانایی شما برای دریافت کد مستقیماً به سرویس تلفن همراه شما وابسته است. اگر در منطقه ای با دریافت ضعیف هستید، 2FA مبتنی بر پیامک کاملاً بی فایده می شود، حتی اگر Wi-Fi داشته باشید. برخلاف سایر روش‌های احراز هویت که می‌توانند از طریق اتصال به اینترنت کار کنند، پیامک به یک سیگنال تلفن همراه پایدار نیاز دارد.

این وابستگی می‌تواند شما را در شرایطی که نیاز به دسترسی به حساب‌های خود دارید، اما نمی‌توانید کدها را دریافت کنید، سرگردان کند. چه در یک مکان دورافتاده سفر کنید و چه صرفاً در ساختمانی با استقبال ضعیف، این محدودیت باعث می‌شود پیامک کمتر از سایر گزینه‌ها قابل اعتماد باشد.

از Authenticator Apps بجای پیامک استفاده کنید

به جای اتکا به پیامک برای 2FA، به برنامه های احراز هویت 2FA تغییر وضعیت داده ام. برنامه‌هایی مانند Google Authenticator، Microsoft Authenticator و Authy گذرواژه‌های یک‌بار مصرف مبتنی بر زمان (TOTP) را مستقیماً در دستگاه شما ایجاد می‌کنند و جایگزین بسیار مطمئن‌تری برای پیامک ارائه می‌دهند.

اولین مزیت اصلی برنامه های احراز هویت، امنیت است. برخلاف پیامک، این برنامه‌ها کدهایی را به صورت محلی روی تلفن شما تولید می‌کنند، به این معنی که از طریق شبکه‌هایی که می‌توانند رهگیری یا سوءاستفاده شوند، منتقل نمی‌شوند. آنها همچنین توسط لایه های امنیتی اضافی محافظت می شوند – بسیاری از برنامه ها برای دسترسی به کدها به رمز عبور، اثر انگشت یا اسکن چهره نیاز دارند.

دلیل دیگری که من برنامه های احراز هویت را ترجیح می دهم، عملکرد آفلاین آنها است. از آنجایی که کدها مستقیماً روی دستگاه تولید می شوند، برای استفاده از آنها نیازی به اتصال سلولی ندارید. چه در یک منطقه دورافتاده و بدون خدمات باشید یا صرفاً در داخل خانه با دریافت ضعیف باشید، تا زمانی که دستگاه خود را در اختیار دارید همچنان می‌توانید به کدهای خود دسترسی داشته باشید.

مطلب مرتبط:آموزش تعمیرات کامپیوتر

من Authy را به سایر برنامه‌های احراز هویت ترجیح می‌دهم، زیرا پشتیبان‌گیری ابری ارائه می‌دهد و در صورت گم شدن گوشی، بازیابی حساب‌هایم را آسان می‌کند. در عین حال، این نسخه های پشتیبان را با رمزگذاری ایمن می کند و اطمینان می دهد که فقط من می توانم به آنها دسترسی داشته باشم. Google Authenticator یکی دیگر از گزینه های محبوب است. هر دو گزینه رایگان هستند، به طور گسترده پشتیبانی می شوند و به راحتی تنظیم می شوند.

استفاده از یک برنامه احراز هویت ساده است. هنگامی که آن را راه‌اندازی کردید، معمولاً با اسکن یک کد QR ارائه‌شده توسط وب‌سایت در طول فرآیند راه‌اندازی 2FA، به سادگی برنامه را باز می‌کنید تا هر زمان که وارد سیستم می‌شوید به یک کد دسترسی پیدا کنید. کدها هر 30 ثانیه یکبار تجدید می‌شوند، حتی اگر کسی مدیریت کند برای سرقت یکی، تقریباً بلافاصله بی فایده می شود.

احراز هویت دو مرحله ای برای ایمن نگه داشتن حساب های شما ضروری است، اما روشی که استفاده می کنید مهم است. اگرچه 2FA مبتنی بر پیامک ممکن است راحت به نظر برسد، اما مملو از آسیب‌پذیری‌هایی است – از تعویض سیم‌کارت گرفته تا روش‌های رهگیری و حتی مسائل عملی مانند دریافت ضعیف تلفن همراه. این خطرات پیامک را به یک محافظ غیر قابل اعتماد برای امنیت آنلاین شما تبدیل می کند.