روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین امنیت اطلاعات مدت‌هاست بر سر این مسئله اتفاق نظر دارند که قابل‌اطمینان‌ترین نوع احراز هویت دو عاملی با کد یکبارمصرف، اپ احرازگر است. بیشتر سرویس‌ها این متود را بعنوان سطح ثانویه محافظت اکانت پیشنهاد می‌دهند و این درحالیست که در برخی موارد احراز هویت دوعاملی که از کدِ اپ استفاده می‌کند تنها گزینه موجود است. اما کمتر به دلایلی که کدهای یکبارمصرف امن قلمداد می‌شوند پرداخته شده است؛ بنابراین این سوالات در ذهن ایجاد می‌شوند که آیا این واقعاً گزینه خوبیست یا نه و اینکه موقع استفاده از این متود احراز هویت دوعاملی باید مراقب چه چیز بود. هدف اصلی این مطلب پاسخ دادن به این سوالات است. با ما همراه بمانید.

اپ‌های احرازگر چطور کار می‌کنند؟

به طور کلی، چنین اپ‌هایی عملکردی به شرح زیر دارند:

سرویسی که در آن دارید احراز هویت می‌کنید و خود احرازگر عددی را به اشتراک می‌گذارند- کلید مخفی (در آن کد کیو آری وجود دارد که از آن برای فعالسازی احراز هویت مخصوص این سرویس داخل اپ استفاده می‌شود). احرازگر و سرویس همزمان از این الگوریتم واحد برای تولید کدی مبتنی بر این کلید و زمان فعلی استفاده می‌کنند. وقتی کدی را که اپ‌تان تولیده کرده است وارد کردید، سرویس آن را با آنی که خودش تولید کرده مقایسه می‌کند. اگر کدها تطابق داشته باشند همه‌چیز خوب پیش می‌رود و می‌توانید به اکانت دسترسی داشته باشید (و اگر چنین تطابقی وجود نداشت باشد برنامه به هم می‌ریزد!).

همچنین، وقتی از طریق کد کیو آر به اپ احرازگر کانتکت می‌شوید، کلی داده علاوه بر کلید مخفی انتقال داده می‌شود. این شامل دوره انقضای کد یکبار مصرف (معمولاً 30 ثانیه) می‌شود. مهمترین اطلاعات –کلید مخفی- تنها یک بار انتقال داده می‌شود –وقتی سرویس با احرازگر جفت می‌شود- و هر دو طرف آن را به یاد می‌آورد. این یعنی با هر بار لاگین جدید به اکانت، هیچ اطلاعاتی از سرویس به احرازگر شما به هیچ‌وجه انتقال داده نمی‌شود پس هیچ چیزی برای رهگیری وجد ندارد. در حقیقت، اپ‌های احرازگر حتی به دسترسی نت برای اجرای عمل اصلی‌شان نیز نیاز ندارند. همه انچه به لحاظ تئوری از عهده هکر برمی‌آید کد یکبار مصرف واقعی است که سیستم برای شما (به منظور وارد کردن) تولید می‌کند و این کد فقط چیزی حدود نیم دقیقه اعتبار دارد.

ما قبلاً در یک پست جداگانه با جزئیات بیشتری درباره نحوه عملکرد برنامه های احراز هویت صحبت کرده‌ایم. اگر می‌خواهید در مورد استانداردهای احراز هویت، اطلاعات موجود در کدهای QR برای اتصال آن برنامه‌ها و خدماتی که با رایج‌ترین احراز هویت‌کنندگان ناسازگار هستند، آن را بخوانید.

FA2 با کد یکبارمصرف چقدر امن است؟

بیایید مزایا احراز هویت یکبار مصرف از اپ را خلاصه کنیم:

•         محافظت خوب در مقابل نشتی‌ها: پسورد به تنهایی برای دسترسی به اکانت کافی نیست- همچنین باید کد یکبار مصرف را نیز داشته باشید.
•         محافظت قابل‌قبول در برابر رهگیری کد یکبار مصرف. از آنجایی که کد تنها 30 ثانیه معتبر است هکرها زمان چندانی برای استفاده از آن ندارند.
•         غیرممکن است بشود کلید مخفی کد یکبار مصرف را ریکاوری کرد پس حتی اگر کد رهگیری هم شود مهاجمین نخواهند توانست احرازگر را شبیه‌سازی کنند.
•         دستگاه تولیدکننده کدهای یکبارمصرف نیازی به اتصال اینترنت ندارد. می‌تواند تماماً جدا از آن نگهداری شود.

همانطور که می بینید، سیستم به خوبی طراحی شده است. توسعه‌دهندگان آن تمام تلاش خود را انجام داده‌اند تا آن را تا حد امکان ایمن کنند. اما هیچ راه حلی کاملاً ایمن نیست. بنابراین حتی هنگام استفاده از احراز هویت با کد از یک برنامه، خطراتی وجود دارد که باید در نظر گرفته و اقدامات احتیاطی انجام شود. این همان چیزی است که در ادامه بدان خواهیم پرداخت.

نشتی‌ها، هک ایمیل و راهکارها

پیشتر اشاره کردیم که احراز هویت با کدهای یکبار مصرف از سوی اپ از نشت پسورد بخوبی محافظت می‌کند. و در جهانی بی‌نقص دقیقاً چنین است. متأسفانه همه‌چیز به این زیبایی و بی‌نقصی نیست. یک سری ریزه‌کاری‌های مهم وجود دارد که ریشه در این حقیقت دارد: سرویس‌ها معمولاً نمی‌خواهند بخاطر این جزئیات کوچک آزاردهنده مانند از دست دادن احرازگر (که می‌تواند برای هر کسی رخ دهد) کاربران خود را از دست دهند. از این رو آن‌ها معمولاً برای لاگین به اکانت‌ها مسیر جایگزینی را ارائه می‌دهند: ارسال کد یکبار مصرف یا لینک تأیید به آدرس ایمیل مربوطه. این یعنی اگر نشتی رخ داد و مهاجمین هم پسورد را داشتند و هم آدرس ایمیل لینک‌شده به آن را، می‌توانند سعی کنند برای لاگین به اکانت از متود جایگزین استفاده کنند. و اگر ایمیل شما لایه محافظتی ضعیفی داشته باشد (خصوصاً اگر برای آن از همان پسورد استفاده کرده باشید و احراز هویت دوعاملی را هم فعال نکرده باشید) بسیار احتمال دارد هکرها بتوانند ورود کد یکبار مصرف از اپ را دور بزنند.

راهکاری که ما پیشنهاد می‌دهیم:

•         حواستان به نشتی‌های داده باشد و سریعاً پسورد سرویس‌های مبتلا را عوض کنید.
•         برای سرویس‌های مختلف از یک پسورد واحد استفاده نکنید. این خصوصاً برای ایمیلی که سایر اکانت‌ها بدان لینک می‌شوند اهمیت دارد.
•         برخی سرویس‌ها به شما اجازه می‌دهند متودهای جایگزین لاگین را غیرفعال کنید. مخصوصاً برای اکانت‌های ارزشمند شاید این کار ارزش داشته باشد (اما فراموش نکنید از احرازگر بک‌آپ بگیرید- هنوز مطلب ادامه دارد!).

دسترسی فیزیکی و فضول‌ها!

هنگامی که از یک برنامه احراز هویت استفاده می‌کنید، ممکن است شخصی دزدکی کد یکبار مصرف را ببیند. و فقط یک کد نه چون احرازگرها اغلب چندین کد را پشت سر هم نمایش می‌دهند. بنابراین نفوذگر در صورت مشاهده کد می‌تواند به هر یک از آن حساب‌ها وارد شود. البته، هکرها زمان زیادی برای استفاده از آنچه به چشمشان می‌آیند، ندارند. اما بهتر است فرصت ندهید - 30 ثانیه ممکن است زمان کافی برای یک کلاهبردار سایبری زیرک باشد…

اگر کسی موفق شود گوشی هوشمند قفل نشده با احراز هویت را بگیرد، وضعیت خطرناک تر می‌شود. در این صورت، شخص می‌تواند بدون عجله یا دردسر زیاد از این فرصت استفاده کرده و وارد اکانت‌های شما شود.

راهکارهایی برای تخفیف چنین خطرهایی:

•         استفاده از اپ احرازگری که کدها را پیش فرض روی نمایشگر نشان ندهد (از این احرازگرها زیاد هستند)
•         گذاشتن پسوردهای قوی برای قفل‌گشایی اسمارت‌فونی که رویش اپ احرازگر نصب شده و قفل اتو اسکرین را بعد از دوره کوتاهی عدم فعالیت روشن می‌کند.
•         استفاده از اپی که در آن می‌توانید در ادامه پسورد لاگین هم تنظیم کنید (این اپ‌ها نیز کم نیستند)

سایت‌های فیشینگ

اکثر سایت‌های فیشینگ که برای حملات انبوه طراحی شده‌اند کاملا ابتدایی هستند. سازندگان آن‌ها معمولاً به سرقت لاگین‌ها و گذرواژه‌ها راضی می‌شوند و به دنبال آن آنها را به صورت عمده و ارزان در جایی در دارک‌وب می‌فروشند. البته، احراز هویت دو مرحله‌ای محافظت کاملی در برابر چنین هکرهایی است: حتی اگر شخصی اعتبار ورود شما را دریافت کند، بدون کد یک بار مصرف از یک برنامه کاملاً بی فایده است. با این حال، در سایت‌های فیشینگ که با دقت و معقول‌تر ساخته شده‌اند، به‌ویژه آن‌هایی که برای حملات هدفمند طراحی شده‌اند، فیشرها می‌توانند مکانیسم تأیید هویت دو مرحله‌ای را نیز تقلید کنند. در این مورد، آنها نه تنها ورود و رمز عبور، بلکه کد یکبار مصرف را نیز رهگیری می‌کنند. پس از آن، مهاجمین به سرعت وارد اکانت واقعی قربانی می‌شوند و این درحالیست که سایت فیشینگ ممکن است یک پیام خطا صادر کرده و پیشنهاد دهد دوباره امتحان کنید.

متأسفانه علیرغم سادگی ظاهری‌اش، فیشینگ سردمدار ترفندهای مؤثر میان مهاجمین است و اگر نسخه‌های اسکم، پیچیده باشند شاید نتوان با آن‌ها مقابله کرد. توصیه کلی ما در این مورد این است که:

•         روی لینک‌های داخل ایمیل کلیک نکنید- خصوصاً آن‌هایی که از سوی آدرس‌های مشکوک یا ناشناس هستند
•         آدرس صفحاتی که در آن‌ها اطلاعات اکانت خود را وارد می‌کنید به دقت بررسی کنید
•         از راهکار قابل‌اطمینانی استفاده کنید که به محافظت خودکار در برابر فیشینگ مجهز است

بدافزار سارق

بگذارید اینطور بگوییم که افراد دوست ندارند درگیر پروسه‌ی احراز هویت کامل بشوند. از این رو سرویس‌ها هم بی‌جهت کاربران خود را به زحمت نمی‌اندازند. در حقیقت، در بیشتر موارد فقط باید با پسورد و کد تأیید موقع لاگین به اکانت خود (روی هر دستگاهی که بار اول لاگین انجام می‌شود) احراز هویت کرد. یا شاید بعد تر، وقتی تصادفی از مرورگر کوکی‌های خود را پاک کردید. بعد از لاگین موفق، سرویس‌ها کوکی کوچکی را روی کامپیوتر شما که حاوی عدد طولانی و بسیار محرمانه است ذخیره می‌کند. این فایل همان چیزی است که مرورگر شما از این به بعد برای احراز هویت به سرویس ارائه خواهد داد. پس اگر کسی قصد داشته باشد این فایل را بدزدد، می‌تواند از آن برای sign in به اکانت شما استفاده کند. برای این کار هرگز به پسورد یا کد یکبار مصرف نیاز نخواهد بود. چنین فایل‌هایی (بهمراه کلی اطلاعات دیگر مانند پسوردهای سیوشده در مرورگر، کلیدهای رمزارز و سایر چیزهای مشابه) توسط تروجان‌های سارق می‌توانند سرقت شوند. اگر آنقدر بدشانس باشید که روی کامپیوترتان سارق بنشیند، پس این احتمال هم وجود دارد که اکانت‌هایتان سرقت شوند (حتی با همه احتیاط‌های انجام شده). برای جلوگیری از این اتفاق:

•         برنامه‌هایی که از منابع مشکوک هستند نصب نکنید.
•         مطمئن شوید روی همه دستگاه‌های خود از محافظت قابل‌اطمینان استفاده می‌کنید.

نبود بک‌آپ‌های احرازگر

دسترسی به اکانت‌ها همچنین می‌تواند به دلیل محافظت زیاد باشد. مثلاً وقتی دسترسی به اکانت بدون کد از اپ ممنوع شده باشد خودتان هم از سوی احرازگر تأیید نمی‌شوید. در چنین سناریویی شاید برای همیشه اکانت‌ها و اطلاعات داخلشان را از دست بدهید. یا دست کم چند روزی را با گریه سر کنید! در زیر سناریوهایی را آورده‌ایم که ممکن است احرازگر خود را از دست دهید:

•         اسمارت‌فون می‌تواند طوری خراب شود که نتوانید اطلاعات خود را از آن بیرون بکشید.
•         شاید گمش کنید.
•         شاید هم دزدیده شود.

همه این رویدادهای غیرقابل‌پیش‌بینی وجود دارند پس بهتر است پیش از اینکه عواقبش را انتظار بکشید خود را برای آن‌ها آماده کنید:

•         مطمئن شوید از داده‌های احرازگر بک‌آپ گرفتید. بسیاری از اپ‌ها اجازه گرفتن بک‌آپ در کلود را می‌دهند؛ برخی همچنین آن را در فایل لوکال ذخیره می‌کنند.
•         شاید عاقلانه باشد که احرازگر را روی دو دستگاه یا جندین دستگاه مختلف نصب کنید. این کار باعث می‌شود اگر زیرساخت کلود یک احرازگر قابل دسترسی نبود از بک‌آپ‌تان دور نمانید.

راهکارهای امنیتی

بیایید خلاصه کنیم: احراز هویت دو عاملی خود به طور جدی ریسک سرقت اکانت‌ها را پایین می‌آورد اما امنیت کامل را تضمین نمی‌دهد. از این رو توصیه می‌کنیم:

•         مطمئن شوید برای لاگین به دستگاهی که احرازگر رویش نصب شده پسورد بگذارید.
•         از اپ احرازگری استفاده کنید که می‌داند چطور کدهای یکبار مصرف را از چشمان شرور پنهان کند و به شما اجازه می‌دهد برای لاگین به خود اپ نیز پسورد بگذارید.
•         یادتان نرود از احرازگر بک‌آپ بگیرید.
•         از پسوردهای ساده استفاده نکنید؛ همینطور از یک پسورد واحد برای اکانت‌های مختلف. یک مدیر کلمه عبور در این خصوص به شما کمک زیادی خواهد کرد و کاری می‌کند توالی کاراکترها امن و منحصر به فرد باشد.
•         حواستان به نشتی‌ها باشد و سریعاً پسوردهای سرویس‌های مبتلا را عوض کنید؛ خصوصاً اگر همان ایمیل است کهسایر اکانت‌ها بدان لینک هستند. Kaspersky Password Manager نشت‌های پسورد را ردیابی کرده و در مورد آن‌ها به شما هشدار می‌دهد.
•         برای دوری از فیشینگ و بدافزارهای سارق راهکار امن و مطمئنی را روی همه دستگاه‌های خود نصب کنید.
•         حواستان به اقدامات لاگین اکانت‌تان باشد و هر فعالیت مشکوکی دیدید سریع واکنش نشان دهید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.