احراز هویت از طریق پیامک برای ورود بسیار خطرناک است، جایگزین آن چیست؟

طبق گفته یاهو، کدهای احراز هویت یک‌بار مصرف (OTP) که از طریق پیامک ارسال می‌شوند، هنوز هم به عنوان لایه دوم حفاظتی در فرآیند احراز هویت دو مرحله‌ای به طور گسترده مورد استفاده قرار می‌گیرند و به کاربران کمک می‌کنند تا وارد برنامه‌های بانکی، ایمیل یا شبکه‌های اجتماعی شوند.

با این حال، یاهو هشدار می‌دهد که پیامک یکی از ضعیف‌ترین روش‌های امنیتی است زیرا در برابر حملات فیشینگ بسیار آسیب‌پذیر است.

تحقیقات اخیر بلومبرگ بیزینس‌ویک و لایت‌هاوس ریپورتز خطر بزرگ‌تری را آشکار کرد: این کدهای OTP می‌توانند توسط اشخاص ثالث قابل دسترسی باشند. به طور خاص، شرکت مخابراتی سوئیسی کمتر شناخته‌شده‌ای به نام فینک تلکام سرویسز در ژوئن ۲۰۲۳ به بیش از ۱ میلیون پیام حاوی کدهای احراز هویت دو مرحله‌ای دسترسی داشت.

شرکت خدمات مخابراتی فینک، به عنوان واسطه‌ای بین شرکت‌های تولیدکننده کدهای احراز هویت و کاربران نهایی، حق پردازش و مشاهده محتوای پیام‌ها را دارد. آنچه نگران‌کننده است این است که این شرکت به مشارکت در فعالیت‌های نظارت بر کاربران و دخالت در حساب‌های شخصی مظنون شده است.

Vì sao xác thực hai yếu tố qua SMS không còn an toàn? - Ảnh 1. — پیامک یکی از ضعیف‌ترین روش‌های امنیتی محسوب می‌شود زیرا می‌تواند توسط اشخاص ثالث قابل دسترسی باشد.

کدهای OTP فاش شده از بسیاری از شرکت‌های بزرگ مانند گوگل، متا، آمازون، تیندر، اسنپ‌چت، بایننس، سیگنال، واتس‌اپ و بسیاری از بانک‌های اروپایی ارسال شده است. این پیام‌ها برای کاربران در بیش از ۱۰۰ کشور جهان ارسال شده است.

به گفته یاهو، دلیل اصلی ناامن بودن احراز هویت دو مرحله‌ای پیامکی این است که شرکت‌ها اغلب واسطه‌هایی را برای ارسال پیامک با هزینه کمتر، از طریق قراردادهای بزرگ با چندین اپراتور و سیستمی از «عناوین جهانی» - آدرس‌های شبکه‌ای که برای اتصال در سراسر کشورها استفاده می‌شوند - استخدام می‌کنند. نقطه ضعف این سیستم این است که شرکت‌های استخدام‌کننده مستقیماً با واحدهایی مانند خدمات مخابراتی فینک کار نمی‌کنند، بلکه از طریق لایه‌هایی از پیمانکاران فرعی کار می‌کنند و این امر تضمین امنیت داده‌ها را پیچیده‌تر می‌کند.

آقای فام مان کونگ، بنیانگذار شرکت ویسچین، توضیح داد که روش احراز هویت دو مرحله‌ای از طریق پیامک امروزه دیگر امن نیست، زیرا مهاجمان سایبری به طور فزاینده‌ای پیچیده شده‌اند و به راحتی از آسیب‌پذیری‌های سیستم امنیتی برای دسترسی به اطلاعات استفاده می‌کنند.

یکی از رایج‌ترین اشکال حملات فیشینگ، جایی است که از پیام‌ها، ایمیل‌ها یا وب‌سایت‌های به ظاهر معتبر برای فریب کاربران و وادار کردن آنها به ارائه اطلاعات حساس مانند نام کاربری، رمز عبور یا کدهای OTP استفاده می‌شود.

نه تنها این، بلکه تعویض سیم‌کارت نیز یک تهدید جدی است. کلاهبرداران می‌توانند شماره تلفن قربانی را بدزدند و از طریق آن کدهای احراز هویت ارسال شده از طریق پیامک را دریافت کنند.

علاوه بر این، بسیاری از کاربران هنوز عادت دارند نرم‌افزارهایی با منشأ ناشناخته، به خصوص در دستگاه‌های اندروید، نصب کنند که منجر به جاسوس‌افزارها یا کی‌لاگرهایی می‌شود که می‌توانند مخفیانه تایپ با صفحه‌کلید را ضبط کنند و از این طریق اطلاعات دسترسی را سرقت کنند.

اگرچه احراز هویت از طریق پیامک هنوز هم یک لایه محافظتی محسوب می‌شود، اما در مقایسه با روش‌های مدرنی مانند Google Authenticator - برنامه‌ای که کدهای احراز هویت تصادفی تولید می‌کند که هر 30 ثانیه تغییر می‌کنند و مستقل از شبکه‌های تلفن همراه است - پیامک به طور فزاینده‌ای نقاط ضعف خود را نشان می‌دهد.

منبع: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm