دیجیاتو خبرنگار استخدام می‌کند

تایید هویت دو مرحله ای هم به سادگی هک می شود

در حالی که بسیاری عقیده دارند سیستم تایید هویت دو مرحله ای راهکاری عالی برای جلوگیری از هک سیستم است، نقص های امنیتی آن رفته رفته در حال آشکار شدن است.

یکی از کسانی که از طرفداران پر و پا قرص سیستم تایید هویت دو مرحله ای به شمار می رود «کوین میتنیک»، مسئول ارشد هک کمپانی امنیتی KnowBe4 است، حالا اما خود او با انتشار یک ویدئو چگونگی استفاده از این سیستم برای هک حساب کاربری لینکدین را نشان داده است.

این روش که از اصول فیشینگ پیروی می کند مستلزم ایمیلی است که بسیار شبیه به سایت اصلی باشد، برای مثال در این سناریو به جای آدرس LinkedIn.com از llnked.com استفاده شده. این روش تا کنون بارها کارایی خود را نشان داده چرا که ساختار مغز انسان اغلب روی کلمات ابتدایی و انتهایی تمرکز کرده و به حروف میانی چندان توجهی نمی کند.تایید هویت دو مرحله ایدر مرحله بعد کاربر با کلیک روی لینک موجود در ایمیل وارد سایتی کاملا مشابه با Linkedin اما با دامنه llnked می شود. برخی کاربران هوشیار در این مرحله متوجه فیشینگ می شوند اما بسیاری دیگر به دام هکرها می افتند.

تور کیش

سایت مذکور به گونه ای طراحی شده که به محض ورود اطلاعات کاربری و کیک روی Sign in تایید هویت دو مرحله ای فعال شده و کوکی موقتی را برای دسترسی ایمن به سایت ایجاد می کند.

هکر پس از این فرایند می تواند نام کاربری، رمز عبور و کوکی را به سرقت ببرد، هرچند در این مرحله حتی به نام کاربری و رمز عبور هم نیازی نیست. میتنیک برای ورود به حساب کاربری، سایت اصلی لینکدین را باز کرده و کوکی موقت را در قسمت ابزارهای توسعه دهندگان مرورگر کپی می کند. بدین ترتیب با رفرش صفحه دسترسی به حساب کاربری فراهم می شود.

هدف میتنیک از انتشار ویدئو نمایش ضعف های تایید هویت دو مرحله ای و لزوم توجه به معیارهای امنیتی حتی در صورت استفاده از این سیستم است.

برچسب ها

مطالب مرتبط

تغییر خودکار رمزهای عبور با استفاده از ویژگی‌های جدید dashlane و Lastpass

هرچند ماه یک بار خبرهای جدیدی درباره آسیب پذیری های جدید امنیتی و توصیه هایی مبنی بر تغییر کلمه عبور می شنویم. اما تغییر همه رمزهای عبور با توجه به زیاد بودن تعداد برنامه ها و سایت هایی که استفاده می کنیم مانند کابوس است.خبر خوب اینکه اپلیکیشن های مدیریت پسوردی ظاهر شده اند که... ادامه مطلب

تکنولوژی FIDO2 در اندرویدهای جدید شما را از تایپ رمز عبور بی‌نیاز می‌کند

یک دلیل خوب برای آنکه اپلیکیشن گوگل پلی سرویس خود را آپدیت کنید: دیوایس‌های اندرویدی مبتنی بر نسخه 7.0 به بعد این سیستم عامل، حالا می‌توانند شما را بدون نیاز به تایپ رمز عبور وارد اپلیکیشن‌ها و وبسایت‌ها کنند.این مهم به لطف همکاری گوگل با اتحاد FIDO حاصل شده که با طراحی استانداردی به نام... ادامه مطلب

آیا روش های احراز هویت بیومتریک می توانند جایگزین رمز عبور شوند؟

امنیت و حریم شخصی، دو عضو جدایی ناپذیر از هر جامعه موفقی به حساب می آیند. دنیای متصل امروز، جایی که در آن کامپیوترها درون جیب های شلوارمان قرار گرفته اند و همه جزئیات زندگیمان در شبکه های اجتماعی هست.بنابراین می دانیم که داشتن یک پسوورد یا رمز عبور مطمئن تا چه حد می تواند... ادامه مطلب

با انواع روش های «تایید هویت دو عاملی» آشنا شوید

استفاده از قابلیت «تایید هویت دو عاملی» آن قدرها هم که فکر می کنید روش مطمئنی برای جلوگیری از دزدی اطلاعات نیست. جدا از اینکه بعضی هکرها توانسته اند این روش را دور بزنند، گاهی اوقات هم محتویاتی که برای احراز هویت چند عاملی به کار می برید ممکن است پاک شوند.ولی با وجود تمام... ادامه مطلب

اندروید O فرآیند احراز هویت پیامکی اپلیکیشن ها را بهبود می بخشد

وقتی که می خواهید هویت خودتان را برای ثبت نام در یک اپلیکیشن یا سرویس آنلاین مشخص کنید، گاهی وقت ها لازم است منتظر دریافت یک کد پیامکی بمانید. مطابق گزارشات منتشر شده، به نظر می رسد که نسخه بعدی سیستم عامل گوگل یعنی اندروید O قرار است که فرآیند تأیید هویت پیامکی سرویس های... ادامه مطلب

اپلیکیشن مدیریت پسورد LastPass از ورود دو مرحله ای پشتیبانی می کند

به خاطر سپردن فهرست بلند بالایی از پسورد های ایمن برای حساب های کاربری و خدمات آنلاین، کار بسیار سختی است که هر کسی از پس آن بر نمی آید؛ اما در این بین، هستند نرم افزارهایی که به کمک کاربران آمده و وظیفه نگهداری و وارد کردن کلمات عبور مختلف را به عهده می... ادامه مطلب

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x