ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

تایید هویت دو مرحله ای
تکنولوژی

تایید هویت دو مرحله ای هم به سادگی هک می شود

در حالی که بسیاری عقیده دارند سیستم تایید هویت دو مرحله ای راهکاری عالی برای جلوگیری از هک سیستم است، نقص های امنیتی آن رفته رفته در حال آشکار شدن است. یکی از کسانی که ...

یونس مرادی
نوشته شده توسط یونس مرادی | ۱ مرداد ۱۳۹۷ | ۱۷:۱۵

در حالی که بسیاری عقیده دارند سیستم تایید هویت دو مرحله ای راهکاری عالی برای جلوگیری از هک سیستم است، نقص های امنیتی آن رفته رفته در حال آشکار شدن است.

یکی از کسانی که از طرفداران پر و پا قرص سیستم تایید هویت دو مرحله ای به شمار می رود «کوین میتنیک»، مسئول ارشد هک کمپانی امنیتی KnowBe4 است، حالا اما خود او با انتشار یک ویدئو چگونگی استفاده از این سیستم برای هک حساب کاربری لینکدین را نشان داده است.

این روش که از اصول فیشینگ پیروی می کند مستلزم ایمیلی است که بسیار شبیه به سایت اصلی باشد، برای مثال در این سناریو به جای آدرس LinkedIn.com از llnked.com استفاده شده. این روش تا کنون بارها کارایی خود را نشان داده چرا که ساختار مغز انسان اغلب روی کلمات ابتدایی و انتهایی تمرکز کرده و به حروف میانی چندان توجهی نمی کند.تایید هویت دو مرحله ایدر مرحله بعد کاربر با کلیک روی لینک موجود در ایمیل وارد سایتی کاملا مشابه با Linkedin اما با دامنه llnked می شود. برخی کاربران هوشیار در این مرحله متوجه فیشینگ می شوند اما بسیاری دیگر به دام هکرها می افتند.

سایت مذکور به گونه ای طراحی شده که به محض ورود اطلاعات کاربری و کیک روی Sign in تایید هویت دو مرحله ای فعال شده و کوکی موقتی را برای دسترسی ایمن به سایت ایجاد می کند.

هکر پس از این فرایند می تواند نام کاربری، رمز عبور و کوکی را به سرقت ببرد، هرچند در این مرحله حتی به نام کاربری و رمز عبور هم نیازی نیست. میتنیک برای ورود به حساب کاربری، سایت اصلی لینکدین را باز کرده و کوکی موقت را در قسمت ابزارهای توسعه دهندگان مرورگر کپی می کند. بدین ترتیب با رفرش صفحه دسترسی به حساب کاربری فراهم می شود.

هدف میتنیک از انتشار ویدئو نمایش ضعف های تایید هویت دو مرحله ای و لزوم توجه به معیارهای امنیتی حتی در صورت استفاده از این سیستم است.

دیدگاه‌ها و نظرات خود را بنویسید
مجموع نظرات ثبت شده (1 مورد)
  • alimohammadi15
    alimohammadi15 | ۱ مرداد ۱۳۹۷

    و در نهایت، دوباره فیشینگ!
    اگه هوشیاری کاربر باشه هرگز این اتفاق رخ نمیداد....

مطالب پیشنهادی