مایکروسافت کاربران را به عدم استفاده از احراز هویت مبتنی بر موبایل ترغیب می‌کند

مایکروسافت اخیرا از کاربران خواسته که استفاده از راهکارهای احراز هویت چند مرحله‌ای مبتنی بر موبایل، مانند کدهایی که پیامک می‌شوند را متوقف کرده و در عوض به سراغ تکنولوژی‌های احراز هویت‌ جدیدتر مانند، کلیدهای امنیتی و اپلیکیشن‌ها بروند.

این هشدار را الکس واینرت، مدیر واحد امنیت مایکروسافت به کاربران داده است. واینرت طی یک سال اخیر مشغول صحبت از سوی مایکروسافت بوده و کاربران را به این ترغیب می‌کند که احراز هویت چند مرحله‌ای را برای اکانت‌های خود در فضای آنلاین فعال‌سازی کنند.

واینرت طی سال گذشته میلادی و در یک بلاگ پست، با اشاره به آمار و ارقام داخلی مایکروسافت گفت کاربرانی که احراز هویت چند مرحله‌ای را فعال کرده بودند، در نهایت توانستند ۹۹.۹ درصد از حملاتی که به صورت خودکار علیه اکانت‌های مایکروسافت‌شان ترتیب داده شده بود را متوقف کنند. او حالا در یک بلاگ پست دیگر می‌گوید که اگر کاربران مجبور به انتخاب میان تکنولوژی‌های احراز هویت مختلف باشند، باید هرطور که شده از احراز هویت مبتنی بر شبکه موبایل فاصله بگیرند.

Mobit

این مدیر مایکروسافت می‌گوید چندین نقص امنیتی بزرگ وجود دارد، نه در تکنولوژی احراز هویت چند مرحله‌ای، بلکه در شبکه‌های مخابراتی امروزی. او توضیح می‌دهد که هم پیامک‌ها و هم تماس‌های تلفنی بدون هیچ رمزنگاری ارسال و برقرار می‌شوند و بنابراین مهاجمین با استفاده از تکنیک‌ها و ابزارهای مختلف مانند رادیوهای نرم‌افزاری، فمتوسل‌ها یا پروتکل‌های SS7 قادر به استخراج این اطلاعات خواهند بود.

از سوی دیگر، کدهای یک‌بار مصرف و پیامکی از طریق ابزارهای فیشینگ عمومی مانند Modlishka یا CredSniper قابل فیش شدن هستند. از سوی دیگر، کارمندان شرکت‌های مخابراتی ممکن است در حمله‌ای که تحت عنوان «تعویض سیم» شناخته می‌شود، فریب خورده و شماره موبایل را به سیم کارت مهاجم انتقال دهند. به این ترتیب، مهاجم قادر به دریافت کدهای یک‌بار مصرف به جای قربانی خواهد بود.

افزون بر تمام این‌ها، شبکه‌های موبایل به صورت مداوم در معرض تغییر در قانون‌گذاری‌ها، قطعی یا مشکلاتی در عملکرد هستند و تمام این‌ها روی دسترسی‌پذیری به مکانیزم احراز هویت چند مرحله‌ای تاثیر می‌گذارد. در همین راستا، بسیاری از اوقات ممکن است کاربران در لحظه‌ای ضروری، قادر به احراز هویت خود و ورود به اکانت‌ها نباشند.

به گفته واینرت، تمام این‌ها باعث می‌شود که احراز هویت مبتنی بر پیامک و تماس «نا امن‌ترین متدهای احراز هویت چند مرحله‌ای امروزی باشند». او ضمنا عقیده دارد که فاصله میان این روش‌های احراز هویت و دیگر روش‌ها، در آینده فقط بیشتر و بیشتر خواهد شد.

نکته‌ای منطقی که او به آن اشاره دارد اینست که هرچه کاربران بیشتری شروع به استفاده از احراز هویت چند مرحله‌ای برای اکانت‌هایشان می‌کنند، هکرها نیز تمایل بیشتری به شکستن متدهای احراز هویت نشان خواهند داد. در این بین، احراز هویت از طریق پیامک و تماس تلفنی، به خاطر استفاده گسترده از سوی مردم، به هدف اصلی این هکرها تبدیل خواهند شد.

واینرت می‌گوید کاربران باید مکانیزم‌های احراز هویت قدرتمندتر را برای اکانت‌های خود به کار بگیرند و Authenticator مایکروسافت را نقطه شروع خوبی برای این کار می‌داند. اما اگر کاربران به دنبال بهترین روش احراز هویت ممکن باشند، باید به سراغ کلیدهای امنیتی سخت‌افزاری بروند.

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟