چرا نباید از اس ام اس برای تایید دو مرحله ای استفاده کرد؟ روش جایگزین مناسب چیست؟

چرا نباید از اس ام اس برای تایید دو مرحله ای استفاده کرد؟ روش جایگزین مناسب چیست؟

بسیاری از سرویس ها هنگامی که تلاش می کنید وارد اکانت تان شوید، به صورت پیش فرض کدهایی را از طریق پیام متنی به شما ارسال می کنند. اما بهتر است بدانید که با استفاده از کدهایی که به شما اس ام اس می شود احتمال هک حساب کاربری شما وجود دارد. در پست امروز انزل وب ما قصد داریم در مورد هک اس ام اس دو مرحله ای و استفاده از روش های جایگزین صحبت کنیم.

هک اس ام اس دو مرحله ای امکان پذیر است ! از روش جایگزین استفاده کنید

Why You Shouldn’t Use SMS for Two-Factor Authentication (and What to Use Instead)

کارشناسان امنیتی توصیه می کنند که تا حد امکان برای محافظت از اکانت های آنلاین خود از احراز هویت دو مرحله ای استفاده کنید. بسیاری از سرویس ها هنگامی که تلاش می کنید وارد اکانت تان شوید، به صورت پیش فرض کدهایی را از طریق پیام متنی به شما ارسال می کنند. اما پیام های اس ام اس دارای مشکلات زیادی هستند و دارای امنیت کمی برای تایید دو مرحله ای هستند.

هک اس ام اس دو مرحله

وقتی که شما از تایید دو مرحله ای استفاده نمی کنید برای ورود به حساب کاربری تان فقط نیاز به کلمه عبورتان دارید. اما هنگامی که از از اس ام اس برای تایید دو مرحله ای استفاده می کنید هر کسی که کلمه عبور شما را پیدا کند باید برای ورود به حساب کاربری تان باید به پیام های متنی شما دسترسی پیدا بکند تا بتواند وارد حساب کاربری شما شود.

هک اس ام اس دو مرحله

نحوه کار تایید اس ام اسی به این صورت است که وقتی شما تلاش می کنید وارد حساب کاربری تان شوید، سرویس یک پیام متنی به شماره موبایلی که قبلا وارد کرده اید ارسال می کند. شما کدی که دریافت کرده اید را برای ورود به حساب کاربری تان وارد می کنید. این کد یکبار مصرف بوده و برای دفعات بعد کدهای دیگری برای شما ارسال می شود. خوب به نظر می رسد که این روش امن است. شما فکر می کنید که چون فقط خودتان سیم کارت را دارید و کسی باید تلفن شما را ببیند تا به کد دسترسی داشته باشد، اما آیا این درست است؟ متاسفانه نه.

هک اس ام اس دو مرحله

اگر کسی شماره تلفن شما را بداند می تواند به اطلاعات شخصی مانند ۴ رقم شماره کد ملی یا سایر اطلاعات عمومی شما دسترسی پیدا کند. متاسفانه این کار آسان است چونکه بسیاری از شرکت ها و سازمان های دولتی می توانند به شرکت تلفن شما تماس بگیرند و شماره شما را به یک شماره جدید تغییر دهند که به این روش، روش SIM swap یا تعویض سیم کارت گفته می شود.

این همان فرایندی است که شما وقتی یک دستگاه جدید خریداری می کنید انجام می دهید (انتقال سیم کارت تلفن تان به دستگاه جدید). حالا این فرد یا افراد می توانند خودشان را جای شما جا بزنند و اطلاعات شخصی شما را هک کنند. آنها می توانند اس ام اس هایی که به شماره تلفن همراه شما ارسال شده است را بر روی گوشی خود دریافت کنند. این اتفاق در انگلیس افتاده است. مهاجمین شماره تلفن قربانی را هک کرده و از آن برای دسترسی به حساب بانکی قربانی استفاده کردند. در اصل این روش یک حمله مهندسی اجتماعی است.

قبلا در انزل وب روش های رایج هک ایمیل را در پست ۸ روش رایج هک پسورد اینستاگرام ، جیمیل ، وای فای و هر سرویس دیگر معرفی کردیم در صورت تمایل می توانید این پست را مطالعه بفرمایید.

هک اس ام اس بدون دسترسی به گوشی

قبلا به صورت مفصل در مورد هک گوشی از طریق شماره تلفن ، اس ام اس و.. امکان پذیر است؟ و راه های جلوگیری از آن صحبت کردیم اما جالب است بدانید که احتمال شنود پیام های اس ام اس شما وجود دارد. بسیاری از هکرهای ایرانی اعلام کرده اند که با متوقف کردن پیام های اس ام اس توانسته اند دسترسی کاربران به حساب های کاربری شان را به مخاطره بیاندازند. در SS7 که برای سیستم ارتباطی مانند رومینگ، پیام های کوتاه در شبکه و هدایت آنها به جای دیگر استفاده می شود مشکلاتی وجود دارد که مهاجمان از آنها سواستفاده می کنند. روش های زیاد دیگری (مانند دایورت مخفیانه، دکل های فیک یا جعلی تلفن همراه و غیره) وجود دارد که می تواند مورد استفاده قرار گیرد. پیام های اس ام اس به صورت ایمن طراحی نشده اند و نباید از آنها برای تایید دو مرحله ای استفاده کرد.

هک اس ام اس دو مرحله

به عبارت دیگر یک هکر حرفه ای با کمی اطلاعات می تواند دسترسی شما به حساب های کاربری آنلاین را از بین ببرد و از حساب کاربری شما استفاده کند. به همین دلیل موسسه ملی تکنولوژی و استاندارد ها توصیه می کنند از پیام های اس ام اس برای احراز هویت دو مرحله ای استفاده نکنید.

روش های جایگزین اس ام اس دو مرحله و جلوگیری از کنترل اس ام اس دیگران

استفاده از یک طرح تایید دو مرحله ای که متکی بر اس ام اس نیست در اولویت است چونکه شرکت های تلفن همراه نمی توانند تشخیص دهند که چه کسی به کدهای شما دسترسی دارد. بهترین گزینه برای اینکار استفاده از برنامه هایی مانند Google Authenticator است. با این حال ما Authy را پیشنهاد می دهیم چونکه تمام کارهای Google Authenticator را انجام می دهد و حتی بیشتر. این برنامه ها کدها را روی دستگاه شما ایجاد می کنند. حتی اگر یک هکر تلفن شما را هک کند و یا اینکه شماره تلفن شما را دایورت کند قادر به دریافت کدهای امنیتی نخواهند بود و اطلاعاتی که برای تولید این کدها استفاده شده اند به طور ایمن روی دستگاه شما باقی خواهد ماند.

شرکت های بزرگی مانند گوگل و Dropbox در حال حاضر از یک استاندارد جدید برای تایید هویت دو مرحله ای مبتنی بر سخت افزار به نام U2F استفاده می کنند. این روش نسبت به روش هایی که متکی بر کمپانی تلفن همراه و شبکه تلفن قدیمی است امن تر است.

هک اس ام اس دو مرحله

در صورت امکان از اس ام اس برای تایید هویت دو مرحله ای استفاده نکنید. متاسفانه برخی از سرویس ها شما را مجبور به استفاده از اس ام اس می کنند. اگر شما در این مورد نگران هستید می توانید یک شماره تلفن Google Voice ایجاد کنید. بعد وارد حساب کاربری گوگل تان شوید و پیغام های امنیتی را در برنامه یا وب سایت Google Voice مشاهده کنی دو فقط این پیام ها را از Google Voice به شماره تلفن واقعی تان فوروارد نکنید.

نحوه استفاده از Authy برای جلوگیری از هک پیام

Authy یک برنامه رایگان و ساده است که کاربران اندروید می توانند از google play و کاربران آیفون و آی پد می توانند از Apple App store آن را دانلود کنند.

حالا به حساب جیمیل خود وارید شوید. اگر جیمیل ندارید پیشنهاد می کنیم پست آموزش تصویری ساخت ایمیل یاهو ، جیمیل گوگل ، اوت لوک و آی کلود را مطالعه بفرمایید.

هک اس ام اس دو مرحله

سربرگ Sign-in & Security را انتخاب کنید.

هک اس ام اس دو مرحله

روی Signing in to Google کلیک کنید.

هک اس ام اس دو مرحله

Step Verification را انتخاب کنید.

هک اس ام اس دو مرحله

حالا برای تنظیم تلفن تان Get started را انتخاب کنید.

هک اس ام اس دو مرحله

شماره تلفن خود را وارد کنید و برای بدست آوردن کدها روی Next کلیک کنید.

هک اس ام اس دو مرحله

شما یک اس ام اس دریافت می کنید که حاوی یک کد است. کد تایید را وارد کنید و روی Next کلیک کنید.

هک اس ام اس دو مرحله

حالا روی دکمه Turn On کلیک کنید تا تایید دو مرحله ای فعال شود.

هک اس ام اس دو مرحله

برای گرفتن QR Code روی set up Authenticator کلیک کنید. حالا نوع تلفن تان را انتخاب کنید و روی Next کلیک کنید. برای ساخت کیو آر پیشنهاد می کنیم پست مقایسه کامل ترین ابزار های ساخت بارکد خطی آنلاین ،کیو آر کد ها و.. را مطالعه بفرمایید.

هک اس ام اس دو مرحله

سپس تلفن خود را بردارید و Authy را دانلود کنید.

هک اس ام اس دو مرحله

بعد برنامه Authy را باز کنید و مسیر + Add Account > Scan QR Code را طی کنید. اگر قصد دارید QR Code ها را بخوانید پیشنهاد می کنیم پست بارکد و کیو آر کدها را براحتی در ویندوز بخوانید را مطالعه بفرمایید.

هک اس ام اس دو مرحله

سپس روی Done کلیک کنید. حالا برای اکانت جیمیل تان کد تایید روی گوشی تان ایجاد می شود. روی گوشی تان برنامهAuthy  را باز نگه دارید. زیر کد آر کیور روی Next کلیک کنید.

هک اس ام اس دو مرحله

کد تایید گوگل را وارد کنید و روی دکمه Verify کلیک کنید.

هک اس ام اس دو مرحله

روی Done کلیک کنید و تمام.

هک اس ام اس دو مرحله

جلوگیری از انتقال اس ام اس بین دو گوشی با U2F

U2F یک استاندارد جدید برای تایید دو مرحله ای است که از USB و بلوتوث برای تایید دو مرحله ای استفاده می کند. در حال حاضر گوگا، مایکروسافت، اینتل، PayPal، مسترکارت، ویزا، ARM، سامسونگ، Qualcomm، بانک آمریکا و بسیاری از کمپانی های دیگر از این استاندارد پشتیبانی می کنند. این استاندارد توسط اتحاد FIDO پشتیبانی می شود و مایکروسافت در حال حاضر در حال پیاده سازی آن در مرورگر ادج است.

U2F شبیه یک فلش مموری کوچک است که از طریق پورت USB به کامپیوتر وصل می شود. این استاندارد مبتنی بر تکنولوژی امنیت کارت هوشمند است. وقتی شما آن را به کامپیوتر وصل می کنید، مرورگر کروم کامپیوترتان با استفاده از تکنولوژی رمزنگاری امنیتی با یک کلید امنیتی USB ارتباط برقرار می کند و هنگام ورود به سایت پاسخ درستی ارائه می دهد. این استاندارد به طور مستقیم کد امنیتی را در وب سایت وارد می کند بنابراین هکر نمی تواند به کد امنیتی شما دسترسی پیدا کند. چونکه این استاندارد بخشی از خود مرورگر است نسبت به روش های معمول تایید دو مرحله ای بهتر کار می کند. U2F در حال حاضر در آمازون با قیمت ۱۸ دلار عرضه می شود.

u2f

نظرات و پیشنهادات شما؟

آیا تجربه هک اس ام اس را داشته اید؟ برای حل مشکل خود از چه روشی استفاده کرده اید؟ اگر روش دیگری به جز روش هایی که در بالا توضیح دادیم می شناسید و یا اینکه نظر یا پیشنهادی دارید آن را در بخش نظرات این پست با ما در میان بگذارید.

حمایت مالی

اگر از مطلب منتشر شده رضایت دارید، می توانید جهت حمایت انزل وب و ادامه روند انتشار محتوا در صفحه حمایت مالی ما در زرین پال یا ریمیت مبلغ دلخواه مد نظر خود را پرداخت و ارسال کنید. از همراهی شما صمیمانه سپاسگزاریم.

مطالب مرتبط

Ethical Hacker یا هک اخلاقی چیست؟ هکر قانون مند کیست؟
بررسی: Ethical Hacking یا هک اخلاقی چیست؟ هکر قانونمند کیست؟
آشنایی با انواع هکرها: هکر کلاه سیاه ، سفید ، قرمز و.. کیست؟
آشنایی با انواع هکرها: هکر کلاه سیاه ، سفید ، قرمز و.. کیست؟
هکرها چگونه شما را میبینند ؟ روش های رایج هک دوربین ابزار دیجیتال
هکرها چگونه شما را میبینند؟ روش های رایج هک دوربین ابزار دیجیتال
هک موبایل هک گوشی از طریق با شماره تلفن موبایل
هک گوشی از طریق شماره تلفن ، اس ام اس و.. امکان پذیر است؟ راه های جلوگیری از هک

نظرات