آیا احراز هویت دوعامله راه‌حلی برای جلوگیری از نفوذگری است؟

پس از نفوذهای اخیر به داده‌ها که علیه غول‌های فناوری (برای مثال MySpace، لینکدین، توییتر) صورت گرفت، ‌کارشناسان امنیتی کاربران را دعوت می‌کنند تا از به‌اشتراک‌گذاری اعتبارنامه‌های ورود خود روی وبگاه‌های متعدد جلوگیری کنند و اگر قابلیت احراز هویت دوعامله (FA٢) وجود دارد آن را فعال کنند.
 
بنابراین آیا احراز هویت دوعامله، راه‎حل صحیحی برای هر نوع از نفوذ است؟ البته که نه، بسیار مهم است که فرض کنیم وضعیت امنیتی مناسب، هوشیاری از وقوع تهدیدات است. فرایند احراز هویت دوعامله می‌تواند توسط راه‌های متعدد دور زده شود، برای مثال با استفاده از بدافزار یا از طریق حملات مهندسی اجتماعی.
 
احراز هویت دوعامله به‌شدت امنیت شما را بهبود می‌بخشد، حتی هنگامی‌که نفوذگران موفق به سرقت گذرواژه‌ شما شوند، بازهم نیاز دارند تا عامل دوم را برای کامل‌کردن فرایند احراز هویت در اختیار داشته باشند. متأسفانه، ‌آنها می‌توانند این عامل دوم را با فریب کاربران برای افشای آن در اختیار بگیرند. اوایل این هفته، کارشناسان امنیتی الکس مک کاو از بنیان‌گذاران شرکت Clearbit درباره تکنیک‌های حمله‌ای هشدار داده که در حملات واقعی دیده است. این ترفندها کمک می‌کند تا کاربران فریفته شوند و کد احراز هویت دوعامله خود را برای حساب گوگل افشا کنند.
 
در اینجا این ترفند مرحله‌به‌مرحله توضیح داده می‌شود: مهاجم یک پیام کوتاه برای کاربر ارسال و تظاهر می‌کند که از طرف شرکت ارسال ‌شده است. همچنین این ترفند درصورتی‌که کاربر از سایر ارائه‌دهندگان خدمات استفاده کند، در آنها نیز کار می‌کند. این پیام به کاربر می‌گوید که ارائه‌دهنده خدمات که در اینجا شرکت گوگل است، فعالیت‌های مشکوکی را در حساب کاربر مشاهده کرده است و اکنون شرکت از قربانی می‌خواهد کد احراز هویت دومرحله‌ای را برای اجتناب از قفل‌شدن حساب برای او پیامک کند.
 
قربانی برای جلوگیری از بروز مشکل، این کد را پس می‌فرستد و تصور می‌کند که در حال تلاش برای خنثی‌کردن حمله است. در این لحظه، همه‌ آنچه را که لازم دارد، برای کنترل حساب قربانی در دست دارد. نفوذگر از مشخصات احراز هویت قربانی و کد دومرحله‌ای استفاده کرده و از طریق فرایند گفته‌شده می‌تواند به ‌حساب کاربر دسترسی پیدا کند. 

آمازون کلمه عبور برخی از کاربران را تغییر داد

آمازون از تغییر اجباری کلمات عبور تعدادی از کاربران خدمات خود به علت برخی مشکلات امنیتی و احتمال به سرقت رفتن اطلاعات شخصی آنان خبر داد.این شرکت تعداد دقیق این کاربران و علت این اقدام ناگهانی خود را اعلام نکرده است. تعدادی از کاربران خدمات آمازون می‌گویند ایمیل‌هایی از این شرکت دریافت کرده اند که در آنها از تغییر کلمات عبور افراد خبر داده شده است.
 
این پیام‌ها علاوه بر آدرس ایمیل به حساب‌های کاربری افراد در آمازون هم ارسال شده است. در متن ایمیل ارسالی آمده است: آمازون کشف کرده که کلمه عبور شما در آمازون به شکلی نامناسب روی وسیله مورد استفاده تان ذخیره یا به آمازون منتقل شده که ممکن است دسترسی اشخاص ثالث به آن را ممکن کند.آمازون مدتی است برای کاستن از احتمال هک شدن کاربرانش سیستم تایید هویت دو مرحله ای را در برخی کشورها فعال کرده  است.

iOS 9 در زمینه پسورد یک گام بلند اما آزار دهنده برداشته است!

 

در طول روز‌های گذشته کمپانی اپل نسخه رسمی iOS 9 را برای اغلب دستگاه‌های خود منتشر کرد و البته این به‌روزرسانی در برخی موارد کمی آزار دهنده به‌نظر می‌رسد. شاید تاکنون شما بر روی آی‌فون خود یک پسورد 4 حرفی قرار می‌دادید اما در به‌روز رسانی جدید می‌بایست پسورد شما حداقل شش کاراکتر داشته باشد.

iphone

با افزایش کاراکتر‌های پسورد زمان بیشتری را نیز می‌بایست برای باز کردن قفل گوشی خود سپری کنید. بعد از اینکه سیستم عامل آی‌فون خود را به‌روز رسانی کردید، پسورد شما درست همان چیزی است که پیش از آپدیت قرار داده بودید و از طریق آن می‌توانید قفل گوشی را باز کنید اما در زمانی که بخواهید آن را تغییر دهید با یک پیشنهاد فریبنده بایستی حداقل 6 کاراکتر را وارد نمایید. البته در زیر لیست نیز گزینه‌ای وجود دارد که از طریق آن می‌توانید پسورد 4 کاراکتری را قرار دهید.

iOS-9-password

به نظر می‌رسد که این یک تغییر مزاحم است اما اپل دلیلی امنیتی برای آن ذکر کرده و مدعی شده است که می‌توان با ترکیب 10 هزار عدد با یکدیگر رمز عبور چهار کاراکتری را در مدت 18 دقیقه کرک کرد و به اطلاعات گوشی دست یافت. اما زمانی که پسورد شما 6 عدد داشته باشد، برای پیدا کردن آن می‌بایست 1 میلیون عدد را با یکدیگر ترکیب کنید تا بتوانید رمز گوشی را کرک نمایید و انجام چنین کاری نیز حدود 1 سال طول خواهد کشید!

پس اگر شما نیز می‌خواهید امنیت گوشی خود را افزایش دهید؛ بهتر است که به سراغ نسخه جدید iOS بروید. البته ایده خوبی هم پشت این موضوع قرار گرفته، اما ممکن است کمی آزار دهنده باشد.

نوشته iOS 9 در زمینه پسورد یک گام بلند اما آزار دهنده برداشته است! اولین بار در -آی‌تی‌رسان پدیدار شد.

انتخاب رمزهای سخت را فراموش کنید

یکی از سازمان‌های دولت انگلیس به شهروندانش توصیه کرد تا از رمزهای ساده برای حساب های شخصی خود استفاده کنند.
انتخاب رمز یکی از راهکارهایی است که اجازه دسترسی هکرها یا سارقان به حساب های شخصی کاربران را محدود می کند. هر ساله گزارشات متعددی از سوی سازمان های مختلف مبنی بر عدم انتخاب رمزهای ساده منتشر می شود تا بتوان آگاهی مخاطبان را در انتخاب رمزها افزایش داد.
 
برای مثال، شرکت SplashData موسسه تحقیقاتی است که در زمینه مدیریت رمزهای عبوری و همینطور امنیت شبکه فعالیت دارد و می کوشد تا با افشای بیشترین رمزهای عبوری یا بدترین آنها، امنیت حساب ها و همینطور اطلاعات شخصی کاربران را افزایش دهد. در سال گذشته میلادی (۲۰۱۴) بدترین رمزهای عبوری بدین شرح بودند : ۱۲۳۴۵۶   password،۱۲۳۴۵، ۱۲۳۴۵۶۷۸، qwerty ، ۱۲۳۴۵۶۷۸۹، ۱۲۳۴،  baseball، dragon.
 
این آمار در حالی است که ستاد ارتباطات دولت انگلیس مشهور به GCHQ در جدیدترین راهنمای امنیتی خود با نام «راهنمای رمز کاربری» Password guidance به شهروندان خود توصیه کرد تا از رمزهای ساده تری استفاده کنند.
 
در این راهنمای امنیتی، دولت انگلیس به شهروندانش توصیه می کند تا از انتخاب رمزهای سخت و پچیده اجتناب کنند زیرا انتخاب چنین رمزهایی باعث می شود که کاربران مجبور به یادداشت رمزها شوند و این موضوع می تواند تهدیدی برای کاربران محسوب شود. در ادامه این راهنما، توصیه ها و همینطور راهکارهای مختلفی برای مردم عادی یا حتی متخصصین امور رایانه ای مطرح شده تا با استفاده از این راهکارها بتوانند از سرقت رمزهای عبوریشان ممانعت کنند.
 
در راهنمای امنیتی دستگاه جاسوسی انگلیس که از طریق سایت رسمی و دولتی این کشور قابل دسترس است، نوشته شده: « نرم افزارهایی برای مدیریت رمز کاربران وجود دارند که می توانند رمزهایی را به کاربران پیشنهاد داده یا رمزهای آن را ذخیره کنند تا کاربران از یادداشت رمزهای عبوری خود بی نیاز باشند اما این برنامه ها نیز از نفوذ هکرها در امان نیستند و چندی پیش یکی از این نرم افزارهای مشهور هدف هکرها قرار گرفته و اطلاعات شخصی کاربران با تهدید مواجه شدند.»
 
اما از سوی دیگر روزنامه های انگلیسی مانند «ایندپندنت» به این توصیه ستاد ارتباطات دولت انگلیس تاخته و معتقد است این آژانس به دنبال ابعاد جدیدی از جاسوسی است و این توصیه ها تنها اتخاذ سیاست جدیدی است تا بتواند اطلاعات شهروندان را ساده تر در اختیار داشته باشد.
 
ستاد ارتباطات دولت انگلیس  Government Communications Headquarters  نام نهادی در دولت بریتانیا است که مسئول عملیات جاسوسی سیگنال، عملیات نظامی و حفاظت اطلاعات در این کشور را برعهده دارد.  این سازمان تحت نظارت کمیته اطلاعات مشترک بریتانیا است و به شکل موازی با «ام آی ۵» و «ام آی۶ » و سازمان اطلاعات مخفی بریتانیا کار می‌ کند.
 
اما در پایان باید گفت شرکت SplashData توصیه هایی را بدین شرح برای انتخاب رمز ورودی به کاربران عرضه می کند:
* اگر رمز ورودی شما جزو رمزهای عبوری نام برده شده است، حتما آن را تغییر دهید.
* رمزهای عبوریتان حداقل ۱۰ کاراکتر داشته باشند.
* رمزهای عبوریتان ترکیبی از حروف کوچک و بزرگ باشند.
*رمزها بایستی ترکیبی از حروف و اعداد باشند.
* کلمات خاصی که در فرهنگ لغات وجود دارند را برای رمز عبوری انتخاب نکنید.