۱۴۰۰/۰۱/۲۱ شنبه
مایکروسافت سال هاست که به دنبال استانداردهای امنیتی جدید است. اخیراً ، این شرکت تلاش خود را برای از بین بردن رمزهای عبور افزایش داده است و اکنون ، مدیر امنیت هویت الکس وینرت از مردم می خواهد که از روش های تأیید هویت دو عاملی مبتنی بر پیام کوتاه دوری کنند.
قبل از ادامه کار ، یک نکته را روشن کنیم: برخی از احراز هویت دو عاملی ، حتی مبتنی بر پیامک ، بسیار بهتر از عدم 2FA است. اعتماد به رمز ورود خود به تنهایی یک کار مخاطره آمیز است ، به خصوص اگر از رمز عبور مشابه در چندین وب سایت یا سرویس مجدداً استفاده کنید.
با این وجود ، از بسیاری از گزینه های 2FA که این روزها در دسترس کاربران است ، احراز هویت مبتنی بر تلفن به گفته وینرت کمترین امنیت را دارد. اول ، او می گوید ، بسیاری از تاکتیک های هکرها برای نشان دادن رمزهای عبور که توسط یک رابط تأیید کننده محافظت نمی شوند ، مانند سرقت دستگاه ، "تصاحب حساب" و مهندسی اجتماعی ، هنوز با چند فاکتور مبتنی بر پیامک کار می کنند -احراز هویت. به عبارت دیگر ، این مزایای منحصر به فرد چندانی ندارد. وینرت می گوید ، آنچه دارای آن است ، چندین معایب منحصر به فرد است. برای مبتدیان ، پیام کوتاه 2FA قابل انطباق نیست. از آنجا که این نرم افزار مبتنی بر نرم افزار نیست ، نمی تواند در پاسخ به استراتژی های جدید هک ، پیشرفت های فن آوری ، یا "انتظارات تجربه کاربر" تغییر کند. همیشه یکسان است.
مهمتر از همه ، پیامک ها و پروتکل های صوتی "به روشنی " منتقل می شوند ، به این معنی که هر مهاجم "مصمم " می تواند پیام ها و تماس های تلفنی 2FA را رهگیری کند تا کدهای ورود شما را بکشد .
"متأسفانه عوامل پشتیبانی مشتری در مقابل جذابیت ، زورگویی ، رشوه خواری یا اخاذی آسیب پذیر هستند."
وینرت همچنین معتقد است که 2FA مبتنی بر پیام کوتاه ساده ترین روش MFA برای اجتماعی است مهندس وی می نویسد: "متأسفانه عوامل پشتیبانی مشتری در برابر جذابیت ، زورگویی ، رشوه خواری یا اخاذی آسیب پذیر هستند." "اگر این تلاش های مهندسی اجتماعی موفقیت آمیز باشد ، پشتیبانی مشتری می تواند دسترسی به کانال پیام کوتاه یا صوتی را فراهم کند." "
راه حل های مبتنی بر برنامه مانند Authy یا حتی روش های سخت افزاری MFA مانند کلیدهای امنیتی ، هر دو از این سیستم مصون هستند مهندسی اجتماعی: شما تنها کسی هستید که به کدهایی که برنامه ها تولید می کنند دسترسی دارید و آنها خیلی سریع تازه می شوند (غالباً طی 15-30 ثانیه).
وینرت تعدادی از دلایل دیگر را برای بررسی تغییر کاربری بیان می کند از 2FA مبتنی بر پیام کوتاه ، اما ما مهمترین موارد را در اینجا پوشش داده ایم. به طور طبیعی ، او در پایان پست خود ، Microsoft Authenticator را به هرکسی که ممکن است به دنبال یک برنامه MFA باشد ، توصیه می کند.
با این حال ، اگر نمی خواهید از سرویس Microsoft استفاده کنید ، موارد وجود دارد گزینه های دیگر: Google Authenticator و Authy هر دو گزینه های بسیار خوبی هستند و نسخه دوم نسخه دسک تاپ را ارائه می دهد.
اعتبار تصویر: Golubovystock