گوگل بهروزرسانیای را برای برنامه احراز هویت محبوب خود منتشر کرد که یک «کد یکبار مصرف» را در فضای ذخیرهسازی ابری ذخیره میکند و به کاربرانی که موبایل خود را با برنامه احراز هویت روی آن گم کردهاند اجازه میدهد تا به احراز هویت دومرحلهای خود (2FA) دسترسی داشته باشند.
به نقل از کوین تلگراف، گوگل در یک پست وبلاگی در ۲۴ آوریل اعلام کرد که کدهای یکبار مصرف در حساب گوگل کاربر ذخیره میشوند و ادعا کرد که با این روش کاربران آن بهتر محافظت میشوند و ایمنی و امنیت آنها افزایش پیدا میکند.
کاربری در شبکه ردیت (Reddit) در ۲۶ آوریل در انجمن r/Cryptocurrency نوشت که اگرچه این بهروزرسانی به کسانی که دستگاه خود را با برنامه احراز هویت آن گم میکنند کمک میکند، اما آنها را در برابر هکرها آسیبپذیرتر میکند.
ذخیره کدهای یکبار مصرف در فضای ذخیرهسازی ابری مرتبط با حساب گوگل کاربر، به این معنی است که هرکسی که بتواند به رمز عبور حساب گوگل کاربر دسترسی پیدا کند، متعاقباً به برنامههای مرتبط با احراز هویت آن دسترسی کامل خواهد داشت.
این کاربر پیشنهاد کرد که یک راه بالقوه برای حل مشکل احراز هویت دومرحلهای پیامکی (SMS 2FA) استفاده از یک تلفن قدیمی است که منحصراً برای برنامه احراز هویت استفاده میشود.
بیشتر بخوانید: حساب توییتر صرافی کوکوین هک شد؛ 22 هزار دلار تتر به سرقت رفت
«من قویاً پیشنهاد میکنم که در صورت امکان، یک دستگاه جداگانه (یک تلفن قدیمی یا تبلت قدیمی) داشته باشید که تنها هدف استفاده از آن برای برنامه احراز هویت شما باشد. چیز دیگری روی آن نصب نکنید و از آن برای هیچ چیز دیگری استفاده نکنید.»
به طور مشابه، توسعه دهندگان امنیت سایبری Mysk در یک پست توییتری در مورد پیامدهای جانبی راهحل جدید مبتنی بر ذخیرهسازی ابری گوگل برای کدهای احراز هویت هشدار دادند.
به گفته Mysk این قابلیت میتواند برای کاربرانی که از Google Authenticator برای احراز هویت و ورود به حسابهای صرافی ارز دیجیتال و سایر سرویسهای مرتبط با امور مالی خود استفاده میکنند، نگرانی مهمی باشد.
سایر مسائل امنیتی 2FA
رایجترین هک احراز هویت دومرحلهای نوعی کلاهبرداری است که به نام «تعویض سیم کارت» شناخته میشود که در آن کلاهبرداران با فریب دادن شرکت ارائهدهنده سیم کارت برای پیوند دادن شماره موبایل به سیم کارت خودشان، کنترل شماره تلفن را به دست میگیرند.
نمونه اخیر این ترفند را میتوان در شکایتی که علیه صرافی ارز دیجیتال کوین بیس (Coinbase) تنظیم شده است مشاهده کرد. در پی ادعای یکی از کاربران کوین بیس، وی 90٪ پسانداز زندگی خود را پس از قربانی شدن در چنین حملهای از دست داده است.
قابل توجه است که خود صرافی کوین بیس استفاده از اپلیکیشنهای احراز هویت دو عاملی را به جای ارسال پیامک توصیه میکند و احراز هویت پیامکی را روشی با «کمترین امنیت» نسبت به سایرین توصیف میکند.
در Reddit، کاربران در مورد این شکایت بحث کردند و حتی پیشنهاد کردند که SMS 2FA ممنوع شود، اگرچه یکی از کاربران Reddit خاطرنشان کرد که این روش در حال حاضر تنها گزینه احراز هویت موجود برای تعدادی از خدمات مرتبط با فینتک و ارزهای دیجیتال است:
«متأسفانه بسیاری از خدماتی که من استفاده میکنم هنوز احراز هویت 2FA را ارائه نمیدهند. اما من قطعاً فکر میکنم که روش پیامکی ناامن است و باید ممنوع شود.»
شرکت امنیتی بلاک چین سرتیک (CertiK) در مورد خطرات استفاده از SMS 2FA هشدار داده است و یکی از کارشناس امنیتی آن گفته است که روش پیامکی بهتر از هیچ است، اما آسیبپذیرترین شکل احراز هویت دومرحلهای است که در حال حاضر استفاده میشود.
برای اطلاع از آخرین اخبار ارز دیجیتال با فکت کوینز همراه باشید.