به اصطلاح احراز هویت 2 عاملی (2FA) در انواع مختلفی وجود دارد: این کار با اضافه کردن یک فاکتور اضافی به رمز عبور ، که باید زودتر وارد شود ، یا با جایگزین کردن کامل روش ورود به سیستم قبلی با ترکیبی از دو عامل کار می کند. در پست وبلاگ امروز ، ما رویکردهای مختلفی در تأیید هویت دو عاملی را بررسی خواهیم کرد و خطرات را در نظر می گیریم. اصول زیر به طور کلی اعمال می شود: تأیید هویت دو عاملی همیشه امن تر است
اصطلاح های تأیید اعتبار و احراز هویت معمولاً به صورت متقابل در رابطه با تأیید هویت دو عاملی به کار می روند. به طور دقیق ، این اصطلاحات فرآیندهای ثبت نام فرایندهای مختلف را توصیف می کنند. کاربران با اطلاعات ورود به سیستم منحصر به فرد مانند رمز عبور یا کارت تراشه خود را به سیستم احراز می کنند. این سیستم با بررسی اعتبار داده های استفاده شده ، کاربر را تأیید می کند.
احراز هویت دو عاملی
به عنوان یک قاعده ، فرآیند احراز هویت دو عاملی با استفاده از چندین عامل با وارد کردن رمز عبور ایمن شروع می شود. اگر سیستم صحت رمز عبور وارد شده را تأیید کند ، مستقیماً به محتوای مورد نظر منتهی نمی شود ، بلکه به یک مانع امنیتی اضافی منتهی می شود – عامل دوم. این مانع از دسترسی افراد غیرمجاز به داده ها یا کارکردها می شود.
به طور معمول ، سیستم های تأیید هویت دو عاملی پس از درخواست گذرواژه برای انجام تأیید دو مرحله ای ، از یک سیستم خارجی استفاده می کنند ظاهر کاربر ممکن است بسته به ارائه دهنده آن متفاوت باشد: ممکن است کد دوم به یک دستگاه خارجی مانند تلفن هوشمند ارسال شود. همچنین ممکن است که عامل دوم اثر انگشت کاربر روی سنسور مربوطه باشد. کارتهای تراشه یا علائم USB نیز امکان پذیر است. اساس تأیید اعتبار سه ستون است:
- دانش: کاربر دانش دارد که می داند. نمونه هایی از این عبارت عبارتند از کلمه عبور ، پین ، پاسخ به سوالات امنیتی یا شناسه کاربر.
- ویژگی ها: یک عملکرد کاربر روشن مانند اثر انگشت یا الگوی عنبیه ، کاربر را مشخص می کند.
- مالکیت: کاربران شیء مناسبی مانند کارت دسترسی ، کلید یا نشان را دارند.
عواملی كه در هر مورد بطور ایده آل از دسته های مختلف به دست می آیند. این امر باعث می شود تا هویت (به عنوان مثال PIN یا گذرواژه) با مالکیت (به عنوان مثال کارت تراشه) یا داده های بیومتریک (مانند اثر انگشت / اثر چشم) همراه شود ، تأیید هویت دو طرفه را ایمن تر کند. احتمالاً
بزرگترین مزیت 2FA این است که نه سرقت و نه کپی کردن غیرمجاز داده های دسترسی اجازه دسترسی به سیستم را نمی دهد. هکرها و سایر مجرمان سایبری باید همزمان عامل دوم را داشته باشند تا بتوانند نفوذ کنند. متداول ترین سناریوها تهدیدات سرقت هویت از طریق تأیید هویت دو عاملی قابل حذف است.
روش های تأیید هویت دو عاملی مشترک
روش های تأیید هویت دو عاملی وجود دارد – پنج موردی که معمولاً در زیر استفاده می شود.
TAN / OTP
TAN (شماره معامله) یا OTP (رمز عبور یک بار) رمز عبور یک بار است که به عنوان عامل دوم ارسال می شود. در قدیم TAN در لیست های کاغذی موجود بود ، اما این روش خطرناک بود. ژنراتور TAN (سخت افزار) یا برنامه های تأیید اعتبار (نرم افزار) امن تر هستند. رمزهای عبور یک بار را بر اساس رویدادها یا زمان تولید می کنند. ایمن ترین انواع موجود در بازار فعلی شامل ژنراتور TAN است که شامل داده های معامله مانند شماره حساب یا مقدار (eTAN ، chipTAN) برای تولید TAN می باشد.
TOTP / HOTP
TOTP به معنای رمز عبور یک بار مبتنی بر زمان است ، که به معنی معنی و هدف کمی واضح تر می شود. چنین گذرواژاتی به صورت رمزنگاری تولید شده و برای استفاده یکبار مصرف مناسب است. کلمات عبور با استفاده از نرم افزار TOTP تولید می شوند. معمولاً از طریق برنامه بر روی دستگاه تلفن همراه. در طی مراحل اولیه ، سرور و برنامه کلمه عبور های مناسب TOTP را ایجاد می کنند. یک جایگزین مشابه با نام HOTP شناخته می شود (رمز عبور یک بار مبتنی بر HMAC)
بازار دستگاه های مختلفی را برای 2FA فراهم می کند. RSA SecurID یا SafeNet eToken قبل از هر چیز باید جایگزین شود. اگرچه محصولات ممکن است در جزئیات متفاوت باشند ، کارکردهای اصلی مشابه هستند. مانند نشانه های برنامه ، یک عدد تصادفی به صورت رمزنگاری تولید می شود که به عنوان عامل دوم در فرآیند ورود به سیستم استفاده می شود.
توکن
از نشانه رمزنگاری برای ذخیره یک کلید رمزنگاری خصوصی استفاده می شود. احراز هویت با ارسال یک درخواست به نشانه انجام می شود که فقط با یک کلید خصوصی می توان به آن پاسخ داد.
شناسه الكترونيك / eID
براي تأييد اعتبار خود در اينترنت مي توانيد از اسناد شناسه الكترونيكي خود مانند شناسه الكترونيكي استفاده كنيد. پروتكل به اصطلاح "كنترل دسترسي گسترده" (V2) مطابق با TR-03110 مي تواند با استفاده از موارد مناسب کارت یا ترمینال تلفن هوشمند. اگر می خواهید به داده های ذخیره شده در کارت شناسایی خود دسترسی پیدا کنید ، به یک مجوز مجوز نیاز دارید. همین امر باعث می شود تا شهروندان بتوانند هویت و هدف دستیابی به داده ها را تشخیص دهند.
کلیه خصوصیات هویتی ذکر شده در 18 پوند PAUSwG (نام خانوادگی و نام ، نام ، درجه دکترا ، تاریخ و مکان ، آدرس ، نوع سند) در کارت شناسایی ، نامهای مذهبی یا نام هنرمندان ذخیره می شود). نام مستعار سازگار با حریم خصوصی را می توان با استفاده از "سرویس و شناسه کارت" محاسبه کرد. شناسه الکترونیکی همچنین می تواند برای انجام تأیید مناسب برای داده ها از اقامت و تأیید سن استفاده شود.
FIDO / U2F
نشانه های سخت افزاری از FIDO Alliance ، که بر اساس استاندارد U2F (Universal 2nd Factor) استوار است ، یک راه حل مستحکم برای حساب ها با کلید در نظر گرفته شده است که به معنای واقعی کلمه در هر جیب جا دارد. کافیست علامت U2F را به دستگاه خود وصل کرده و با یک سرویس سازگار ثبت نام کنید. شما بعد از چند کلیک ثبت نام کرده اید.
شناخته شده ترین نمونه چنین نشانه سخت افزاری YubiKey از Yubico است. دستگاههای سازگار U2F از شرکتهای مختلف در مدلهای مختلف در بازار موجود است.
تهدیدهای امنیتی 2FA
پس از آشنایی با محبوب ترین روش های تأیید هویت دو عاملی ، اکنون شما را با تهدیدهای امنیتی آشنا خواهیم کرد. [19659013] SS7 Hijacking
کدها برای 2FA به اندازه فناوری مورد استفاده برای تولید کد ایمن هستند. به عنوان مثال ، اگر کد توسط پیامک ارسال می شود ، می توانید پیام را رهگیری کنید ، برای مثال توسط سیستم سیگنال منسوخ شماره 7 (SS7). در سال 1975 که ساخته شد ، مجموعه ای از پروتکل ها را ارائه می دهد که ارائه دهندگان بزرگ ارتباطات از راه دور در سراسر جهان هنوز به آنها اعتماد دارند. هرکسی که اکنون به SS7 دسترسی دارد می تواند به لحاظ نظری بتواند به تمام اطلاعات ارسال شده از طریق شبکه های مختلف سلولی از جمله پیام های متنی دسترسی داشته باشد. NIST قبلاً توصیه كرده است كه در سال 2016 از اس ام اس برای احراز هویت دو عاملی استفاده نکنید.
جای تعجب نیست ، زیرا SS7 حتی اقدامات اساسی امنیتی را ارائه نمی دهد: نه ترافیك رمزگذاری شده است و نه دستگاه ها می توانند از فرامین درست و نادرست استفاده كنند. صرف نظر از منبع ، سیستم به راحتی هر دستور را پردازش می كند.
MitM
حملات درون انسان (حملات MitM) به طرز وحشتناکی انجام می شوند و به هیچ وجه محدود به امنیت رایانه یا منطقه آنلاین نیستند. در ساده ترین شکل حمله MitM ، جرایم سایبری به سادگی بین دو طرف که در حال حاضر با یکدیگر در حال برقراری ارتباط هستند ، جابجا می شود ، به پیام های ارسالی گوش می دهد و در نهایت وانمود می کند که یکی از دو طرف است.
تأیید هویت Factorless: نشانه های کاربر 2FA وارد شده برای ایجاد یک جلسه معتبر به سرورهای قانونی ارسال می شوند. برای بدست آوردن اطلاعات ورود به سیستم کاربر ، مهاجمان غالباً به دامنه های جعلی تکیه می کنند. آنها فریبنده به نظر می رسند تا کاربران بدون تردید بتوانند جزئیات ورود به سیستم خود را وارد کنند.
حمله WebUSB
برخی از مرورگرهای مدرن مانند Google Chrome (حداکثر نسخه 67 ؛ محدود به نسخه های بعدی) دارای API های داخلی هستند که می توان آن را WebUSB نیز نامید. به لطف WebUSB ، مرورگر در نصب اولیه و هنگام به اشتراک گذاری دستگاه های USB گنجانده شده است. دستگاههای WebUSB و USB مستقیماً با یکدیگر ارتباط برقرار می کنند.
کارشناسان امنیتی مختلف ، از جمله مارکوس ورویر و میشل اروو ، بررسی کردند که آیا WebUSB با دستگاه های U2F نیز کار می کند. بدون استفاده از مشتری FIDO در مرورگر ، نمایش داده شد مستقیماً به دستگاه U2F ارسال می شود. می توان از چک کردن MitM توسط مشتری FIDO جلوگیری کرد – آزار دهنده است زیرا مشتری FIDO در واقع هویت صحیح را تضمین می کند.
مهندسی اجتماعی
عاملان در حملات مهندسی اجتماعی ، وانمود می کنند که هویت و قصد نادرست برای بدست آوردن اطلاعات ، داده یا چیزهای دیگر را ندارند. به عنوان مثال ، یک مهاجم وانمود می کند که یک تکنسین ، کارمند یک شرکت بزرگ مانند PayPal یا یک شرکت ارتباطات از راه دور است. قربانی وسوسه می شود که اطلاعاتی مانند جزئیات ورود به سیستم یا جزئیات حساب را فاش کند یا به وب سایت آماده شده مراجعه کند. غالباً افراد از طریق ایمیل های جعلی به وب سایت های جعلی معرفی می شوند تا اعتبارنامه های ضبط شده توسط مهاجم را وارد کنند.
سرقت هویت
مشتری می تواند در شبکه های بی سیم ، شبکه های VPN یا به عنوان منابع شبکه از طریق HTTPS احراز هویت شود – از فاکتورهای جانبی به عنوان عامل دوم استفاده کنید. این نوع 2FA کنترل قوی را فراهم می کند و احراز هویت متقابل بین مشتری و سرور را امکان پذیر می کند.
اما مواردی که گواهینامه های طرف مشتری دارای رمزهای عبور ضعیف هستند به خوبی شناخته شده اند. مدارک معتبر استاندارد و ضعیف به مهاجمان اجازه می دهد تا دسترسی ، سرقت گواهی نامه ها و تأیید اعتبار نامرئی را به مهاجمان دسترسی دهند.
به طور ایمن از تأیید هویت دو عاملی استفاده کنید
می بینید: احراز هویت دو عاملی می تواند امنیت شما را در صورت پیروی از اصول اساسی افزایش دهد. به محض ارائه خدمات از 2FA استفاده کنید. برای به حداقل رساندن خطر سرقت نشانه های پیام کوتاه توسط ربودن SS7 ، بهتر است از یک فاکتور دوم قوی تر ، به عنوان مثال TOTP یا U2F استفاده کنید.
برای کاهش خطر حملات MitM یا مهندسی اجتماعی ، آموزش و بهترین روشها مفید هستند. افزایش آگاهی های امنیتی در بین کاربران بسیار مهم است. شرکت ها می توانند سایت های فیشینگ را از طریق پست الکترونیکی و / یا یک دروازه اینترنت مسدود کنند.
از نرم افزار فعلی در همه زمینه ها استفاده کنید. همچنین ، به خصوص در مرورگر. دسترسی API از Chrome به شدت در نسخه 67 محدود است. با وجود 2FA ، به دنبال اولین رمز عبور دسترسی به کلمات عبور قوی باشید – این هنوز پایه و اساس است. دسترسی بسیار دقیق به اطلاعات محرمانه مانند کوکی های جلسه یا مواد رمزنگاری را بسیار کنترل کنید. شما اطلاعات ورود به سیستم را در اماکن عمومی مانند ویکی شرکت جمع آوری نمی کنید بلکه در مناطق محافظت شده ذخیره می کنید.
احراز هویت دو عاملی یک پاناسرا نیست. با این حال ، این یک مانع دیگر در فرآیندهای ورود به سیستم معمولی ایجاد می کند. در حالت ایده آل ، آنها قبلاً توسط رمزهای عبور قوی محافظت می شوند. عامل دوم یک مانع اضافی است. تاکنون ، هیچ کس نتوانسته است نقطه ضعف اساسی در 2FA را مشخص کند ، اگرچه همه انواع مختلف دارای مزایا و معایب خود هستند. این باعث می شود 2FA یکی از بهترین روش ها برای به حداقل رساندن خطر ربودن حساب و دسترسی غیرمجاز به داده ها باشد.
