احراز هویت پیامکی

احراز هویت پیامکی

احراز هویت پیامکی که با عنوان های احراز هویت دو عاملی مبتنی بر پیامک و رمز یکبار مصرف پیامکی نیز شناخته می شود، به کاربران این امکان را می دهد که هویت خود را با کدی که از طریق پیام کوتاه برایشان ارسال می شود، تأیید کنند. این روش به عنوان یکی از انواع احراز هویت دو عاملی، اغلب به عنوان یک تأیید کننده دوم برای دسترسی کاربران به یک شبکه ، سیستم یا برنامه کاربردی بوده و اولین گام در جهت افزایش امنیت است.

با این حال باید توجه داشت که احراز هویت پیامکی به عنوان یک روش احراز هویت ضعیف در نظر گرفته می شود. در ادامه دلایل این موضوع را بررسی خواهیم کرد. اما اجازه دهید ابتدا نحوه عملکرد احراز هویت پیامکی و مزایا و معایب استفاده از آن را درک کنیم.

احراز هویت پیامکی چگونه کار می کند؟

در واقع این شکل از احراز هویت بسیار ساده است. پس از ورود به سیستم، کاربر یک پیام متنی شامل کد احراز هویت پیامکی دریافت می کند. سپس تنها کاری که کاربر باید انجام دهد این است که آن کد را در برنامه یا وب سایت مورد نظر وارد کرده تا دسترسی داشته باشد. احتمالاً تا به حال هنگام ورود به سیستم های فیس بوک، گوگل، توییتر و سایر سرویس ها این روش را تجربه کرده اید.

احراز هویت پیامکی به عنوان یک عامل مبتنی بر مالکیت، هویت کاربر را بر اساس چیزی که کاربر مالک آن است (یعنی تلفن همراه) تأیید می کند. این روش یک لایه امنیتی اضافی به فرایند ورود به سیستم اضافه می کند. از نظر تئوری، یک مهاجم برای دسترسی غیر مجاز به حساب کاربر مجبور است علاوه بر رمز عبور کاربر، تلفن همراه او  را نیز داشته باشد.

مزایای احراز هویت پیامکی

اگرچه به طور کلی توصیه می شود از احراز هویت پیامکی اجتناب شود اما دلایل مختلفی وجود دارد که افراد و سازمان ها همچنان از این روش استفاده می کنند:

امن تر از استفاده صرف از گذرواژه ها:

گذرواژه ها ذاتاً ضعیف هستند زیرا کاربران معمولا آنها را فراموش کرده ، آنها را در حساب های مختلف بازیابی می کنند یا به دلیل شیوه های ذخیره سازی ضعیف به سرقت می روند (به عنوان مثال ، نوشتن آنها روی یک برگه یادداشت). احراز هویت پیامکی به ما کمک می کند تا وابستگی به گذرواژه ها را به حداقل برسانیم و سرقت اطلاعات ورود به سیستم و هک حساب های کاربری را برای مهاجمان دشوار می کند.

راحتی:

یکی از دلایلی که کاربران رمزهای عبور را بازیابی می کنند حجم زیاد حساب های آنلاینی است که ایجاد و مدیریت می کنند. تحقیقات نشان می دهد که مردم باید روزانه 10 رمز عبور را به خاطر بسپارند. احراز هویت پیامکی این دردسر را برطرف می کند زیرا کدهای منحصر به فرد را مستقیماً به کاربر ارسال کرده و سپس آنها می توانند به راحتی در وب سایت یا برنامه مورد نظر خود وارد شده و هویت خود را تأیید کنند.

به طور کلی اثبات هویت با بیش از یک قطعه اطلاعات همیشه امن تر از اثبات آن با یک عامل واحد است. بنابراین احراز هویت پیامکی جایگزین مطمئن تری است.

معایب احراز هویت پیامکی

با وجود استفاده راحت، احراز هویت پیامکی دارای معایبی است و سازمان ها باید اطمینان حاصل کنند که آیا این روش به اندازه کافی برای محافظت از اطلاعات شرکت ، کارکنان و مشتریان کافی است یا خیر.

در این زمینه خطراتی وجود دارد که باید در نظر داشته باشید:

تعویض سیم کارت:

اگرچه ارسال کد احراز هویت به تلفن همراه شخصی ممکن است امن به نظر برسد، اما مهاجمان روشهایی برای رهگیری پیام های کوتاه پیدا کرده اند. به عنوان مثال، آنها می توانند با یک اپراتور تلفن همراه تماس بگیرند و با استفاده از اطلاعات شخصی که در مورد یک هدف جمع آوری کرده اند (مانند SSN) درخواست کنند که شماره روی تلفن دیگری دایورت شود. سپس به آنها اجازه داده می شود تا به هر کد احراز هویت پیامکی که به آن شماره تلفن ارسال می شود دسترسی پیدا کنند.

هک سیم کارت:

هک سیم کارت و سایر حملات رهگیری پیام کوتاه یا پیامک نیز خطرناک هستند. به عنوان مثال، مهاجمان می توانند سیگنال های برج تلفن همراه و سیستم های SS7 (که برای فعال کردن رومینگ داده استفاده می شود) را جعل کنند تا اطلاعات موجود در پیام های خصوصی را مشاهده کنند.

دستگاه های گم شده و همگام سازی شده:

تکیه بر احراز هویت پیامکی با توجه به میزان گم شدن و سرقت دستگاه ها خطرناک است و همچنین در صورتی که این دستگاه ها به حساب های رسانه های اجتماعی و برنامه های بانکی وارد شوند، شرایط خطرناک تر می شود. دستگاه های همگام سازی شده همچنین فرصت مناسبی برای مهاجمان ایجاد می کنند ، زیرا پیام های متنی و سایر داده ها را می توان از چندین تلفن هوشمند ، لپ تاپ ، تبلت و … دریافت کرد.

دسترسی غیرمجاز به حساب های آنلاین:

بسیاری از ارائه دهندگان خدمات بی سیم به کاربران اجازه می دهند پیام های متنی را از طریق حساب های آنلاین در پورتال های وب خود مشاهده کنند. اگر این حساب ها با عامل دوم قابل اطمینان ایمن نشوند، مهاجمان ممکن است به آنها دسترسی پیدا کرده و آنها را برای کدهای احراز هویت پیامکی رهگیری کنند.

حملات مهندسی اجتماعی:

امروزه حملات مهندسی اجتماعی مانند فیشینگ به همان اندازه که در رایانه های رومیزی و لپ تاپ ها رایج است در دستگاه های تلفن همراه نیز وجود دارد. این حملات زمانی رخ می دهد که مهاجمان به عنوان یک سازمان مورد اعتماد در تلاش برای متقاعد کردن کاربران هدف برای تحویل اطلاعات شخصی و رمزهای عبور خود (از جمله کدهای پیامکی) هستند که بتوانند از آنها برای دسترسی غیر مجاز استفاده کنند.

هزینه:

علاوه بر خطرات امنیتی ذکر شده در بالا، سازمانها باید هزینه اجرای احراز هویت پیامکی را نیز در نظر بگیرند. قیمت در بین ارائه دهندگان این خدمات بسیار متفاوت است و بسته به حجم پیام های ارسال شده می تواند تغییر کند. علاوه بر این، هزینه حمله احتمالی که در اثر احراز هویت پیامکی ضعیف تحمیل می شود می تواند برای سازمان ها فاجعه بار باشد.

 

احراز هویت با اس ام اس

آیا احراز هویت پیامکی ایمن است؟

با در نظر گرفتن همه این حملات پیامکی و مسائل امنیتی مربوطه، واضح است که هکرها هر روز حرفه ای تر می شوند و حتی می توانند با استفاده از اطلاعات محدودی برای ربودن تلفن های همراه، جعل هویت کاربران و دسترسی به حساب ها استفاده کنند. بنابراین پاسخ به سوال ذکر شده خیر است و احراز هویت پیامکی کاملاً ایمن نیست. موسسه ملی استاندارد و فناوری (NIST) در سال 2016 به طور رسمی استفاده از احراز هویت پیامکی را منع کرد. در حالی که آنها از آن زمان بیانیه خود را اصلاح کرده اند، آسیب پذیری احراز هویت پیامکی هنوز قابل توجه است.

چرا احراز هویت دوعاملی مبتنی بر پیامک همچنان محبوب است؟

اگرچه خطرات امنیتی پیامک که در بالا ذکر شد سالهاست که به طور گسترده و علنی مورد بحث قرار گرفته است همچنان پیامک های دوعاملی به طور گسترده توسط بسیاری از سازمان ها مورد استفاده قرار می گیرد. چرا؟

استقرار و استفاده از احراز هویت پیامکی آسان است. علاوه بر این ، مشتریان و کارکنان به استفاده از آن برای دسترسی به برنامه های مختلف خود و یا انجام تراکنش های بانکی به عنوان یک راه حل بدون در نظر گرفتن خطرات امنیتی عادت کرده اند.

اگر سازمان ها بخواهند از احراز هویت پیامکی فاصله بگیرند، به راه حل های جایگزینی نیاز دارند که استفاده از آنها به همین سادگی است.

جایگزین های احراز هویت پیامکی

استفاده از راه حل های احراز هویت پیامکی بهتر از این است که اصلاً احراز هویت نداشته باشید. با این حال، گزینه های بهتری برای مشاغلی وجود دارد که به دنبال حفظ امنیت داده ها و کاربران خود هستند.

FIDO2 (WebAuthn)

FIDO2 استانداردی است که احراز هویت کاربر را ساده و ایمن می کند ، از رمزنگاری کلید عمومی برای محافظت در برابر حملات فیشینگ استفاده می کند و تنها عامل ضد فیشینگ موجود است. بعلاوه ، توسط کنسرسیوم World Wide Web در سال 2019 به عنوان استاندارد وب جدید برای ورود بدون رمز عبور اعلام شد.

نمونه هایی از FIDO2 مورد استفاده عبارتند از دستگاه های احراز هویت کننده مانند Windows Hello در Windows 10، یا TouchID در MacBook و Fingerprint در Android ، و همچنین احراز هویت کننده های مستقل از دستگاه مانند Yubikey و Feitian BioPass. این ویژگی ها نه تنها امنیت را افزایش می دهد ، بلکه تجربه ورود به سیستم را نیز برای کاربران بهبود می بخشد. به عنوان مثال ، در مقایسه با پاسخ به یک سوال امنیتی ، احراز هویت بدون رمز ، روش سریعتر و آسانتری برای دسترسی به حسابها و خدمات است.

برنامه های احراز هویت تلفن همراه

برنامه های احراز هویت تلفن همراه مانند اپلیکیشن احراز هویت آتین و Google Authenticator ، مشابه احراز هویت پیامکی عمل می کنند. هنگامی که کاربر با استفاده از نام کاربری و گذرواژه خود وارد یک سایت یا برنامه می شود ، یکی از این دو مورد ممکن است رخ دهد: برنامه احراز هویت یک OTP ایجاد می کند که می تواند به سرویس مورد نظر وارد شود یا یک اعلان تلفن همراه ارسال می کند که از شما می خواهد برای تأیید یا رد درخواست ورود اقدام نمایید.

در مقایسه با پیامک ، این ابزارها از امنیت بیشتری برخوردارند زیرا به خدمات تلفن همراه متکی نیستند. علاوه بر این ، کد تولید شده توسط این برنامه ها در عرض چند دقیقه منقضی می شود و خطراتی را که در بالا بیان کردیم حذف می کند.

با افزایش و پیچیده تر شدن حملات سایبری ، به کار گیری راهکارهای امنیتی برای سازمان ها ضروری است. این به معنای دور شدن از استفاده از گذرواژه ها و استفاده از راه حل هایی است که سرقت اطلاعات کاربری یا دسترسی غیرمجاز به داده ها و منابع را برای مهاجمان تا حد ممکن دشوار می کند.  در حالی که احراز هویت پیامکی گامی در جهت درست است ، عوامل ایمن تری وجود دارد که برای کاربران نهایی مناسب تر است.

بدون دیدگاه

مقالات مرتبط :

محصولات

راهکارها

راهنمای سایت

سامانه مدیریت هویت و دسترسی آتین
enamad
  • آدرس : تهران، کارگر شمالی، خیابان شانزدهم، پارک علم و فناوری دانشگاه تهران، ساختمان شماره 2، واحد 312
  • کد پستی : 74845- 14458​
  • تلفن: 88176039 - 021​
  • ایمیل: contactus@authin.ir​

© تمامی حقوق برای شرکت دانش بنیان آتین محفوظ است.

Linkedin
Instagram
Github
Twitter