لماذا يمكن أن تكون المصادقة المستندة إلى الهاتف غير آمنة

جدول المحتويات:

لماذا يمكن أن تكون المصادقة المستندة إلى الهاتف غير آمنة
لماذا يمكن أن تكون المصادقة المستندة إلى الهاتف غير آمنة
Anonim

الوجبات الجاهزة الرئيسية

  • يمكن للقراصنة سرقة رموز المصادقة متعددة العوامل (MFA) المستندة إلى الهاتف ، كما يقول الخبراء.
  • تم خداع شركات الهاتف لتحويل أرقام الهواتف للسماح للمجرمين بالحصول على الرموز.
  • طريقة بسيطة ومنخفضة التكلفة لزيادة الأمان تتمثل في استخدام تطبيق المصادقة على هاتفك.
Image
Image

للبقاء في مأمن من المتسللين ، توقف عن استخدام رموز المصادقة متعددة العوامل المستندة إلى الهاتف (MFA) المرسلة عبر الرسائل القصيرة والمكالمات الصوتية ، كما كتب أحد كبار خبراء الأمان في تحليل جديد.

رموز الهاتف عرضة للاعتراض من قبل المتسللين ، كتب Alex Weinert ، مدير أمن الهوية في Microsoft ، في منشور مدونة حديث. يقول المراقبون إن الرموز المستندة إلى النصوص أفضل من لا شيء. لكن يجب على المستخدمين استبدال المصادقة المستندة إلى الهاتف بالتطبيقات ومفاتيح الأمان.

"تستند هذه الآليات على شبكات الهاتف العامة (PSTN) ، وأعتقد أنها الأقل أمانًا من بين أساليب MFA المتاحة اليوم" ، كما كتب.

"ستتسع هذه الفجوة فقط عندما يزيد اعتماد أسلوب العائالت المتعددة (MFA) من اهتمام المهاجمين بكسر هذه الأساليب ويوسع المصدقون المصممون لهذا الغرض مزايا الأمان وقابلية الاستخدام. خطط للانتقال إلى المصادقة القوية بدون كلمة مرور الآن - يوفر تطبيق المصادقة إمكانية فورية و خيار متطور"

MFA هي طريقة أمان يتم من خلالها منح مستخدم الكمبيوتر حق الوصول إلى موقع ويب أو تطبيق فقط بعد تقديم دليلين أو أكثر لآلية المصادقة بنجاح. غالبًا ما يتم إرسال هذه الرموز عبر الهاتف.

قراصنة يتظاهرون بكونك

يقول المراقبون إن هناك طرقًا يمكن للقراصنة من خلالها الوصول إلى رموز الهاتف. في بعض الحالات ، تم خداع شركات الهاتف لتحويل أرقام الهواتف للسماح للقراصنة بالحصول على الرموز.

"الهواتف غير آمنة لدرجة أن المستخدمين غالبًا ما يتلقون مكالمات احتيالية يتم توجيهها إليهم من دول العالم الثالث أثناء عرض أرقام الهواتف الإقليمية الأمريكية ،" قال ماثيو روجرز ، CISO من Syntax المزود السحابي ، في مقابلة عبر البريد الإلكتروني. "الهواتف أيضًا عرضة لهجمات تبديل بطاقة SIM ، والتي يمكنها بسهولة تجاوز MFA عبر رسالة نصية."

في الآونة الأخيرة ، تعرض المذيع الإذاعي الشهير في بي بي سي جيريمي فاين لهجوم أدى إلى اختراق حسابه على WhatsApp.

قال راي والش ، خبير خصوصية البيانات في موقع مراجعة الخصوصية ProPrivacy ، في مقابلة عبر البريد الإلكتروني.

"بعد ذلك ، يتلقى الضحية رسالة مباشرة من جهة اتصال تدعي إرسال رمز إليها عن طريق الصدفة. وأخيرًا ، يُطلب من الضحية إعادة توجيه الشفرة إلى المتسلل ، والتي تمنحها إمكانية الوصول الفوري إلى حساب الضحية."

يمكن أن تكون البرامج مشكلة أيضًا. قال جورج فريمان ، مستشار الحلول في المجموعة الحكومية لـ LexisNexis Risk Solutions ، في مقابلة عبر البريد الإلكتروني: "نظرًا لوجود ثغرات أمنية في الجهاز ، من المحتمل أن يتم التنصت على MFA بواسطة تطبيق مسرب أو جهاز مخترق لا يعرفه المستخدم".

لا تتخلى عن هاتفك بعد

ومع ذلك ، يقول الخبراء إن أسلوب العائالت المتعددة MFA المستند إلى النص أفضل من لا شيء. قال مارك نونيهوفن ، نائب رئيس الأبحاث السحابية في شركة تريند مايكرو للأمن السيبراني ، في مقابلة عبر البريد الإلكتروني: "تعد MFA واحدة من أقوى الأدوات التي يمتلكها المستخدم لحماية حساباته".

"يجب تمكينه كلما أمكن ذلك. إذا كان لديك الخيار ، فاستخدم تطبيق مصادقة على هاتفك الذكي - ولكن في النهاية ، تأكد فقط من تمكين MFA بأي شكل."

قال بيتر روبرت ، المؤسس المشارك والرئيس التنفيذي لشركة تكنولوجيا المعلومات Expert Computer Solutions ، في مقابلة عبر البريد الإلكتروني ، إن الطريقة البسيطة منخفضة التكلفة لزيادة الأمان تتمثل في استخدام تطبيق المصادقة على هاتفك.

"إذا كانت لديك الميزانية واعتبرت الأمان أمرًا بالغ الأهمية ، فأنا أشجعك على تقييم مفاتيح MFA القائمة على الأجهزة." بالنسبة إلى الشركات والأفراد المهتمين بالأمان ، أوصي أيضًا باستخدام الويب المظلم خدمة المراقبة لتمكنك من معرفة ما إذا كانت المعلومات الشخصية عنك متاحة للبيع على الويب المظلم."

Image
Image

يقول فريمانمن أجل نهج أكثر على غرار المهمة المستحيلة ، يستخدم المعيار الجديد FIDO2 مع Webauthn المصادقة البيومترية. "يتصل المستخدم بموقع مالي ، ويدخل اسم مستخدم ، ويتصل موقع الويب بالجهاز المحمول الخاص بالمستخدم ، ثم تطبيق آمن على الهاتف ثم يطالب المستخدم بمعرف الوجه [الخاص] أو بصمة الإصبع. وعند النجاح ، يقوم الموقع بالمصادقة جلسة الويب ".

مع وجود العديد من التهديدات المحتملة ، قد يكون الوقت قد حان للبدء في البحث عن طرق أكثر أمانًا لتسجيل الدخول إلى مواقع الويب التي تخزن المعلومات الشخصية. قد يكون المتسللون كامنين على الويب في انتظار اعتراض كلمة مرورك.

موصى به: