هنگامی که Google Authenticator برای اولین بار در سال 2010 در صحنه ظاهر شد ، به نظر می رسید چیزی از یک انقلاب در امنیت سایبر ارائه نمی دهد. با این وجود ، طی 10 سال گذشته ، Google Authenticator تلاش کرده است تا از چهره متغیر جرایم سایبری جلوگیری کند و اکنون به دلیل وابستگی آن به فرآیند تأیید رمزعبور یک بار رمز عبور (TOTP) آسیب پذیر مورد انتقاد قرار گرفته است.

Google Authenticator منسوخ شده است ، اما همچنین می تواند شما را در معرض اختلالات سایبری غیر ضروری قرار دهد. در ادامه بخوانید تا بدانید چه مشکلی وجود دارد ، آنچه را که باید در یک برنامه 2FA جستجو کنید ، و آسیب پذیری ها در کجا قرار دارند.

Google Authenticator: چرا باید از آن خلاص شوید ASAP

فرضیه اصلی Google Authenticator و سایر برنامه های مشابه 2FA ، اضافه کردن یک لایه دوم از امنیت برای محافظت از اطلاعات حساس به کاربران است. در بیشتر موارد ، برای تأیید هویت خود از ترکیبی از چیزی که شما می دانید و چیزی که دارید استفاده می کند.

در مورد Google Authenticator ، اولین رمز عبور شما و دوم دستگاه تلفن همراه است که شما Google نصب کرده اید. برنامه تأییدکننده بر روی. این نوع 2FA از یک کلید مخفی مخصوص برنامه برای تأیید صحت سنج های یک بار (OTPs) شما استفاده می کند.

Google Authenticator به روش متناوب گذرواژه یک زمانه مبتنی بر Time وابسته است و باعث ایجاد OTP در دستگاه کاربر از طریق یک برنامه تلفن هوشمند از طریق فرآیند زیر:

1. یک سرور باطن برای هر کاربر یک کلید مخفی ایجاد می کند
2. سرور آن کلید را با برنامه تلفن کاربر به اشتراک می گذارد
3. برنامه تلفن یک پیشخوان را آغاز می کند
4. برنامه تلفن OTP منحصر به فرد با استفاده از ترکیبی از کلید مخفی کاربر و شماره پیشخوان
5. بعد از مدت معینی ، برنامه تلفن پیشخوان را مجدداً تنظیم می کند و بر همین اساس OTP را بازسازی می کند.

همه این عالی به نظر می رسد – OTP های جدید بطور مداوم ایجاد می شوند ، و آنها را تبدیل می کند. پویا و در نتیجه ایمن – پس مشکل کجاست؟ خوب ، تقریباً همه جا ، و حتی یک نقص امنیتی نیز وجود ندارد ، تعداد انگشت شماری از آنها وجود دارد.

کلید مخفی کوتاه

Google Authenticator به یک کلید مخفی 80 بیتی متکی است ، در حالی که حداقل توصیه می شود 126 بیت و یک کلید مخفی 160 بیت امن تر در نظر گرفته شده است. این دلیل بر این است که "[ ایجاد رمزهای عبور با ارقام بیشتر به طور تصاعدی احتمال حمله موفقیت آمیز را کاهش می دهد."

Google Authenticator از الگوریتم های TOTP و الگوریتم های یک بار گذرواژه مبتنی بر HMAC (HOTP) برای احراز هویت کاربران استفاده می کند. HOTP به نشانه سخت افزاری متکی است ، در حالی که مبتنی بر نرم افزار TOTP ، آن را در برابر حملات مبتنی بر نرم افزار آسیب پذیرتر می کند ، مانند عفونت های مخرب و توزیع انکار سرویس یا حملات DDOS ، و انسان در اواسط حوادث.

2FA and Vulneractions [

19659004] وقتی 2FA برای اولین بار تحقق یافت ، به نظر می رسد که پاسخ دعاهای امنیت سایبری ما است. این امر نه تنها باعث می شود برخی از گذرواژه‌ها فشار بیاورند و برخی از آسیب پذیریهای مربوط به گذرواژه را که مسئول اکثر جرایم سایبری است ، تکه تکه کنند ، بلکه لایه محافظ دیگری نیز در اختیار کاربران قرار می دهد. با این حال به نظر می رسد که 2FA همه آن چیزی نیست که شکسته شود.

یکی از نقص های اصلی در 2FA سنتی این است که چقدر نسبت به ربودن سیم کارت آسیب پذیر است. هکرهایی که مرتکب این جنایت سایبری شده اند می توانند ارائه دهنده تلفن همراه شما را متقاعد کنند که آنها شما هستند. آنها می توانند فرایند 2FA را با استفاده از اطلاعاتی که شخصاً از طریق انواع وسایل مشکوک به دست می آیند ، از جمله خرید آن از وب تاریکی ، عبور دهند. هنگامی که جرایم سایبری کنترل شماره تلفن همراه شما را کنترل می کند ، او OTP های شما را از Google Authenticator دریافت می کند و به آنها امکان دسترسی به همه موارد را از حساب Netflix شما به حساب بانکی شما می دهد.

مجرمان سایبری همچنین می توانند از نقص های موجود در 2FA شما استفاده کنند. محافظت از طریق:

فیشینگ – مجرمان سایبری ایمیلی را ارسال می کنند که به نظر می رسد از یک سایت یا خدمات معتبر است اما اگر کاربر بر روی پیوند موجود در ایمیل کلیک کند ، با سایتی مواجه می شود که مشروع به نظر می رسد اما در واقع میزبان وب سرور سایبر مجرمانه است و به آنها اجازه می دهد به کوکی جلسه کاربر دسترسی پیدا کنند. اگر هکر بتواند کوکی جلسه کاربر را بدزدد ، "[ نیازی به نام کاربری ، رمزعبور یا رمزعبور خود را ندارند ".

Man in میانی – این حملات هنگامی رخ می دهند که جرایم سایبری از طریق ترافیک بین سرور برنامه 2FA و دستگاه کاربر تردد کند.

بازیابی حساب – بسیاری از کاربران اطلاعات حساس را در رسانه های اجتماعی فاش می کنند و ناخواسته به مجرمان سایبری می پردازند. اطلاعاتی که برای تکمیل یک هک موثر 2FA نیاز دارند. به عنوان مثال ، اگر از نام مادر مادر خود به عنوان بخشی از فرآیند ورود به سیستم 2FA استفاده می کنید ، یک هکر می تواند به راحتی این اطلاعات را در توییتر یا فیس بوک پیدا کند

مهندسی اجتماعی – با تظاهر به ارائه دهنده خدمات قانونی ، مجرمان سایبری قربانیان خود را برای به اشتراک گذاشتن جزئیات حساب و حتی OTP آنها ترفند می کنند.

Staying Secure with 2FA

راه حل های مختلفی برای مشکلات ذکر شده در بالا وجود دارد و در هر دو بخش نرم افزار و سخت افزار مواردی وجود دارد که می تواند تقویت کند. امنیت خود را حفظ کرده و از شما و اطلاعات شخصی خود محافظت می کند.

هنگامی که صحبت از حمله وسط انسان می شود ، برای مثال ، بهترین VPN های تمام داده های سفر به و از دستگاه شما را رمزگذاری می کنند. برای هکرها سخت است که ارتباطات شما را رهگیری کنند. VPN هایی مانند ExpressVPN از ویژگی های پیشرفته ای مانند Always On برخوردار هستند که اطمینان حاصل می کند هر بار که به اینترنت می روید از شما محافظت می شود و معماری دانش صفر که خطر هک شدن و هک شدن اطلاعات شما را کاهش می دهد.

برخی از بانک ها همچنین از VPN برای بهبود امنیت استفاده می کنند. برای مشتریان خود "برای ورود به یک حساب ، گواهی دستگاه باید با گواهی اختصاص داده شده به حساب مطابقت داشته باشد. از آنجا که این دستگاه مستقل از سیم کارتها عمل می کند ، اعتبار VPN مانع از دسترسی ربایندگان سیم کارت به حساب های کاربران می شود. "

ربودن سیم نیاز به یک رویکرد متفاوت دارد ، اما کلیدهای امنیتی راه حل مناسبی را ارائه می دهند. به جای تأیید هویت خود با وارد کردن کدی که به تلفن هوشمند شما ارسال شده است ، کلیدهای امنیتی "دستگاههای کوچکی (معمولاً USB ، NFC یا بلوتوث) هستند که رمزنگاری رایانه را کلید می زنند و بعنوان عامل دوم مطمئن تر عمل می کنند. فقط شما می توانید از لحاظ جسمی در اختیار داشته باشید. "

بهترین مدیران رمز عبور همچنین چندین ویژگی مفید برای آوردن به جدول دارند و برخی از آنها عملکردهای برنامه 2FA را به نرم افزار خود اضافه کرده اند تا بیشتر آنها را بدست آورند. همه کاره و مؤثر است. هر دو Dashlane و 1Password دارای قابلیت 2FA هستند و اتاق های رمزگذاری شده ای را در اختیار کاربران قرار می دهند که در آن می توانند اطلاعات حساس را ذخیره کنند. البته ، شما نمی توانید از ظرفیت های 2FA مدیر رمز عبور برای ورود به برنامه مدیریت رمز عبور خود استفاده کنید ، اما امثال Dashlane به شما یک روش ساده برای نصب 2FA و همگام سازی آن در تمام دستگاه ها را می دهد.

نقص امنیتی Google Authenticator همچنین کاربران را در معرض سرقت هویت قرار دهید. توصیه می کنیم از یک سرویس حفاظت از سرقت هویت مانند محافظت از هویت نیز استفاده کنید. اگرچه گارد هویت لزوما نمی تواند جلوی سرقت هویت شما را بگیرد ، اما اگر شماره تأمین اجتماعی یا تاریخ تولد شما برای فروش در وب سایت تاریک به فروش برسد ، می تواند اطلاعات و هوشیاری شخصی شما را کنترل کند.

راه حل های جدید و نوآوری های فن آوری هستند. تقریباً روزانه در حال ظهور است و یکی از جامع ترین موارد موجود در قالب Privafy – محصولی بومی ابر است که برای تأمین اطلاعات در هنگام ترانزیت توسط طراحی شده است. "تلفیق قابلیت های سیستم های رمزگذاری ، شبکه های خصوصی مجازی (VPN) ) ، فایروال ها ، انکار سرویس حفاظت (DDoS) توزیع شده ، سیستم های تشخیص نفوذ ، و جلوگیری از جلوگیری از از بین رفتن داده ها و فناوری های بازرسی عمیق ".

اما شما مجبور نیستید 2FA را به کلی کنار بگذارید. اکثر کارشناسان امنیت سایبری موافق هستند که شما نباید. آنچه شما می توانید انجام دهید پیدا کردن یک برنامه 2FA است که از خود بیومتریک محافظت می کند ، یک فرآیند تنظیم ساده برای چندین دستگاه ، یک سیستم پشتیبان گیری و بازیابی موثر و قابل اعتماد و همچنین در حالت ایده آل ، هر دو تأیید اعتبار چند منظوره مبتنی بر بیومتریک و پایان آن رمزگذاری به پایان.

گزینه های امن برای Google Authenticator

یکی از محبوب ترین برنامه های 2FA اطراف ، استفاده آسان Authy است که با استفاده از PIN و TouchID برای محافظت از نشانه های 2FA شما ضمن جلوگیری از دستیابی حملات میانی با ایجاد نشانه های 2FA بر روی دستگاه شما ، به جای ارسال آنها از طریق اعلان های فشار یا پیام کوتاه.

Authy تمام 2FA شما را رمزگذاری می کند و آن را از حافظه ایمن ابری پشتیبانی می کند ، بنابراین شما قفل نمی شوید. کاربران معتبر می توانند به هر دستگاهی به علائم 2FA خود دسترسی پیدا کرده و اطلاعات 2FA خود را در چندین دستگاه همگام سازی کنند. همچنین می توانید با غیرفعال کردن هرگونه نصب بعدی برنامه ، امنیت را بهبود بخشید.

LastPass نه تنها یکی از بهترین مدیرهای رمز عبور اطراف است بلکه محافظت 2FA مؤثر را نیز در دست دارد. یک دکمه هنگامی که Authenticator LastPass را با سایتهای موردعلاقه خود جفت کردید ، می توانید با یک شیر آب ایمن وارد سیستم شوید. LastPass Authenticator از اعلانهای فشار خودکار ، کدهای پیام کوتاه و رمزهای عبور 67 رقمی پشتیبانی می کند.

مانند Google Authenticator ، LastPass Authenticator و Authy رایگان بارگیری می کنند اما در آنجا Google Authenticator کاربران خود را در معرض ربودن سیم ، LastPass و Authy قرار می دهد. ویژگی چند دستگاهی که می توانید آن را خاموش کنید. این بدان معناست که هیچ کس قادر نخواهد بود پس از غیرفعال کردن این ویژگی ، کدها را بازیابی کند ، یک روش ساده اما مؤثر برای جلوگیری از دسترسی دستگاههای مجاز به برنامه های تأیید اعتبار شما ] Future 2FA

تحولات در بیومتریک 2FA بسیار امیدوار کننده به نظر می رسد و برخی پیش بینی می کنند که "بیومتریک نقش اصلی را در آینده تأیید هویت موبایل بازی خواهد کرد". نرم افزار تشخیص چهره در حال استفاده است ، و با استفاده از Face ID Apple ، از نظر ارائه [سخت افزار اختصاصی برای امنیت] ، و گزارشی از Juniper Research نشان داد که به رسمیت شناختن صورت تا سال 2024 بیش از 800 میلیون تلفن همراه خوانده خواهد شد. "

حتی بیومتریک 2FA دارای اشکالاتی است ، با این حال ، و " برخلاف رمزهای عبور یا پین ها ، صورت و صدا. به رسمیت شناختن به فضایی کاملاً روشن و عاری از حرکت ، لرزش و سر و صدای سفید احتیاج دارد. " این به طور اجتناب ناپذیری برای کسانی که دائما در حال حرکت هستند بسیار چالش برانگیز است.

توسعه دهندگان سیستم تأیید هویت دو عاملی با حداقل رمز عبور Trusona معتقدند که آنها به چیزی حتی امن تر و مطمئن تر از بیومتریک دسترسی ندارند. براساس وب سایت این محصول ، " Trusona's Way Better 2FA اعتبار بی نظیری و پویا را تولید می کند که قابل تولید نیست ".

مشاور امنیت سایبری ، Frank Abagnale ، می گوید سیستم Trusona به این معنی است که یک کاربر می تواند یک اتومبیل بخرد و آن را از طریق بانک تأمین کند بدون اینکه به نمایندگی فروشنده آن بانک ، شماره حساب کاربر یا چقدر پول بداند ، تأمین کند. علاوه بر این ، او می گوید ، "با Trusona ، تمام داده ها در بانک یا شرکت تلفن نگهداری می شوند. ما هیچ کدام را نگه نداریم بنابراین ، اگر فردا Trusona را هک کنند ، هیچ چیزی دریافت نمی کنند. "

نتیجه گیری

Google Authenticator نقش خود را برای بازی در امنیت اینترنت داشته است اما به سودمندی خود می رسد. عدم وجود تکه ها و به روزرسانی ها ، Google Authenticator را از رقابت عقب مانده است و کاربران را در معرض طیف وسیعی از آسیب پذیری های آسیب زا قرار می دهد.

نقص های تأثیرگذار بر کاربران Google Authenticator نیز در امنیت متوقف نمی شوند و اگر قفل شوید از حساب خود ، می توانید روزها به طور روزانه از همه حساب های خود ، از بانکی آنلاین خود گرفته تا سیستم عامل های رسانه های اجتماعی ، قفل شوید.

اگرچه ما به زودی می توانستیم بدون رمز عبور وارد دنیایی شویم ، در ضمن ، انتخاب یک برنامه تأیید هویت 2FA که می تواند شما را در مقابل تعویض سیم کارت ، حملات درون و وسایل فیشینگ محافظت کند ، بهترین راه برای تقویت امنیت آنلاین شما است. به طور مشابه ، کلیدهای امنیتی فرم 2FA قوی تری را ارائه می دهند که می توانید از نظر جسمی آن را پیگیری کنید و هرگز مجبور به اشتراک گذاری آنلاین نیستید.

بسیاری از بهترین مدیران رمز عبور برنامه های 2FA را در نرم افزار خود ادغام کرده اند و از کاربران می توانند از امنیت سایبری جامع و همه کاره استفاده کنند. در حالی که ما منتظر هستیم تا Trusona از سیستم [فقط تأیید صحت بیمه شده] استفاده کند ، خود را با چیزی مانند Authy یا Last Pass محافظت کنید و با استفاده از یک مدیر رمز عبور و یک VPN به مجموعه امنیت اینترنت خود اضافه کنید.