کد خبر : 83120 شنبه 03 شهریور 1397 - 22:13:31
روش-های-تائید-هویت-کاربران-باید-تغییر-کند

هک شدن شرکت‌های مخابراتی و امنیت کاربران

روش های تائید هویت کاربران باید تغییر کند

سیناپرس: در پی هک شدن اطلاعات شخصی کاربران شرکت مخابراتی T-Mobile، بار دیگر بحث امنیت کاربران درزمینهٔ احراز هویت مطرح‌شده و کارشناسان روش تشخیص هویت کاربران از طریق تلفن همراه را مناسب و امن نمی‌دانند.

به‌تازگی شرکت مشهور مخابراتی T-Mobile  تائید کرد که طی یک حمله سایبری به این کمپانی، برخی از اطلاعات کاربران در اختیار هکرها قرارگرفته اما این اطلاعات شامل اطلاعات مالی یا شماره‌های امنیت اجتماعی نشده و خطری از این بابت کاربران را تهدید نمی‌کند. بر اساس اطلاعیه منتشرشده در این رابطه، مشکل این است که داده‌های کاربران این خطوط همراه که به‌صورت بالقوه در معرض خطر هستند شامل: نام، کد پستی، صورتحساب‌ها، آدرس ایمیل، برخی از رمزهای عبور، شماره‌حساب، نوع حساب و شماره تلفن آن‌ها می‌شود.

کارشناسان مدیریت هویت از سال ها پیش در مورد بیش‌ازحد وابسته شدن مقوله تائید هویت کاربران به شماره تلفن‌ها هشدار داده‌اند هرچند به‌مرورزمان گزینه‌هایی مانند پیام کوتاه، شناسایی بیومتریک و اسکنرهای مربوط به آن نیز به‌عنوان بخشی از روند تائید هویت کاربران معرفی‌شده و رواج یافتند، اما استفاده از شماره تلفن همراه همچنان یکی از اصلی‌ترین روش‌های تعیین هویت افراد در شبکه‌های مجازی محسوب می‌شود.

ممکن است سرقت اطلاعات فوق توسط مهاجمان موضوع خطرناکی محسوب شود زیرا آن‌ها قادر هستند هویت خود را جعل کرده و کنترل حساب‌های شمارا به دست بگیرند. در نگاه اول از دست دادن گذرواژه‌ها خبر بدی است اما شاید باور آن سخت باشد که هیچ قطعه‌ای از این اطلاعات شخصی استاندارد ارزش بیشتری از شماره تلفن شما ندارد؛ زیرا شماره تلفن افراد در سال‌های اخیر به‌وسیله ای بیش از یک‌راه برای تماس با دیگران تبدیل‌شده است. در سال‌های اخیر، شرکت‌های مختلف برای ارتباط با مشتریان خود بیشتر و بیشتر به گوشی‌های هوشمند متکی شده‌اند تا از این طریق «تائید هویت» کاربران را انجام دهند. ازنظر تئوری، این خطر بالقوه کاملاً منطقی است زیرا افراد مهاجم ممکن است رمزهای عبور شمارا دریافت کنند، اما برای آن‌ها دسترسی فیزیکی به تلفن شما بسیار سخت است.

کارشناسان مدیریت هویت از سال ها پیش در مورد بیش‌ازحد وابسته شدن مقوله تائید هویت کاربران به شماره تلفن‌ها هشدار داده‌اند هرچند به‌مرورزمان گزینه‌هایی مانند پیام کوتاه، شناسایی بیومتریک و اسکنرهای مربوط به آن نیز به‌عنوان بخشی از روند تائید هویت کاربران معرفی‌شده و رواج یافتند، اما استفاده از شماره تلفن همراه همچنان یکی از اصلی‌ترین روش‌های تعیین هویت افراد در شبکه‌های مجازی محسوب می‌شود.

جرمی گرانت (Jeremy Grant)، هماهنگ‌کننده ائتلاف هویت بهتر، همکاری صنعتي که شامل مراکز مهمی همچون ويزا (Visa)، بانک آمريکا (Bank of America)، آيتنا (Aetna) و سايمانتک (Symantec) می‌شود درباره موضوع فوق گفت: «جامعه و کاربران آن نیازمند تعیین هویت هستند. ما باید در نظر داشته باشیم که شماره تلفن تنها یک شناسه است و ما فقط باید اطمینان حاصل کنیم که دانستن یک شناسه نباید به‌عنوان شاخصه تعیین هویت مورداستفاده قرار گیرد.»

از سوی دیگر استفاده از شماره‌های ساده و قابل حدسی مانند شماره تلفن به‌عنوان اسم رمز در سال‌های اخیر باعث افزایش حملات این‌چنینی شده و درحالی‌که یک مهاجم شماره تلفن شمارا به‌طور مخفیانه در اختیار داشته و کنترل می‌کند، هنگامی‌که شما عملیات احراز هویت دومرحله‌ای را به یک حساب اضافه کرده و کدهای خود را از طریق متون اسکریپت دریافت می‌کنید، فرد مهاجم نیز به تمام این اطلاعات دسترسی پیدا خواهد کرد.

گرانت در این رابطه می‌گوید: مسئله‌ای که در رابطه باسیم کارت مطرح است، این موضوع است که اگر شما شماره تلفنی را تحت کنترل بگیرید، می‌توانید از طریق سیستم تأییدکننده هویت، به اطلاعات کاربران دسترسی پیدا کنید. از سوی دیگر بسیاری از کاربران شبکه‌های اجتماعی با شناسه کاربری مشتمل بر شماره تلفن همراه خود وارد این شبکه‌ها می‌شوند.

توماس هاردیونو (Thomas Hardjono)، یکی از محققان هویت امن در موسسه اعتماد و داده MIT، به موارد دیگری همچون شماره کارت اعتباری، شناسه‌های تائید شده با یک تراشه و یک پین یا امضا اشاره می‌کند. صنعت مالی ده‌ها سال پیش متوجه شد که این سیستم کار نخواهد کرد. از سوی دیگر تغییر شماره تلفن می‌تواند برای کاربران فوق‌العاده ناخوشایند باشد.

بنابراین اگر شما به دنبال یک جایگزین برای شماره تلفن هستید، باید چیزی راحت‌تر جایگزین کنید. هاردیونو پیشنهاد می‌کند، برای مثال، گوشی‌های هوشمند می‌توانند شناسه‌های منحصربه‌فرد را با ترکیب یک شماره تلفن کاربر و شماره شناسه دستگاه IMEI اختصاص داده‌شده به هر گوشی هوشمند، تولید کنند. این شماره در اختیار شما بوده و به‌طور طبیعی هرزمانی که شما یک تلفن جدید دریافت کردید می‌توانید آن را تغییر دهید.

به باور بسیاری از کارشناسان تا زمانی که یک تصمیم جدی و مهم در سطح بین‌المللی برای حل این معضل گرفته نشده و دولت‌ها قوانین جدیدی در رابطه با آن وضع نکنند، شرایط تغییر چندانی نکرده و امنیت کاربران از طریق هک شدن شرکت‌های مخابراتی و ارائه‌دهنده خدمات همراه، به خطر خواهد افتاد.

ترجمه: احسان محمدحسینی

منبع: wired

نظرات شما

[کد امنیتی جدید]