چرا احراز هویت با اس ام اس امن نیست

در حال حاضر احراز هویت دو عاملی با اس ام اس به عنوان یک روش فراگیر برای تائید هویت کاربران مورد استفاده قرار می‌گیرد، ولی امنیت آن دیگر مورد تائید متخصصان موسسه‌ی ملی استاندارد و تکنولوژی ایالات متحده نیست. بر اساس پیش‌نویس آخرین نسخه‌ “مستند راهنمای احراز هویت دیجیتال”، مقامات موسسه‌ ملی استاندارد و تکنولوژی ایالات متحده، شرکت‌ها را به عدم استفاده از راه‌حل احراز هویت دو عاملی با اس ام اس تشویق می‌کنند. حتی ممکن است در نسخه‌های بعدی این مستند، از این روش به عنوان راهکاری ناامن یاد شود.

مستند راهنمای احراز هویت دیجیتال چیست؟

مستند راهنمای احراز هویت دیجیتال یک مجموعه از قوانین است که تولیدکنندگان نرم‌افزاراز آن به عنوان مرجعی جهت ارائه‌ی سرویس‌های امن و دولتها و بنگاه‌های خصوصی به‌منظور دستیابی به امنیت در خدمات و نرم‌افزارهایشان استفاده می‌کنند. متخصصان موسسه‌ی ملی استاندارد و تکنولوژی ایالات متحده (NIST) در تلاش برای همگام شدن با تغییرات در حوزه فن‌آوری دائما در حال به‌روزرسانی این راهنما هستند.

در این مستند ذکر شده است که:

“در صورتی‌که فرایند احراز هویت دو عاملی با اس ام اس روی شبکه تلفن همراه عمومی انجام شود، تائید کننده باید بررسی کند که شماره تلفن ثبت شده‌ای که مورد استفاده است حتما مربوط به یک شبکه‌ی موبایل بوده و به یک سرویس VOIP یا هر سرویس نرم‌افزاری دیگری مربوط نباشد. سپس پیام کوتاه به شماره‌ی ثبت شده ارسال ‌گردد. تغییر شماره تلفن ثبت شده نباید بدون احراز هویت دوعاملی در زمان تغییرات امکان‌پذیر باشد. روش‌های احراز هویت با اس ام اس در حال منسوخ شدن هستند و احتمالا در نسخه‌های بعدی این مستند مجاز شمرده نمی‌شوند.”

امکان سرقت اطلاعات در ارتباطات VOIP

در دستورالعمل‌های NIST، مواردی چون به سرقت رفتن تلفن همراه یا قرض دادن آن به شخص دیگر به عنوان ریسک‌های قابل قبول شناخته شده‌است، اما برخلاف توکن‌ها و نرم‌افزارهای تایید اعتبار رمزگذاری‌شده، ای ام اس یا پیام کوتاه یک نقطه ضعف دیگری دارد که قابل اعتماد بودن آنرا از بین میبرد، که آن هم سرویس‌های VOIP است.

پیام‌کوتاه در ارتباطات VOIP نا امن هستند.  به دلیل این که در برخی از سرویس‌های VOIP امکان ربوده شدن پیغام‌های کوتاه فراهم است، متخصصان NIST به ارائه‌دهندگان نرم‌افزار توصیه می‌کنند پیش از این که کد احراز هویت دوعاملی را با اس ام اس ارسال کنند ابتدا بررسی کنند که ارتباط مبتنی برVOIP است یا خیر.

وجود نقاط ضعف در پروتکل‌های پیام کوتاه یا اس ام اس

اس ام اس ذاتا به عنوان یک پروتکل نا امن به حساب می‌آید. زیرا در چند ماه‌ گذشته محققان امنیت اطلاعات از یک حمله‌ی دیگر خبر دادند که با تکیه بر نقطه ضعف در پروتکل پیام کوتاه، کاربران و گوشی‌های آنها را در معرض خطر قرار می‌دهد. هرچقدر این‌گونه تحقیقات بیشتر و بیشتر انجام شود، علاوه بر NIST، تولیدکنندگان نرم‌افزار، شرکت‌ها، و کاربران هم به یک روش احراز هویت امن‌تر روی خواهند آورد.

با این که دستوالعمل‌های جاری NIST همچنان در حال بحث و تبادل نظر است ولی تقریبا می‌توان مطمئن بود در نسخه‌های آینده‌ی سند راهنمای احراز هویت دیجیتال، راهکار احراز هویت با اس ام اس به عنوان یک راهکار ایمن توصیه نخواهد شد

اطلاعات زیست‌متری؛ راهکارهایی برای آینده احراز هویت دو عاملی

امروزه روشهای احراز هویت زیست‌متری (بیومتریک) در حال گسترش و محبوبیت هستند. در پیش‌نویس مستند DAG اعلام شده است که گسترش راهکارهای احراز هویت مبتنی بر عوامل زیست‌متری البته با رعایت یک شرط قابل قبول است. اطلاعات بیشتر در مورد راهکارهای مختلف احراز هویت در مقاله معرفی احراز هویت و بررسی روشهای آن به تفضیل بیان شده است.

همچنین یکی از امنترین راهکارهای موجود برای کاربران و سامانه‌ها که احراز هویت چند عاملی است که در مقاله احراز هویت چند عاملی به آن پرداخته شده است. متن دقیق آن در مستند فوق که به راهکار احراز هویت چندعاملی مرتبط است به شرح زیر است:

“استفاده از عوامل بیومتریک برای احراز هویت

“استفاده از عوامل بیومتریک برای احراز هویت دو عاملی با رعایت دستورالعمل‌ها و الزامات زیر پشتیبانی می‌شود: عوامل بیومتریک باید با یک عامل احراز هویت دیگر همراه شوند (چیزی که تنها خود کاربر می‌داند و یا دارد).”

با رعایت دستورالعمل‌ها و الزامات زیر پشتیبانی می‌شود: عوامل بیومتریک باید با یک عامل احراز هویت دیگر همراه شوند (چیزی که تنها خود کاربر می‌داند و یا دارد).”

برای آشنایی بیشتر با مفهوم هویت نیز می‌توانید مقاله “هویت‌نامه” را مطالعه کنید.