برای چندین سال، احراز هویت دو مرحلهای به عنوان مهمترین توصیه در امنیت فضای مجازی اشخاص به شمار میرفت، ابزاری که شرکتهای فناوری اطلاعات دیر به اهمیت آن پی بردند. البته بعد از هک شدن حسابهای توییتر، آمازون و اپل «مت هونان» در سال2012 [1]، جنبشی برای استفاده از این شیوهی احراز هویت شکل گرفت. در آن زمان تعداد اندکی از شرکتهای فناوری اطلاعات احراز هویت دو مرحلهای را ارائه میکردند. در نتیجه، کارزار عمومی بزرگی شکل گرفت که شرکتها را مجبور به پیادهسازی احراز هویت دو مرحلهای برای جلوگیری از سرقت حساب کاربران میکرد.
پنج سال از آن زمان میگذرد و به نظر میرسد پیادهسازی نسبتا گستردهی احراز هویت دو مرحلهای، از توجه به آن کاسته باشد. تقریبا تمام سرویسدهندههای بزرگ فضای مجازی، نوعی از احراز هویت دو مرحلهای را ارائه میکنند اما انواع مختلف آن، تفاوتهای زیادی در نحوهی محافظت از حسابهای افراد دارند. هکرهای مستعد مشکل چندانی برای دورزدن پیادهسازیهای ضعیف احراز هویت دو مرحلهای ندارند؛ چراکه رویکرد شرکتها به این نوع احراز هویت، مانند قرص آسپرین بوده است (راه حلی ساده، یکپارچه و چندمنظوره برای حل اکثر مشکلات امنیتی!) ولی واقعیت پیچیدهتر از این است. گرچه چارچوب کلی این ویژگی هنوز امنیت مناسبی را ارائه میکند اما زمان آن رسیده که نسبت به محدودیتهای آن واقعبین باشیم. در سال 2017، فقط داشتن احراز هویت دو مرحلهای کافی نیست.
در پنج سال گذشته، بیشترین تمرکز کارزار احراز هویت دو مرحلهای، سایت twofactorauth.org بوده است. هدف این سایت رسواسازی سایتها و محصولاتی است که از این نوع احراز هویت استفاده نمیکنند. این سایت با معرفی شرکتهایی که احراز هویت دو مرحلهای ندارند، راه سادهای برای کاربران فراهم میکند تا با ارسال توییت به این شرکتها، از خجالتشان دربیایند. این سایت روزی چند صد هزار توییت برای خوار کردن این شرکتها میفرستد. به نظر میرسد این کارزار جواب داده باشد. تقریبا تمام شرکتها نوعی از احراز هویت دو مرحلهای را ارائه میدهند. شرکتهایی مثل آمازون و بیت باکت هم اخیرا خود را با این احراز هویت وفق دادند اما نتفلیکس شاید بزرگترین شرکتی باشد که هنوز در مقابل آن مقاومت میکند. همینطور تنها سرویسهای ایمیل گمنام مثل میگادو وmail.com احراز هویت دو مرحلهای ندارند. بخشهایی مثل شرکتهای هواپیمایی و بانکها هم ممکن است از قافله عقب باشند اما اکثر شرکتها پیام کاربران را گرفتهاند: «اگر احراز هویت دو مرحلهای ندارید، از سرویس دیگری استفاده میکنیم».
اما پیروزی کمی آشفتهتر از آنیست که کسی گمان میکرد. دهها نوع مختلف از احراز هویت دو مرحلهای وجود دارد که امکان لیست کردن همهی آنها در این مطلب نیست. بعضی از سرویسها از پیامک برای ارسال کد تایید استفاده میکنند، برخی هم از طریق ایمیل.سرویسهایی هم هستند که از روشهای سختتری مثل برنامهی احراز هویت گوگل (Google Auth) استفاده میکنند. همچنین با پرداخت 18 دلار میتوانید درایو usbمخصوصی خریداری کنید که به عنوان مرحلهی دوم احراز هویت شما استفاده شود؛ این شیوه بوسیلهی اکثر سرویسها پشتیبانی شده و از امنترین روشهای موجود میباشد (تا زمانی که usb را گم نکنید!). جدای از روشهای سختافزاری، اکثر سرویسها رمز دوم را از طریق بسترهای مخابراتی ارسال میکنند. با توجه به امکان رهگیری (Intercept) پیامها در میان راه، بعضی از این روشها امنیت پایینتری نسبت به بقیه روشها دارند. اما آنقدر تعداد این روشها زیاد است که حتی کاربران ماهر از روشهای امنتر اطلاع ندارند چه رسد به مشتریان عادی.
از همان ابتدا وعدهی امنیت احراز هویت دو مرحلهای در سراشیبی قرار گرفت. در سال2014 هکرها با هدف قرار دادن سرویسهای خدماتی بیت کوین، از طریق رهگیری توکن ها و استفاده از شیوههای بازیابی حساب، راهی برای دورزدن مرحله دوم احراز هویت پیدا کردند. در بعضی موارد هکرها مستقیما حساب اپراتور تلفن همراه را هدف قرار داده و با فعالسازی سرویس هدایت تماس (Call Forwarding) توانستند رمز دوم را دریافت کنند.این حملهها معضلی جدی برای کاربران بیت کوین به وجود آورد چراکه تراکنشهای چند هزار دلاری، هکرها را ترغیب میکرد تا از روشهای معمول فراتر بروند. همین ماه گذشته یکی از کاربران بیت کوین 8 هزار دلار از طریق هک شدن حساب ورایزن (Verizon) از دست داد [2]. این حملات فقط برای کاربران ماهر مشکل ساز نیست؛ ماه گذشته سایت The Intercept سندی منتشر کرد که نشان میداد هکرهای روس نقشهای برای هدف قرار دادن حسابهای دو مرحلهای مقامات انتخاباتی آمریکا داشتند. در نمونهای دیگر، بنیانگذار کریپتوکت اعلام کرد که ثبت یک دستگاه آلوده به نرمافزار مخرب، به هکرها اجازهی شکستن احراز هویت دو مرحلهای را میدهد.
اکثر این مشکلات مربوط به خود احراز هویت دو مرحلهای نیست، بلکه مربوط به هر چیزی است که احراز هویت دو مرحلهای به آن وابسته است. به عنوان نمونه دورزدن روال بازیابی حساب کاربری، نفوذ به تجهیزات سختافزاری و زیرساختهای حامل از نقاط ضعف این احراز هویت هستند. زیرساختهای مخابراتی بزرگترین نقطه ضعف هستند. در صورت لو رفتن حساب کاربری اپراتورهای تلفن همراه، ربودن تماس یا پیامکهای دریافتی افراد کار چندان دشواری نیست. برای نرمافزارهایی مثل سیگنال که فقط به شماره موبایل افراد وابستهاند، دسترسی به حساب اپراتور میتواند به منزلهی دسترسی به حساب نرمافزار سیگنال باشد. در عین حال، اپراتورها جزء کندترین شرکتها در بکارگیری روشهای احراز هویت امن هستند؛ بطوریکه یا از پین کد استفاده میکنند که براحتی قابل دور زدن است یا با سولات امنیتی پیشپا افتاده، حساب کاربری افراد را در اختیار هکرها میگذارند.
در همین حال، خاتمه دادن به روشهای احراز هویت دو مرحلهای که ناامن بودنشان محرز شده است، کار دشواری است. سال گذشته سازمان ملی استاندارد و فناوری آمریکا (NIST)به علت خطر رهگیری و اسپوفینگ، پشتیبانی خود از احراز هویت پیامکی را قطع کرد؛ اما شرکتهای فناوری در واکنش به آن بسیار کند بودند چراکه در عین امنیت پایین، استفاده از آن آسان است و تا زمانی که اسمش احراز هویت دو مرحلهای باشد، اکثر کاربران تفاوتش با بقیه روشها را نمیفهمند. همینطور رویکرد اکثر شرکتها در قبال احراز هویت دو مرحلهای، فقط برای گذاشتن علامت تیک جلوی چک لیست امنیتی شرکتشان است.
عجله برای پیادهسازی احراز هویت دو مرحلهای، علاوه بر مشکلات امنیتی، باعث سردرگمی کاربران هم شده است. بعد از جنجال سیستم آیکلود اپل که باعث لو رفتن عکسهای خصوصی بسیاری از کاربران شد، اپل سیاست جدیدی معرفی کرد که در آن فراموش کردن رمز عبور و «کلید بازیابی حساب» ممکن است منجر به قفل دائمی حساب کاربر شود. به عبارت دیگر سختتر شدن سیاست ها و روشهای احراز هویت ممکن است باعث شود کاربران عطای احراز هویت دو مرحلهای را به لقایش ببخشند و از همان روشهای معمول رمز عبور استفاده کنند.
گوگل از معدود شرکتهایی است که به مشتریان سازمانیش اجازه میدهد تا استفاده از توکنهای ناامن مثل SMS را به کل مسدود کنند. در این سرویس، گوگل به مدیر فناوری اطلاعات سازمان این اجازه را میدهد تا همهی کاربران سازمان را مجبور به استفاده از یک روش لاگین مخصوص بکند. البته این روش بیشتر برای سازمانهایی کاربرد دارد که یک مدیر وظیفهی سیاستگذاری امنیت و آموزش کاربران را بر عهده دارد. معلوم نیست که چگونه میتوان چنین سیاست سختی را برای میلیاردها کاربر جیمیل پیادهسازی کرد.حقیقتی که دربارهی اکثر کاربران وجود دارد این است که امنیتی بیشتر از آن چیزی که فکر میکنند به آن نیاز دارند را نمیپذیرند. بنابراین سرویسدهندگان باید سیاستی را برگزینند که دارای تعادل مناسب بین میزان امنیت و کاربرد آسان باشد.
هیچ کدام از این مطالب به معنی بیهوده بودن احراز هویت دو مرحلهای نیست، بلکه نشان میدهد که این روش آن داروی همهکارهای که متخصصین فکرش را میکردند نیست. گرچه اضافه کردن یک کد عبور دوم باعث سختتر شدن روال لاگین میشود، اما هکرها همیشه رویکردی جدید برای حملات خود پیدا میکنند. درواقع نقاط ضعفی مثل بستر مخابراتی و بخش خدمات مشتری سازمانها هستند که تعیینکنندهی میزان امنیت حساب کاربران هستند. همین باعث میشود تا انتخاب امنترین برنامه کاربردی به امر بسیار دشواری تبدیل شود زیرا کشف این نقاط ضعف با بررسی ظاهری، کار غیرممکنی است. به همین دلیل پیشگامان امنیت سایبری باید از بحث احراز هویت دو مرحلهای فراتر رفته و روی تشخیص تهدید تمرکز کنند. ارزیابی اطلاعات محیطی مثل «رفتار کاربر در صفحهی لاگین» یا«اطلاعات دریافتی از دستگاه یا مرورگر کاربر» میتواند بهترین رویکرد برای تشخیص رفتارهای مشکوک هنگام ورود به حساب کاربری باشد. لذا در آینده، علاوه بر جلوگیری از نفوذ، باید روی تشخیص تهدید هم تمرکز ویژهای کرد؛ به خصوص شرکتهای بزرگی مثل فیسبوک و گوگل که علاوه بر دسترسی به اقیانوسی از اطلاعات، بخشهای بزرگی از سازمانشان را به یادگیری ماشین و هوش مصنوعی اختصاص دادهاند.
نتیجهای که در درازمدت حاصل خواهد شد همان چیزیست که در گذشته داشتیم! مدیران سازمانی کاربران را خلع سلاح خواهند کرد و امنیت اطلاعات به متخصیص سپرده خواهد شد. این الزاما خبر بدی نیست زیرا تشخیص تهدید نیز همانند احراز هویت دو مرحلهای، حسابهای کاربران را امنتر خواهد کرد با این تفاوت که این سیستم برای کاربران ملموس نبوده و تشخیص امنیت سرویسی که از آن استفاده میکنند را سختتر میکند. همین باعث میشود تا کاربران در موقعیت دشواری قرار بگیرند. البته هنوز هم استفاده از احراز هویت دو مرحلهای، پیشنهاد خوبی به کاربران است اما کافی نیست.
1 https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/
2 https://medium.com/@CodyBrown/how-to-lose-8k-worth-of-bitcoin-in-15-minutes-with-verizon-and-coinbase-com-ba75fb8d0bac