حتما اخبار قبل از فیلتر شدن تلگرام رو به خاطر دارید؛ اخباری مانند «تلگرام بلاک چین میآید و دیگر قابل فیلتر شدن نیست» و … ، باورهای غلطی که شاید نتیجه کمکاری متخصصین فناوری اطلاعات در فضای مجازی و کمبود نشریات تخصصی در این زمینه باشد. در این قسمت از ویدیوی آموزشی بلاک چین، این سه مورد از باورهای نادرست یا افسانههای بلاک چین توضیح داده میشود:
آیا بلاک چین همان بیت کوین است؟
آیا بلاک چین متن باز است؟
آیا بلاک چین فیلتر نمیشود؟
اگه کانال آپاراتِ شرکت پیشگامان رو دنبال کرده باشید، حتما میدونید ویدیوهای آموزشی پایتون و بلاک چین ما اونجا قرار میگیره. حالا تصمیم گرفتیم تا این ویدیوهای آموزشی رو اینجا هم براتون قرار بدیم. اولین ویدیو، مربوط به آموزش ابتدایی و آشنایی با بلاک چین هست، اکثر افراد بلاک چین رو از طریق بیت کوین میشناسن؛ به همین دلیل، اولین بخش این آموزش به معرفی و بررسی ویژگیهای بیت کوین میپردازه. بقیه این ویدیو هم شامل موضوعات زیر میشه:
گرچه SSH یا ارتباط شل امن، برای مدیریت و پشتیبانی سرور لینوکس ابزاری حیاتی است اما ممکن است سرور شما را دربرابر حملات کورکورانه یا بروت فورس SSH آسیب پذیر کند. راههای زیادی برای محافظت از سرور لینوکس شما وجود دارد که یکی از آنها استفاده از ابزار denyhosts است. این ابزار متن باز بوده و در کنار جلوگیری از حملات به سرور شما، لاگهای آن را هم ذخیره میکند. همچنین بوسیله این ابزار میتوانید آی پی های مجاز را به لیست سفید یا همان وایت لیست اضافه کنید. علاوه بر این، امکان ارسال هشدار از طریق ایمیل هم وجود دارد.
نصب و پیکربندی این ابزار روی سرورهای لینوکس بسیار آسان است. در ادامه، آموزش نصب و تنظیم آن روی لینوکس اوبونتو ۱۸.۰۴ را خواهید خواند. البته این آموزش برای توزیع های دیگر سرور لینوکس هم کم و بیش همینگونه است.
برای نصب این ابزار کافی است در ترمینال دستور زیر را وارد کنید:
sudo apt-get install denyhosts -y
اولین کاری که باید پس از نصب انجام دهید، اضافه کردن آی پی های مجاز است؛ در غیر این صورت ممکن است دسترسی خودتان به سرور را هم بلاک کنید. ابتدا فایل مربوطه را باز کرده، سپس آی پی های مجاز را در انتهای آن اضافه کنید:
sudo nano /etc/hosts.allow sshd: [IP 1] sshd: [IP 2] sshd: [IP 3]
بعد از اضافه کردن آی پی ها، فایل را ذخیره کرده و آن را ببندید. برای تغییر تنظیمات این ابزار فایل زیر را باز کنید:
sudo nano /etc/denyhosts.conf
در این مرحله میتوانید تنظیمات امنیتی مختلف را تغییر دهید، به عنوان مثال آپشن زیر تعداد لاگینهای ناموفقی که باعث بلاک شدن کاربر میشود را مشخص میکند:
DENY_THRESHOLD_INVALID = 5
همچنین میتوانید با استفاده از آپشن زیر، ایمیلی که میخواهید هشدارها به آن ارسال شود را تعیین کنید:
ADMIN_EMAIL =
توجه داشته باشید که این ابزار به صورت پیشفرض از پورت ۲۵ لوکال برای ارسال ایمیل استفاده میکند. در صورت نیاز به تغییر، میتوانید از تنظیمات زیر استفاده کنید:
SMTP_HOST = SMTP_PORT = SMTP_FROM =
بعد از انجام تنظیمات مورد نظر، یک بار سرویس denyhosts را ریست و فعال کنید:
sudo systemctl restart denyhosts sudo systemctl enable denyhosts
ابزار denyhosts به صورت پیشفرض رخدادها را لاگ میکند، برای مشاهده لاگهای امنتیی به صورت بلادرنگ، از دستور زیر استفاده کنید:
tail -f /var/log/auth.log
حالا میتوانید با خیال راحت SSH کرده و سرور لینوکس خود را مدیریت کنید.
گوگل از ماژول جدیدی برای فریمورک یادگیری ماشین خود، به نام تنسورفلو (TensorFlow)، پردهبرداری کرده که به توسعهدهندگان این امکان را میدهد تا با اضافه کردن چند خط کد به مدلهای هوش مصنوعی خود، حریم خصوصی آن را بهبود دهند.
تنسورفلو یکی از پراستفادهترین ابزارها برای ساخت برنامههای یادگیری ماشین است که بسیاری از توسعهدهندگان در سراسر جهان از آن برای ساخت برنامههایی مانند الگوریتمهای تشخیص متن، صدا و تصویر استفاده میکنند. با معرفی «حریم خصوصی تنسورفلو»، این توسعهدهندگان قادر خواهند بود تا با استفاده از یک تکنیک آماری به نام «محرمانگی تفاضلی» از اطلاعات کاربران محافظت کنند.
کری رادِبا، مدیر محصول گوگل در مصاحبهاش با سایت ورج گفت: «اگر این امکان را به تنسورفلو اضافه نمیکردیم، پیادهسازی آن به صورت مجزا برای تیمها بسیار سخت بود. بنابراین برای ما بسیار مهم بود تا این امکان را به صورت متن باز به تنسورفلو اضافه کرده و به شروع جامعه آن کمک کنیم.»
نحوه عملکرد «محرمانگی تفاضلی» پیچیدگی زیادی دارد، اما اگر بخواهیم به زبان ساده بگوییم، «محرمانگی تفاضلی» یک رویکرد ریاضی است که با استفاده از آن مدلهای هوش مصنوعی که با دادههای کاربران آموزش میبینند، نمیتوانند اطلاعات قابلِ شناساییِ خصوصی را کدگذاری کنند. این یکی از شیوههای معمول برای حفاظت از اطلاعات شخصی در ساخت هوش مصنوعی است. اولین بار اپل در سرویسهای هوش مصنوعی iOS 10 از آن رونمایی کرد و گوگل هم در بعضی از امکانات هوش مصنوعی خود، مانند پاسخ هوشمند جیمیل، از آن استفاده میکرد.
برای درک بهترِ تهدیدات سرویسهای هوش مصنوعی در حریم خصوصی، این سناریو را در نظر بگیرید:سرویس پاسخ هوشمند جیمیل با استفاده از دادههایی که از بیش از یک میلیارد کاربر جیمیل جمعآوری میکند، پاسخهای پیشنهادی خود را تولید میکند. این دادهها شامل شخصیترین اطلاعات افراد است (هر اطلاعاتی که در ایمیل رد و بدل میشود). حال تصور کنید که اگر جیمیل یکی از جملات شما را، کلمه به کلمه، به عنوان پاسخ پیشنهادی به کاربران دیگر پیشنهاد دهد چه فاجعهای رخ میدهد.
«محرمانگی تفاضلی» با استفاده از «اطمینان ریاضی» این احتمال را از بین میبرد. به عبارت دیگر، شما خروجی خواهید داشت که مستقل از دادههای هر فرد است. نقطه ضعف این روش این است که ممکن است بعضی از اطلاعات مورد نظر پاک شود، به خصوص در مواقعی که دادهها فقط یک بار در دیتاست ظاهر میشوند.
گوگل گفته که با اضافه کردن تنها ۴ یا ۵ خط کد میتوان از این ویژگی استفاده کرد و نهایتا، استفاده از ابزارهای متن باز باعث جذب استعدادهای بیشتری خواهد شد.
امروزه متقاعد کردن افراد به جدی گرفتن امنیت اطلاعات کار بسیار سختی است. نصب آپدیت، عوض کردن دورهای رمز عبور و قبول نکردن دسترسیهای بیمورد، همهی این موارد کارهای طاقتفرسایی هستند که بیپایان به نظر میرسند. شاید به همین دلیل است که دنیا به نمادی مانند تیلور سویفت برای تحریک آنها به جدی گرفتن امنیت اطلاعات نیاز دارد.
این ابرستاره سالهاست که به صورت مداوم نگرانیهای خود از حفظ امنیت اطلاعات و حریم خصوصی را به صورت عمومی ابراز میکند. تیلور سویفت، در مصاحبهای که در سال ۲۰۱۴ با مجلهی رولین استون داشت، گفته بود که تنها نسخهای که از آلبوم آیندهاش دارد، روی گوشی شخصیاش ذخیره شده و فقط با هدفون به آن گوش میکند، چراکه از استراق سمع واهمه دارد؛ به گفته خودش، «جنبههای زیادی از فناوریهای روز وجود دارد که او هیچ دانشی نسبت به آنها ندارد».
شاید حالا که باگ امنیتی فیس تایم آشکار شده است، حرفهای تیلور سویفت نه تنها «تئوری توطئه» گونه به نظر نرسد، بلکه به عنوان یک پیشگویی از آینده تلقی شود. احتیاط بیش از اندازه تیلور سویفت باعث شده تا طرفداران او یک صفحه در حوزه امنیت سایبری در توییتر بسازند. این صفحه با نام SwiftOnSecurity در این آدرس در دسترس بوده و به عنوان یکی از منابع آموزنده در این حوزه شناخته میشود.
در هر صورت اگر دوست ندارید از منابع مرتبط با تیلور سویفت، توصیههای امنیتی خود را دریافت کنید، حداقل از دشمنش کانیه وست که رمز آیفونش شش تا صفر است، دوری کنید!
گرچه در سالهای اخیر آمازون نام الکسای خود را میان دستیارهای هوشمند خانگی تثبیت کرده است، اما به نظر نمیرسد رقابت آسانی با گوگل داشته باشد. با توجه به اینکه اکثر محصولات میتوانند از هر دو دستیار هوشمند گوگل و آمازون پشتیبانی کنند، محصولات زیادی به صورت انحصاری از الکسا پشتیبانی نمیکنند؛ چراکه هیچ یک از تولیدکنندگان نمیخواهند بازار مشتریانی را که از سرویسهای گوگل استفاده میکنند، از دست بدهند.
از طرف دیگر گوگل حضور چشمگیری در نمایشگاه CES داشته است. حتی در باجههای شرکتهای دیگر هم، کارمندان گوگل با لباسهای مخصوص امکاناتی که دستیار گوگل میتواند برای برنامههای شرکتهای ثالث مهیا کند را توضیح میدادند. همچنین گوگل از سرویس جدید ترجمه همزمانِ دستیار هوشمند خود رونمایی کرد؛ این مترجم به صورت آزمایشی در هتلهایی در لاسوگاس، نیویورک و سانفرانسیسکو در حال بهرهبرداری است.
این در حالی است که حضور آمازون در CES جزئی به نظر میرسید. آمازون فقط دو باجه داشت که هیچکدام آمادگی لازم برای نمایش ویژگیهای سرویسهای جدید آمازون، آمازون کی (Key) و رینگ (Ring)، را نداشتند. البته آمازون معتقد است که مشتریان به کمپینهای تبلیغاتی اهمیتی نمیدهند و این گوگل است که نیاز به این تبلیغات دارد زیرا آمازون جای خود را در خانههای هوشمند تثبیت کرده است و نیازی به اثبات خود ندارد. البته اگر دستیارهای گوگلی که به صورت پیشفرض روی دستگاههای اندروید نصب است را در نظر بگیریم، گوگل ۱۰ برابر آمازون مشتری دارد.
با این اوصاف، پیشگامی آمازون در صنعت خانههای هوشمند مثل گذشته قاطع نیست زیرا شرکتهای ثالث دستیار مورد علاقهای نداشته و محصولات خود را برای هر دو دستار هوشمند آمازون و گوگل طراحی میکنند. بنابراین پیشگامی اولیه آمازون چندان مهم به نظر نمیرسد چراکه رقابت تازه آغاز شده است.
گرچه بستههای بروزرسانی برای امنیت گوشیهای همراه ضروریاند اما ارائهی آنها توسط تولیدکنندگان گوشی، سخت و پرهزینه است. همین امر باعث ایجاد فاصله بین انتشار بروزرسانیهای آندروید شده است؛ بطوریکه اکثر کاربران، آخرین نسخهی آندروید را ماهها دیرتر دریافت میکنند. در حال حاضر تعداد دستگاههای دارای آندروید نوگات، کمی کمتر از 10 درصد است. برای حل این مشکل، گوگل بزرگترین تغییر در معماری سطح پایین سیستم آندروید را معرفی کرد: پروژهی Treble.
پروژهی Treble با جداسازی اینترفیس پیادهسازی سازندگان گوشی از هستهی آندروید، ارائهی بستههای بروزرسانی را بسیار آسان میکند. این طراحی ماژولار، امکان بروزرسانی جداگانهی پلتفورم آندروید و اجزاء مربوط به سازندگان را فراهم میکند. درنتیجه سازندگان گوشی و قطعات (به عنوان مثال کوالکام) لازم نیست بعد از هر بروزرسانی آندورید، کدهای مربوط به چیپها را از نو بنویسند. گرچه بروزرسانیهای سریع، ذاتا باعث افزایش امنیت میشوند اما پروژهی Treble تاثیر عمیقتری روی امنیت دستگاههای آندرویدی خواهد گذاشت. جداسازی اینترفیس سازندگان، کار را برای حملهی کدهای مخرب بسیار سخت میکند.
اینترفیس بین کدهای مشترک دستگاه و اجزاء سختافزاری، بوسیلهی لایه HAL) Hardware Abstraction Layer) انجام میشود. HAL ها معمولا بصورت کتابخانههای مشترک بستهبندی شده و بطور مستقیم در پروسهای که به دسترسی سختافزاری نیاز دارد، بارگذاری میشوند. این بارگذاری، سطح امنیت HAL را به میزان امنیت پروسه کاهش میدهد. به بیان سادهتر، پروسه باید تمام دسترسیهایی که HAL به آن ها نیاز دارد را داشته باشد (مانند دسترسی مستقیم به درایورهای کرنل). همینطور با توجه به اینکه دسترسی هر HAL برابر با دسترسی بقیه پروسه است، وجود چند HAL در یک پروسه باعث میشود HAL ها به سختافزارهایی که نباید، دسترسی داشته باشند. شکل زیر بیانگر این قضیه است.
بعد از پیادهسازی پروژهی Treble، هر HAL به پروسهی جداگانهی مربوط به خود منتقل خواهد شد. درنتیجه، هر HAL فقط به سختافزاری که خودش کنترل میکند دسترسی خواهد داشت. همچنین پروسهها دسترسیهای اضافه به درایورها و سختافزارهای کنترلی HAL ها را از دست میدهند. پروژهی Treble باعث شده تقریبا 20 HAL) HAL های وای فای، سنسورها، GPS و غیره) ازپروسه سیستم خارج شوند. قبل از پروژهی Treble ، نفوذ به هر کدام از این HAL ها به منزلهی دسترسی سیستمی بود اما در آندروید 8، دسترسیهای هر HAL محدود به خودشان است.
برای چندین سال، احراز هویت دو مرحلهای به عنوان مهمترین توصیه در امنیت فضای مجازی اشخاص به شمار میرفت، ابزاری که شرکتهای فناوری اطلاعات دیر به اهمیت آن پی بردند. البته بعد از هک شدن حسابهای توییتر، آمازون و اپل «مت هونان» در سال2012 [1]، جنبشی برای استفاده از این شیوهی احراز هویت شکل گرفت. در آن زمان تعداد اندکی از شرکتهای فناوری اطلاعات احراز هویت دو مرحلهای را ارائه میکردند. در نتیجه، کارزار عمومی بزرگی شکل گرفت که شرکتها را مجبور به پیادهسازی احراز هویت دو مرحلهای برای جلوگیری از سرقت حساب کاربران میکرد.
پنج سال از آن زمان میگذرد و به نظر میرسد پیادهسازی نسبتا گستردهی احراز هویت دو مرحلهای، از توجه به آن کاسته باشد. تقریبا تمام سرویسدهندههای بزرگ فضای مجازی، نوعی از احراز هویت دو مرحلهای را ارائه میکنند اما انواع مختلف آن، تفاوتهای زیادی در نحوهی محافظت از حسابهای افراد دارند. هکرهای مستعد مشکل چندانی برای دورزدن پیادهسازیهای ضعیف احراز هویت دو مرحلهای ندارند؛ چراکه رویکرد شرکتها به این نوع احراز هویت، مانند قرص آسپرین بوده است (راه حلی ساده، یکپارچه و چندمنظوره برای حل اکثر مشکلات امنیتی!) ولی واقعیت پیچیدهتر از این است. گرچه چارچوب کلی این ویژگی هنوز امنیت مناسبی را ارائه میکند اما زمان آن رسیده که نسبت به محدودیتهای آن واقعبین باشیم. در سال 2017، فقط داشتن احراز هویت دو مرحلهای کافی نیست.
در پنج سال گذشته، بیشترین تمرکز کارزار احراز هویت دو مرحلهای، سایت twofactorauth.org بوده است. هدف این سایت رسواسازی سایتها و محصولاتی است که از این نوع احراز هویت استفاده نمیکنند. این سایت با معرفی شرکتهایی که احراز هویت دو مرحلهای ندارند، راه سادهای برای کاربران فراهم میکند تا با ارسال توییت به این شرکتها، از خجالتشان دربیایند. این سایت روزی چند صد هزار توییت برای خوار کردن این شرکتها میفرستد. به نظر میرسد این کارزار جواب داده باشد. تقریبا تمام شرکتها نوعی از احراز هویت دو مرحلهای را ارائه میدهند. شرکتهایی مثل آمازون و بیت باکت هم اخیرا خود را با این احراز هویت وفق دادند اما نتفلیکس شاید بزرگترین شرکتی باشد که هنوز در مقابل آن مقاومت میکند. همینطور تنها سرویسهای ایمیل گمنام مثل میگادو وmail.com احراز هویت دو مرحلهای ندارند. بخشهایی مثل شرکتهای هواپیمایی و بانکها هم ممکن است از قافله عقب باشند اما اکثر شرکتها پیام کاربران را گرفتهاند: «اگر احراز هویت دو مرحلهای ندارید، از سرویس دیگری استفاده میکنیم».
اما پیروزی کمی آشفتهتر از آنیست که کسی گمان میکرد. دهها نوع مختلف از احراز هویت دو مرحلهای وجود دارد که امکان لیست کردن همهی آنها در این مطلب نیست. بعضی از سرویسها از پیامک برای ارسال کد تایید استفاده میکنند، برخی هم از طریق ایمیل.سرویسهایی هم هستند که از روشهای سختتری مثل برنامهی احراز هویت گوگل (Google Auth) استفاده میکنند. همچنین با پرداخت 18 دلار میتوانید درایو usbمخصوصی خریداری کنید که به عنوان مرحلهی دوم احراز هویت شما استفاده شود؛ این شیوه بوسیلهی اکثر سرویسها پشتیبانی شده و از امنترین روشهای موجود میباشد (تا زمانی که usb را گم نکنید!). جدای از روشهای سختافزاری، اکثر سرویسها رمز دوم را از طریق بسترهای مخابراتی ارسال میکنند. با توجه به امکان رهگیری (Intercept) پیامها در میان راه، بعضی از این روشها امنیت پایینتری نسبت به بقیه روشها دارند. اما آنقدر تعداد این روشها زیاد است که حتی کاربران ماهر از روشهای امنتر اطلاع ندارند چه رسد به مشتریان عادی.
از همان ابتدا وعدهی امنیت احراز هویت دو مرحلهای در سراشیبی قرار گرفت. در سال2014 هکرها با هدف قرار دادن سرویسهای خدماتی بیت کوین، از طریق رهگیری توکن ها و استفاده از شیوههای بازیابی حساب، راهی برای دورزدن مرحله دوم احراز هویت پیدا کردند. در بعضی موارد هکرها مستقیما حساب اپراتور تلفن همراه را هدف قرار داده و با فعالسازی سرویس هدایت تماس (Call Forwarding) توانستند رمز دوم را دریافت کنند.این حملهها معضلی جدی برای کاربران بیت کوین به وجود آورد چراکه تراکنشهای چند هزار دلاری، هکرها را ترغیب میکرد تا از روشهای معمول فراتر بروند. همین ماه گذشته یکی از کاربران بیت کوین 8 هزار دلار از طریق هک شدن حساب ورایزن (Verizon) از دست داد [2]. این حملات فقط برای کاربران ماهر مشکل ساز نیست؛ ماه گذشته سایت The Intercept سندی منتشر کرد که نشان میداد هکرهای روس نقشهای برای هدف قرار دادن حسابهای دو مرحلهای مقامات انتخاباتی آمریکا داشتند. در نمونهای دیگر، بنیانگذار کریپتوکت اعلام کرد که ثبت یک دستگاه آلوده به نرمافزار مخرب، به هکرها اجازهی شکستن احراز هویت دو مرحلهای را میدهد.
اکثر این مشکلات مربوط به خود احراز هویت دو مرحلهای نیست، بلکه مربوط به هر چیزی است که احراز هویت دو مرحلهای به آن وابسته است. به عنوان نمونه دورزدن روال بازیابی حساب کاربری، نفوذ به تجهیزات سختافزاری و زیرساختهای حامل از نقاط ضعف این احراز هویت هستند. زیرساختهای مخابراتی بزرگترین نقطه ضعف هستند. در صورت لو رفتن حساب کاربری اپراتورهای تلفن همراه، ربودن تماس یا پیامکهای دریافتی افراد کار چندان دشواری نیست. برای نرمافزارهایی مثل سیگنال که فقط به شماره موبایل افراد وابستهاند، دسترسی به حساب اپراتور میتواند به منزلهی دسترسی به حساب نرمافزار سیگنال باشد. در عین حال، اپراتورها جزء کندترین شرکتها در بکارگیری روشهای احراز هویت امن هستند؛ بطوریکه یا از پین کد استفاده میکنند که براحتی قابل دور زدن است یا با سولات امنیتی پیشپا افتاده، حساب کاربری افراد را در اختیار هکرها میگذارند.
در همین حال، خاتمه دادن به روشهای احراز هویت دو مرحلهای که ناامن بودنشان محرز شده است، کار دشواری است. سال گذشته سازمان ملی استاندارد و فناوری آمریکا (NIST)به علت خطر رهگیری و اسپوفینگ، پشتیبانی خود از احراز هویت پیامکی را قطع کرد؛ اما شرکتهای فناوری در واکنش به آن بسیار کند بودند چراکه در عین امنیت پایین، استفاده از آن آسان است و تا زمانی که اسمش احراز هویت دو مرحلهای باشد، اکثر کاربران تفاوتش با بقیه روشها را نمیفهمند. همینطور رویکرد اکثر شرکتها در قبال احراز هویت دو مرحلهای، فقط برای گذاشتن علامت تیک جلوی چک لیست امنیتی شرکتشان است.
عجله برای پیادهسازی احراز هویت دو مرحلهای، علاوه بر مشکلات امنیتی، باعث سردرگمی کاربران هم شده است. بعد از جنجال سیستم آیکلود اپل که باعث لو رفتن عکسهای خصوصی بسیاری از کاربران شد، اپل سیاست جدیدی معرفی کرد که در آن فراموش کردن رمز عبور و «کلید بازیابی حساب» ممکن است منجر به قفل دائمی حساب کاربر شود. به عبارت دیگر سختتر شدن سیاست ها و روشهای احراز هویت ممکن است باعث شود کاربران عطای احراز هویت دو مرحلهای را به لقایش ببخشند و از همان روشهای معمول رمز عبور استفاده کنند.
گوگل از معدود شرکتهایی است که به مشتریان سازمانیش اجازه میدهد تا استفاده از توکنهای ناامن مثل SMS را به کل مسدود کنند. در این سرویس، گوگل به مدیر فناوری اطلاعات سازمان این اجازه را میدهد تا همهی کاربران سازمان را مجبور به استفاده از یک روش لاگین مخصوص بکند. البته این روش بیشتر برای سازمانهایی کاربرد دارد که یک مدیر وظیفهی سیاستگذاری امنیت و آموزش کاربران را بر عهده دارد. معلوم نیست که چگونه میتوان چنین سیاست سختی را برای میلیاردها کاربر جیمیل پیادهسازی کرد.حقیقتی که دربارهی اکثر کاربران وجود دارد این است که امنیتی بیشتر از آن چیزی که فکر میکنند به آن نیاز دارند را نمیپذیرند. بنابراین سرویسدهندگان باید سیاستی را برگزینند که دارای تعادل مناسب بین میزان امنیت و کاربرد آسان باشد.
هیچ کدام از این مطالب به معنی بیهوده بودن احراز هویت دو مرحلهای نیست، بلکه نشان میدهد که این روش آن داروی همهکارهای که متخصصین فکرش را میکردند نیست. گرچه اضافه کردن یک کد عبور دوم باعث سختتر شدن روال لاگین میشود، اما هکرها همیشه رویکردی جدید برای حملات خود پیدا میکنند. درواقع نقاط ضعفی مثل بستر مخابراتی و بخش خدمات مشتری سازمانها هستند که تعیینکنندهی میزان امنیت حساب کاربران هستند. همین باعث میشود تا انتخاب امنترین برنامه کاربردی به امر بسیار دشواری تبدیل شود زیرا کشف این نقاط ضعف با بررسی ظاهری، کار غیرممکنی است. به همین دلیل پیشگامان امنیت سایبری باید از بحث احراز هویت دو مرحلهای فراتر رفته و روی تشخیص تهدید تمرکز کنند. ارزیابی اطلاعات محیطی مثل «رفتار کاربر در صفحهی لاگین» یا«اطلاعات دریافتی از دستگاه یا مرورگر کاربر» میتواند بهترین رویکرد برای تشخیص رفتارهای مشکوک هنگام ورود به حساب کاربری باشد. لذا در آینده، علاوه بر جلوگیری از نفوذ، باید روی تشخیص تهدید هم تمرکز ویژهای کرد؛ به خصوص شرکتهای بزرگی مثل فیسبوک و گوگل که علاوه بر دسترسی به اقیانوسی از اطلاعات، بخشهای بزرگی از سازمانشان را به یادگیری ماشین و هوش مصنوعی اختصاص دادهاند.
نتیجهای که در درازمدت حاصل خواهد شد همان چیزیست که در گذشته داشتیم! مدیران سازمانی کاربران را خلع سلاح خواهند کرد و امنیت اطلاعات به متخصیص سپرده خواهد شد. این الزاما خبر بدی نیست زیرا تشخیص تهدید نیز همانند احراز هویت دو مرحلهای، حسابهای کاربران را امنتر خواهد کرد با این تفاوت که این سیستم برای کاربران ملموس نبوده و تشخیص امنیت سرویسی که از آن استفاده میکنند را سختتر میکند. همین باعث میشود تا کاربران در موقعیت دشواری قرار بگیرند. البته هنوز هم استفاده از احراز هویت دو مرحلهای، پیشنهاد خوبی به کاربران است اما کافی نیست.
1 https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/
2 https://medium.com/@CodyBrown/how-to-lose-8k-worth-of-bitcoin-in-15-minutes-with-verizon-and-coinbase-com-ba75fb8d0bac
