با احراز هویت چند عاملی از خود محافظت کنید – مجله بیت کوین
این یک سرمقاله نظری است توسط هایدی پورتر، یک کارآفرین با 35 سال در فناوری. امنیت کاربر در مقالههای قبلی در مورد امنیت و نقض دادهها، در مورد نیاز به احراز هویت چند عاملی (MFA) در حسابهای بیتکوین و هر حساب دیگری که میخواهید از آن محافظت کنید صحبت کردیم. هک ها در جایی که
این یک سرمقاله نظری است توسط هایدی پورتر، یک کارآفرین با 35 سال در فناوری.
امنیت کاربر
در مقالههای قبلی در مورد امنیت و نقض دادهها، در مورد نیاز به احراز هویت چند عاملی (MFA) در حسابهای بیتکوین و هر حساب دیگری که میخواهید از آن محافظت کنید صحبت کردیم.
هک ها در جایی که حساب شما در معرض خطر قرار می گیرد یا افراد به یک سایت شرور فرستاده می شوند و به طور تصادفی بدافزار را به جای نرم افزار تأیید شده دانلود می کنند، ادامه خواهد داشت.
این اولین مقاله از یک سری مقالات در مورد امنیت کاربر انعطاف پذیرتر برای حساب ها، گره ها و برنامه های شما خواهد بود. همچنین گزینه های ایمیل بهتر، گذرواژه های بهتر و استفاده بهتر از شبکه خصوصی مجازی (VPN) را پوشش خواهیم داد.
واقعیت این است که شما هرگز در هیچ یک از تراکنش های مالی آنلاین خود در هیچ سیستمی کاملاً ایمن نخواهید بود. با این حال، میتوانید مجموعه ابزار انعطافپذیرتر و بهترین روشها را برای امنیت قویتر پیادهسازی کنید.
احراز هویت چند عاملی چیست و چرا به من اهمیت می دهد؟
به گفته آژانس امنیت سایبری و امنیت زیرساخت، “احراز هویت چند عاملی یک رویکرد لایه ای برای ایمن سازی داده ها و برنامه ها است که در آن یک سیستم از کاربر می خواهد ترکیبی از دو یا چند اعتبار را برای تأیید هویت کاربر برای ورود به سیستم ارائه دهد.”
هنگامی که به یک حساب آنلاین وارد می شویم، اغلب قصد داریم با استفاده از لایه های اضافی تأیید – یا قفل، یک مهاجم یا هکر را خنثی کنیم.
در مقایسه با خانه خودتان، قفل های متعدد امنیت بیشتری را به شما می دهند. اگر یک شکل از احراز هویت خوب است، مانند یک رمز عبور، آنگاه دو فرم (معروف به MFA) می توانند بهتر باشند.
توجه داشته باشید که احراز هویت بیومتریک احراز هویت تک عاملی است. این فقط بیومتریک هر روشی است که استفاده می کنید: انگشت شست، عنبیه، تشخیص چهره، و غیره. اگر از یک کلید سخت افزاری بدون عبارت عبور استفاده می کنید، این نیز احراز هویت تک عاملی است.
کجا باید از MFA و چه نوع MFA استفاده کنم؟
با MFA، شما باید حداقل دو مکانیسم احراز هویت داشته باشید.
حداقل، باید MFA را برای موارد زیر تنظیم کنید:
- صرافی های بیت کوین (اما پس از خرید در اسرع وقت وجوه خود را از آنها خارج کنید).
- گره های بیت کوین و ماینرها.
- کیف پول بیت کوین و لایتنینگ.
- برنامه های لایتنینگ، مانند RTL یا Thunderhub.
- ارائه دهندگان ابر، مانند حساب های ولتاژ.
توجه: هر حساب کاربری یا برنامه باید از نوع MFA مورد استفاده شما پشتیبانی کند و باید MFA را با حساب یا برنامه ثبت کنید.
ارائه دهندگان MFA اغلب گزینه های کمتر ایمن مانند:
- پیامک متنی.
- رمز یکبار مصرف
- احراز هویت مبتنی بر فشار موبایل (اگر به درستی مدیریت شود ایمن تر است).
ارائه دهندگان MFA گاهی اوقات گزینه های امن تری مانند:
- برنامه های احراز هویت
- کلیدهای سخت افزاری
- کارت های هوشمند.
حدس بزنید بیشتر موسسات مالی قدیمی از چه نوع MFA استفاده می کنند؟ این معمولا یکی از گزینه های کمتر امن MFA است. با این حال، برنامههای احراز هویت و کلیدهای سختافزاری برای MFA همه یکسان ایجاد نمیشوند.
اطلاعات غلط وزارت امور خارجه و بازاریابی
ابتدا اجازه دهید در مورد بازاریابی وزارت امور خارجه صحبت کنیم. اگر ارائهدهنده MFA خود را غیرقابل هک یا 99 درصد غیرقابل هک میداند، آنها BS چند عاملی را پخش میکنند و شما باید ارائهدهنده دیگری پیدا کنید. همه MFA قابل هک هستند. هدف این است که یک MFA کمتر قابل هک، مقاوم تر در برابر فیشینگ و انعطاف پذیرتر داشته باشیم.
ثبت شماره تلفن، MFA را در برابر تعویض سیم کارت آسیب پذیر می کند. اگر MFA شما مکانیسم پشتیبان خوبی ندارد، آن گزینه MFA در معرض از دست دادن است.
برخی از MFA بیشتر قابل هک هستند.
برخی از MFA قابل ردیابی تر هستند.
برخی از MFA کم و بیش قابلیت پشتیبان گیری دارند.
برخی از MFA در برخی از محیط ها کم و بیش قابل دسترسی هستند.
وزارت امور خارجه کمتر قابل هک و ردیابی
احراز هویت چند عاملی با برنامه احراز هویت، کارت هوشمند یا کلید سخت افزاری مانند Yubikey با امنیت بیشتری انجام می شود.
بنابراین اگر یک MFA مبتنی بر برنامه یا سخت افزار دارید، خوب هستید، درست است؟ خب نه. حتی اگر از MFA مبتنی بر برنامه یا سخت افزار استفاده می کنید، همه برنامه های احراز هویت و دستگاه های سخت افزاری یکسان ایجاد نمی شوند. بیایید به برخی از محبوب ترین برنامه های احراز هویت و برخی از آسیب پذیری های آنها با ردیابی، هک و پشتیبان گیری نگاه کنیم.
- Twilio Authy به شماره تلفن شما نیاز دارد، که میتواند شما را از طریق تعویض سیمکارت به خطر بیاندازد. راه اندازی اولیه پیامک است.
- Microsoft Authenticator به شماره تلفن نیاز ندارد، اما نمیتواند به Android منتقل شود زیرا در iCloud پشتیبانگیری میشود.
- Google Authenticator همچنین به شماره تلفن نیاز ندارد، اما پشتیبان آنلاین ندارد و فقط میتواند از یک تلفن به تلفن دیگر منتقل شود.
علاوه بر این، برخی از این برنامهها انعطافپذیری کمتری دارند و در برابر حملات فیشینگ یا انسان در وسط (MITM) باز هستند.
چگونه حساب ها و امور مالی شما می تواند به خطر بیفتد
راجر آ. گریمز، کارشناس امنیت سایبری و نویسنده «هک کردن احراز هویت چند عاملی»، «مردم باید هر زمان که میتوانند از MFA مقاوم در برابر فیشینگ برای محافظت از دادهها و سیستمهای ارزشمند استفاده کنند»
درست مانند بسیاری از شرکتهای مالی و دادهای، شرکتهای بیتکوین هدف چندین نقض دادهها بودهاند که مهاجمان آدرسهای ایمیل و شماره تلفن مشتریان را به دست آوردهاند.
حتی بدون این نقضها، پیدا کردن آدرسهای ایمیل و شماره تلفن افراد به خصوص سخت نیست (همانطور که در مقالات قبلی ذکر شد، بهترین روش استفاده از یک ایمیل و شماره تلفن جداگانه برای حسابهای بیتکوین خود است).
با این ایمیلها، مهاجمان میتوانند حملات فیشینگ را انجام دهند و اعتبار ورود به سیستم را رهگیری کنند: هم رمز عبور و هم احراز هویت چند مرحلهای که شما به عنوان عامل احراز هویت دوم برای هر یک از حسابهای خود استفاده کردهاید.
بیایید نگاهی به یک فرآیند معمولی حمله فیشینگ MITM بیندازیم:
- شما روی یک پیوند کلیک میکنید (یا یک کد QR را اسکن میکنید) و به سایتی فرستاده میشوید که به نظر بسیار شبیه به سایت قانونی است که میخواهید به آن دسترسی داشته باشید.
- شما اعتبار ورود خود را تایپ می کنید و سپس کد MFA از شما خواسته می شود که آن را تایپ می کنید.
- سپس مهاجم رمز جلسه دسترسی را برای احراز هویت موفقیت آمیز به سایت قانونی ضبط می کند. حتی ممکن است به سایت معتبر هدایت شوید و هرگز ندانید که هک شده اید (توجه داشته باشید که رمز جلسه معمولاً فقط برای آن یک جلسه مناسب است).
- سپس مهاجم به حساب شما دسترسی دارد.
به عنوان یک کنار، مطمئن شوید که MFA را به برداشت در کیف پول یا صرافی متصل کرده اید. راحتی دشمن امنیت است.
MFA مقاوم در برابر فیشینگ
برای اینکه در برابر فیشینگ مقاوم باشید، MFA شما باید یک راه حل Authenticator Assurance Level 3 (AAL3) باشد. AAL3 چندین الزام جدید را فراتر از AAL2 معرفی می کند که مهم ترین آنها استفاده از یک احراز هویت مبتنی بر سخت افزار است. چندین ویژگی دیگر برای احراز هویت مورد نیاز است:
- مقاومت جعل هویت تأییدکننده.
- مقاومت در برابر سازش تایید کننده.
- هدف احراز هویت
Fast Identity Online 2 (FIDO2) و FIDO U2F راه حل های AAL3 هستند. پرداختن به جزئیات در مورد استانداردهای مختلف FIDO از حوصله این مقاله خارج است، اما می توانید کمی در مورد آن در «راهنمای کامل شما برای FIDO، FIDO2 و WebAuthn» مطالعه کنید. راجر گریمز در مارس 2022 در مقاله LinkedIn خود “فهرست من از وزارت امور خارجه خوب قوی”، ارائه دهندگان MFA در سطح AAL3 را توصیه کرد.
کلیدهای سخت افزاری MFA و کارت های هوشمند
کلیدهای سخت افزاری، مانند Yubikey، اشکال کمتر قابل هک MFA هستند. به جای کد تولید شده ای که وارد می کنید، دکمه ای را روی کلید سخت افزاری خود فشار می دهید تا احراز هویت شود. کلید سخت افزاری یک کد منحصر به فرد دارد که برای تولید کدهایی برای تایید هویت شما به عنوان عامل دوم احراز هویت استفاده می شود.
دو اخطار برای کلیدهای سخت افزاری وجود دارد:
- برنامه شما باید از کلیدهای سخت افزاری پشتیبانی کند.
- می توانید کلید سخت افزاری خود را گم کنید یا به آن آسیب بزنید. بسیاری از سرویس ها به شما اجازه می دهند بیش از یک کلید سخت افزاری را پیکربندی کنید. اگر استفاده از یکی را از دست دادید، می توانید از یدک استفاده کنید.
کارت های هوشمند شکل دیگری از MFA با مقاومت فیشینگ مشابه هستند. ما در اینجا وارد جزئیات نخواهیم شد زیرا به نظر می رسد کمتر برای بیت کوین یا MFA مربوط به لایتنینگ استفاده شود.
موبایل: فضاهای محدود به دستگاه های سخت افزاری نیاز دارند
یکی دیگر از ملاحظات احراز هویت چند عاملی این است که آیا در موقعیتی قرار می گیرید که نیاز به MFA داشته باشید و نتوانید از تلفن همراه یا تلفن هوشمند استفاده کنید.
دو دلیل بزرگ وجود دارد که ممکن است این اتفاق برای کاربران بیت کوین بیفتد:
- پوشش سلولی کم یا بدون پوشش
- شما گوشی هوشمند ندارید یا نمی توانید از آن استفاده کنید
ممکن است محدودیت های دیگری برای استفاده از تلفن همراه به دلیل محیط های کاری با مشتری یا ترجیحات شخصی وجود داشته باشد. مراکز تماس، مدارس K-12 یا محیطهای با امنیت بالا مانند آزمایشگاههای تحقیق و توسعه، برخی از مناطقی هستند که تلفنها در آنها محدودیت دارند و بنابراین نمیتوانید از برنامه احراز هویت تلفن خود استفاده کنید.
در این موارد خاص که از رایانه استفاده می کنید و گوشی هوشمند ندارید، به کارت هوشمند یا کلید سخت افزاری برای MFA نیاز خواهید داشت. همچنین برای پشتیبانی از این گزینه های سخت افزاری به برنامه خود نیاز دارید.
همچنین، اگر نمیتوانید در محل کار از تلفن همراه خود استفاده کنید، چگونه میتوانید در زمان استراحت، صندلیها را در دستشویی روی هم بچینید؟
به سوی وزارت امور خارجه انعطاف پذیرتر
MFA می تواند هک شود و حساب های شما به خطر بیفتد. با این حال، میتوانید با MFA انعطافپذیرتر و مقاومتر در برابر فیشینگ از خود محافظت کنید. همچنین میتوانید MFA را انتخاب کنید که به شماره تلفن شما مرتبط نباشد و دارای مکانیسم پشتیبان کافی یا قابلیت داشتن کلید یدکی باشد.
دفاع مداوم در برابر حملات سایبری یک بازی ادامه دار گربه و موش یا ضربت خال است. هدف شما باید کمتر هک شدن و کمتر قابل ردیابی باشد.
منابع اضافی:
این یک پست مهمان توسط هایدی پورتر است. نظرات بیان شده کاملاً متعلق به خود آنها است و لزوماً نظرات BTC Inc. یا مجله Bitcoin را منعکس نمی کند.
 آموزش مجازی مدیریت عالی حرفه ای کسب و کار Post DBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |  آموزش مجازی مدیریت عالی و حرفه ای کسب و کار DBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |  آموزش مجازی مدیریت کسب و کار MBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |
 مدیریت حرفه ای کافی شاپ |  حقوقدان خبره |  سرآشپز حرفه ای |
 آموزش مجازی تعمیرات موبایل |  آموزش مجازی ICDL مهارت های رایانه کار درجه یک و دو |  آموزش مجازی کارشناس معاملات املاک_ مشاور املاک |
برچسب ها :2fa ، احراز ، احراز هویت ، از ، امنیت ، با ، بیت ، چند ، خود ، عاملی ، فنی ، کنید ، کوین ، مجله ، محافظت ، نظر ، هویت ، یوبیکو
- نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
- نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
- نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.
ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : ۰