خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

کلیدهای عبور برای ساده‌سازی ورودها طراحی شده‌اند، اما من هرگز این‌قدر گیج نشده‌ام.

ارشیا یوسفی ادیب ۱۶ آذر, ۱۴۰۴ 6 min read

در طول چند هفتهٔ اخیر، زمان صرف کرده‌ام تا امنیت حساب‌های آنلاین خود را ارتقا دهم. این کار با تغییر برنامه‌ای که کدهای تأیید دو مرحله‌ای را در آن نگه می‌دارم، آغاز شد؛ در حین این کار، تصمیم گرفتم تا به هر چه بیشتر حساب‌ها کلیدهای عبور اضافه کنم.

در طی چند هفتهٔ گذشته، زمان صرف کردم تا امنیت حساب‌های آنلاین خود را ارتقا دهم. این کار با تغییر برنامه‌ای که کدهای احراز هویت دو مرحله‌ای را در آن نگه می‌دارم آغاز شد؛ در همین حین تصمیم گرفتم کلیدهای عبور را برای هر چه تعداد بیشتری از حساب‌ها اضافه کنم.

من ایدهٔ کلیدهای عبور را دوست دارم و خوشحالم که این گزینه موجود است. اما وقتی که از میان ده‌ها حساب پیش می‌رفتیم، تعجب می‌کردم چرا چیزی که برای ساده‌سازی پیچیدگی‌های رمزهای عبور طراحی شده است، به گونه‌ای ناسازگار پیاده‌سازی شده است.

جهش برای ارتقای تمام امنیت حساب‌های من

در سپتامبر سال گذشته، در مورد اینکه چگونه برنامهٔ احراز هویت خود را از Authy به 1Password تغییر می‌دادم، نوشتم. چون Authy به شما اجازه نمی‌دهد تا اسرار 2FA خود را صادر کنید، این فرآیند شامل مراجعه دستی به هر حساب برای غیرفعال و دوباره فعال کردن 2FA بود.

فهرست سرویس‌های Authy (03a)ویرایش سرویس Authy (03b)فهرست احرازکننده‌ها در Proton Authenticator با علائم هشدار در مقابل Authy و Microsoft Authenticator.

در حین مرور تنظیمات هر حساب، اطمینان حاصل کردم که تمام اطلاعات امنیتی دیگرم به‌روز باشد. این شامل تأیید آدرس ایمیل و شماره تلفن، داشتن ایمیل بازیابی پشتیبان تنظیم‌شده و ایجاد یک کلید عبور بود.

همان‌طور که حتماً متوجه شده‌اید، هر جنبه‌ای از امنیت حساب در پروفایل‌های آنلاین متفاوت است. برخی اجازه می‌دهند چندین ایمیل پشتیبان اضافه کنید، در حالی که دیگران فقط یک ایمیل می‌پذیرند. برخی از شماره تلفن شما به عنوان روش بازیابی پشتیبان استفاده می‌کنند؛ در حالی که دیگران این شماره را فقط برای ارتباطات حساب به کار می‌برند.

گزینه‌های امنیتی حساب Walmart (01)

از آنجا که کلیدهای عبور ابزار جدیدتری هستند، انتظار داشتم که به‌صورت یکنواخت‌تری در سرویس‌ها عمل کنند. اما وقتی آن‌ها را در هر جایی که می‌توانستم اضافه کردم، متوجه شدم که این انتظار برآورده نشده است.

مطلب مرتبط:   دلیل ساده ای که گوگل فکر می کند همه باید از تأیید صحت 2 مرحله ای استفاده کنند

کلیدهای عبور یک هدف واحد ندارند

هدف اعلام‌شده کلیدهای عبور این است که یک شکل مقاوم‌تر در برابر فیشینگ برای احراز هویت باشند. لازم نیست برای هر وب‌سایتی یک کلید به خاطر بسپارید، و نمی‌توانید به‌صورت تصادفی کلید عبور را به صفحهٔ تقلبی بدهید. بنابراین انتظار می‌رود کلیدهای عبور جایگزین رمزهای عبور در بسیاری از سایت‌ها شوند.

با این حال، این چیزی نیست که در بسیاری از موارد رخ داده است. در عوض، کلیدهای عبور می‌توانند به‌عنوان جایگزین رمز عبور، گزینهٔ اضافی، یا حتی روشی برای احراز هویت دو عاملی (2FA) عمل کنند.

بیایید به برخی مثال‌ها نگاه کنیم. وقتی یک کلید عبور را به حساب PlayStation/Sony خود اضافه می‌کنید، رمز عبور و 2FA شما را جایگزین می‌کند. برای افزودن دوباره رمز عبور باید کلید عبور را غیرفعال کنید.

این منطقی است، زیرا استفاده از کلید عبور کار رمز عبور و 2FA را در یک مرحله ترکیب می‌کند. سونی نشان می‌دهد که هنگام استفاده از معادل مدرن خود، نیازی به گزینه‌های قدیمی ندارید؛ که باعث می‌شود عجیب باشد که سؤال امنیتی (که روشی بسیار ضعیف‌تر برای احراز هویت است) همچنان هنگام استفاده از کلید عبور فعال باشد.

اما این برای تمام حساب‌ها صادق نیست (در واقع، تعداد کمی این کار را انجام می‌دهند). در حساب گوگل خود می‌توانید گزینهٔ «رد شدن از رمز عبور در صورت امکان» را فعال کنید، اما همچنان می‌توانید به‌جای کلید عبور با رمز عبور وارد شوید.

در همین حال، سرویس احراز هویت ID.me از کلیدهای عبور پشتیبانی می‌کند، اما فقط به‌عنوان عامل دوم. همچنان باید برای شروع احراز هویت رمز عبور خود را وارد کنید، سپس می‌توانید به‌جای کد برنامهٔ 2FA از کلید عبور استفاده کنید.

در حین ورود به حساب‌ها برای گرفتن اسکرین‌شات‌ها، Battle.net اصلاً از من کلید عبور نخواست. مجبور شدم رمز عبور را وارد کنم و از برنامهٔ موبایل برای 2FA استفاده کنم. چرا اجازه دادید کلید عبور اضافه کنید اگر نمی‌توانید از راحتی آن بهره‌مند شوید؟

مطلب مرتبط:   آیا می دانستید که می توانید از Microsoft Authenticator به عنوان مدیر رمز عبور استفاده کنید؟

کلیدهای عبور به‌همراه رمزها بهتر از رمزهای تنها نیستند

رویکرد گوگل رایج‌ترین پیاده‌سازی است: استفاده از کلیدهای عبور به‌عنوان روش ترجیحی، اما امکان استفاده از رمز عبور به‌عنوان نسخهٔ پشتیبان در مواقع نیاز را فراهم می‌کند. این کار راحت است زیرا افراد به کلیدهای عبور عادت می‌کنند؛ در ابتدای کار، احتمال بیشتری دارد که نحوهٔ کارکرد آن‌ها را اشتباه درک کنید و به‌صورت تصادفی خود را قفل کنید.

اما عیب این است که وقتی هر دو کلید عبور و رمز عبور فعال هستند، امنیت حساب شما فقط به اندازهٔ قوت رمز عبورتان است. این یک کلیشهٔ امنیتی است که حساب شما تنها به‌قدری قوی است که ضعیف‌ترین پیوند آن باشد.

حساب Google – انتخاب روش ورود (04)

با رونق کلیدهای عبور، انتظار دارم که حساب‌های بیشتری پشتیبانی از رمزهای عبور را غیرفعال کنند. تا آن زمان، امنیت پایه‌ای حساب‌ها واقعاً ارتقا نخواهد یافت.

2FA نیز ناسازگار است

کلیدهای عبور تنها عنصر این مسیر امنیتی نیستند که من ناسازگاری‌های ناامیدکننده‌ای در آن یافته‌ام. روش مورد پسند من برای 2FA، کدهای TOTP (رمز عبور یکبار مصرف مبتنی بر زمان) در برنامهٔ احراز هویت است. اکثر سرویس‌ها اجازه می‌دهند از هر برنامهٔ 2FA که می‌خواهید استفاده کنید، با اسکن کد QR یا وارد کردن یک راز.

من استثنایی به این نکته پیدا کردم: ID.me (که آن را به دو روش به یک ناهماهنگی امنیتی تبدیل می‌کند). این سرویس برنامهٔ احراز هویت مخصوص خود به نام ID.me Authenticator دارد و نمی‌توانید از گزینهٔ دیگری استفاده کنید. هر دو 1Password و Proton هنگام اسکن کد QR به من خطایی دادند و نتوانستم راز را به‌صورت دستی وارد کنم.

کد OTP نامعتبر در ID.me (05)

من در سال 2022 با استفاده از Authy، 2FA را به حساب ID.me خود اضافه کردم، بنابراین این تغییر باید در چند سال اخیر رخ داده باشد. از آن‌جا که سعی می‌کردم تعداد برنامه‌های مورد استفاده‌ام را کاهش دهم، خوشحال نیستم که برای یک وب‌سایت دیگر مجبور شوم برنامه‌ای دیگر به تلفن‌ام اضافه کنم (که نمی‌توانم آن را روی کامپیوتر دسترسی داشته باشم).

مطلب مرتبط:   چگونه می توان تأیید هویت دو عاملی را در حساب Fitbit خود فعال کرد

متوجه شدم که گوگل مانع استفاده از پیامک برای 2FA می‌شود وقتی روش‌های امن‌تری (مانند برنامهٔ احراز هویت) به حساب شما اضافه شده باشد. با توجه به اینکه پیامک و ایمیل ضعیف‌ترین روش‌های 2FA هستند، تشویق به دوری از آن‌ها عاقلانه است.

اما این هم در تمام حساب‌ها یکسان نیست—برخی سرویس‌ها نیاز دارند که 2FA پیامکی را به‌عنوان پشتیبان فعال کنید، برخی دیگر اجازه می‌دهند، و برخی هیچ‌وقت آن را پشتیبانی نمی‌کنند. هرچند این موضوع باعث می‌شود احساس امنیت بیشتری نسبت به حفاظت حساب داشته باشیم، اما می‌توان گفت 2FA یکی از بدترین موانع فنی است که تحمل می‌کنیم.

یک نکتهٔ دیگر که همیشه مرا سردرگم می‌کند این است که برخی وب‌سایت‌ها (مانند مایکروسافت) قبل از ارسال کد از شما شماره تلفن یا آدرس ایمیل را تأیید می‌کنند. چون تقریباً همهٔ سایت‌های دیگر فوراً کد را می‌فرستند، من این درخواست را نادیده می‌گیرم و یک‌یک دو دقیقه انتظار می‌کشم و تعجب می‌کنم چرا کد را دریافت نمی‌کنم.

امنیت قوی‌تر همیشه سرراست نیست

پس از کارهای خسته‌کننده زیاد، از وضعیت امنیت حسابم راضی هستم. کلیدهای عبور (معمولاً) به‌صورت واضح پیاده‌سازی می‌شوند و تقریباً همهٔ سایت‌ها از برنامه‌های احراز هویت 2FA پشتیبانی می‌کنند. این عدم‌ثبات را بیان می‌کنم چون اگر من به‌عنوان فردی که در فناوری کار می‌کنم این را متوجه شدم، مطمئناً افراد کم‌تجربه‌تر نیز متوجه خواهند شد.

این نکات گیج‌کننده به‌تدریج جمع می‌شوند، به‌خصوص وقتی خطاها می‌توانند باعث قفل شدن حساب‌ها شوند. اگر کلیدهای عبور می‌خواهند جایگزین رمزهای عبور شوند، باید به‌صورت واضح و یکنواخت پیاده‌سازی شوند تا همه بتوانند از آن‌ها بهره‌مند شوند.

Tags: