خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

لطفاً از مجبور کردن من به استفاده از لینک‌های جادویی برای ورود بازداری.

ارشیا یوسفی ادیب ۱۳ دی, ۱۴۰۴ 4 min read

ساختن امنیت در هر تصمیمی که به‌صورت آنلاین می‌گیرید، همیشه آسان نیست و در برخی موارد، وب‌سایت‌ها و سرویس‌ها این مشکل را از میان برده و تا حد زیادی حل کرده‌اند.

ادغام امنیت در هر تصمیمی که به‌صورت آنلاین می‌گیرید، همیشه آسان نیست و در برخی موارد، وب‌سایت‌ها و سرویس‌ها این مشکل را حذف کرده و به‌طور عمده آن را حل کرده‌اند.

لینک‌های جادویی، همان‌طور که می‌نامند، قرار است ورود به حساب‌هایتان را بسیار راحت‌تر کنند. به‌جای وارد کردن رمز عبور، روی «ارسال لینک ورود» کلیک می‌کنید، صندوق‌ورودی‌تان را باز می‌کنید، ایمیل را لمس می‌کنید و مستقیماً وارد می‌شوید. این ساده، مدرن و ایمن به‌نظر می‌رسد.

اما من همچنان با مشکلاتی در لینک‌های جادویی مواجه می‌شوم، و علاوه بر این، همیشه نمی‌خواهم برای ورود به برنامه‌ها و سرویس‌ها برنامهٔ دیگری را باز کنم، که در واقع ورود را طولانی‌تر می‌کند و سرویس دیگری را به فرایند اضافه می‌کند.

به‌طور خلاصه، دیگر ادامه نمی‌دهم.

در واقع من رمزهای عبور را بسیار دوست دارم

ایدهٔ لینک‌های جادویی به‌راحتی قابل درک است و می‌فهمم چرا مردم ترجیح می‌دهند از آن‌ها استفاده کنند. نیازی به به‌خاطر سپردن رمز عبور نیست، فرایندهای بازیابی ندارند، اشتباهات تایپی رخ نمی‌دهد و اعتبارهای ضعیف یا تکراری کمتر می‌گردند.

اما بیشتر اوقات این به این معناست که باید کارهایی را که انجام می‌دادم متوقف کنم، برنامه دیگری را باز کنم، صبر کنم تا پیام برسد، روی لینک کلیک کنم و امیدوار باشم در مرورگر صحیح باز شود. در یک رایانهٔ شخصی، این معمولاً به معنای مدیریت چندین تب و حساب کاربری است. در موبایل، ممکن است کاملاً در مرورگر اشتباه باز شود.

مطلب مرتبط:   10 بهترین ابزار رایگان فایروال لینوکس

این قبل از اینکه به برخی از مشکلات دیگر ایمیل‌های ورود با لینک جادویی بپردازید:

  • ارسال به پوشهٔ اسپم و بلافاصله حذف شد
  • وارد حساب ایمیل در دستگاه نشده‌اید
  • لینک‌ها قبل از رسیدن منقضی می‌شوند اگر قطعی یا مشکلی وجود داشته باشد
  • ارسال ایمیل مجدد توکن احراز هویت را خراب می‌کند
  • پروفایل‌های مرورگر جلسهٔ ورود را گیج می‌کنند

و اگر آفلاین باشید یا سیگنال 4G/5G نداشته باشید، شانس‌تان تمام می‌شود اگر سرویس ورود مبتنی بر رمز عبور نداشته باشد.

اگر عمداً حساب‌ها را جدا کنید — برای مثال، با ایمیل شخصی برای ثبت‌نام و صندوق‌ورودی کار برای کار — لینک‌های جادویی به‌طور فعال این جداسازی را مجازات می‌کنند. باید همیشه به همان صندوق‌ورودی، روی همان دستگاه و در همان زمان دسترسی داشته باشید. اگر حساب ایمیل‌تان قفل شود، دسترسی به همهٔ موارد مرتبط با آن را از دست می‌دهید.

لینک‌های جادویی فرض می‌کنند صندوق‌ورودی شما همیشه در دسترس و همیشه متصل است، که این اصلاً صادق نیست.

مدیر رمز عبور گوگل بر روی صفحه کامپیوتر.

زمان مدیریت رمز عبور مرورگر شما تمام شده است.

فقط احراز هویت را به‌جای دیگری منتقل می‌کند

لینک‌های جادویی اغلب به‌عنوان یک ارتقاء امنیتی مطرح می‌شوند زیرا رمز عبوری برای سرقت یا استفاده مجدد وجود ندارد. اما این مدل امنیتی را به‌جای دیگری در زنجیره منتقل می‌کند: حساب ایمیل شما. که، فراموش نکنیم، هنوز تنها به‌ندرت به اندازهٔ رمزی که استفاده کرده‌اید ایمن است، چه بسا مشکلات دیگر مطرح‌شده در بالا.

در این حالت، حساب ایمیل شما به‌یک نقطهٔ شکست واحد تبدیل می‌شود، چه از طریق بدافزار، نفوذ یا هر چیز دیگری. یک مهاجم نه تنها به حساب ایمیل شما دسترسی پیدا می‌کند؛ بلکه به هر چیزی که برای ورود به آن نیاز به لینک جادویی دارد دسترسی می‌یابد. واضح است که اگر کسی حساب ایمیل شما را هک کند، با مشکلات متعددی روبه‌رو می‌شوید و می‌تواند حتی سایر روش‌های ۲FA مانند کد یکبار مصرف را نیز منحرف کند.

مطلب مرتبط:   Salting در Password Security چیست و چگونه کار می کند؟

این ترکیب را در دستهٔ «ایمیل برای احراز هویت ایده‌آل نیست، اما مجبوریم همه‌وقت از آن استفاده کنیم» می‌گذارم، زیرا مشابه است. در تمام موارد، احراز هویت حساب را به ارائه‌دهندهٔ ایمیل می‌سپارید، چه بخواهند چه نخواهند، و این می‌تواند مجموعه‌ای از مشکلات امنیتی را متراکم کند.

مشکلات در تمام اشکال احراز هویت چندعاملی، اما برخی قطعاً ایمن‌تر از دیگران هستند.

راه حل واقعی بسیار ساده است

حدس می‌زنم که قبلاً آن را حدس زده‌اید

ایمیل لینک جادویی با صفحه ورود رمز عبور.

به‌صورت شخصی، ترجیح می‌دهم فقط از ترکیب ایمیل و رمز عبور که در مدیر رمز عبور امن من ذخیره کرده‌ام استفاده کنم. این روش سریع است، همیشه در دسترس است و نیازی به برنامهٔ دیگری نیست. فرایندی است که مدت‌ها خوب (تقریباً خوب) کار کرده است و با ظهور مدیرهای رمز عبور رایگان و ایمن، جلوگیری از استفادهٔ مجدد از رمزها، از دست رفتن اعتبارها و غیره آسان‌تر از هر زمان دیگری شده است.


در خبرنامه‌ برای انتخاب‌های هوشمندانه‌تر ورود مشترک شوید

اما، من درک می‌کنم. رمزها برای همه مناسب نیستند و همه نمی‌خواهند از یک مدیر رمز عبور استفاده کنند. در چنین مواردی، افراد احتمالاً از این که یک لینک جادویی برایشان ارسال شود خوشحال می‌شوند، به‌ویژه اگر نیازی به نگرانی دربارهٔ مشکلات ذکرشده در بالا (حساب‌ها، برنامه‌های مختلف، پروفایل‌های مختلف و غیره) نداشته باشند.

پس… آیا می‌توانند این برنامه‌ها و سرویس‌ها به ما انتخاب نحوهٔ ورود را بدهند به‌جای این‌که ما را به یک مسیر خاص مجبور کنند؟ چون کاری که برای یک نفر مناسب است، برای دیگری بهترین نیست، و ما حتی هنوز پاس‌کی‌ها را در این همه مورد به‌درستی بررسی نکرده‌ایم. این‌گونه باید کار کند:

  • پاس‌کی‌ها
  • رمزهای عبور با کد یکبار مصرف
  • کلیدهای سخت‌افزاری، مثل Yubikey
  • لینک‌های جادویی به‌صورت اختیاری برای حساب‌های کم‌اهمیت
مطلب مرتبط:   چگونه تشخیص دهیم که آیا اپلیکیشن سلامتی شما داده‌های خصوصی شما را می‌فروشد

به‌حساب‌های کم‌اهمیت توجه داشته باشید؟ من هرگز نمی‌خواهم لینکی جادویی برای ورود به حساب‌های بانکی یا پس‌اندازم دریافت کنم، و هیچ‌کس هم نباید این‌کار را بکند. اینجا همان خط جدی‌ای است که باید رسم شود و هرگز عبور نشود.

Tags: