آیا احراز هویت دوعاملی مبتنی بر پیام کوتاه به زودی ممنوع خواهد شد؟

احتمال ممنوعیت احراز هویت دوعاملی مبتنی بر پیام کوتاه

در حال حاضر احراز هویت دو عاملی مبتنی بر پیام کوتاه مورد قبول است، ولیکن بر اساس پیش‌نویس آخرین نسخه‌ی مستند راهنمای احراز هویت دیجیتال، مقامات موسسه‌ی ملی استاندارد و تکنولوژی ایالات متحده، شرکت‌ها را به عدم استفاده از راه‌حل احراز هویت دو عاملی مبتنی بر پیام کوتاه تشویق می‌کنند. حتی ممکن است در نسخه‌های بعدی این مستند، از این روش به عنوان راهکاری ناامن یاد شود.

مستند راهنمای احراز هویت دیجیتال چیست؟

مستند راهنمای احراز هویت دیجیتال یک مجموعه از قوانین است که تولیدکنندگان نرم‌افزار به منظور ارائه‌ی سرویس‌های امن و دولتها و بنگاه‌های خصوصی به‌منظور دستیابی به امنیت در خدمات و نرم‌افزارهایشان استفاده می‌کنند. متخصصان موسسه‌ی ملی استاندارد و تکنولوژی ایالات متحده یا ،NIST در تلاش برای همگام شدن با تغییرات در حوزه‌ی فن‌آوری دائما در حال به‌روزرسانی این راهنما هستند.

در این مستند ذکر شده است که:

"در صورتی‌که فرایند احراز هویت با استفاده از ارسال یک پیام کوتاه روی شبکه تلفن همراه عمومی انجام شود، تائید کننده باید بررسی کند که شماره تلفن ثبت شده‌ای که مورد استفاده است حتما مربوط به یک شبکه‌ی موبایل بوده و به یک سرویس VOIP یا هر سرویس نرم‌افزاری دیگری مربوط نباشد. سپس پیام کوتاه به شماره‌ی ثبت شده ارسال ‌گردد. تغییر شماره تلفن ثبت شده نباید بدون احراز هویت دوعاملی در زمان تغییرات امکان‌پذیر باشد. روش‌های احراز هویت مبتنی بر عامل بیرونی که از  پیام کوتاه استفاده می‌کنند منسوخ شده و احتمالا در نسخه‌های بعدی این راهنما مجاز شمرده نمی‌شوند."

امکان سرقت اطلاعات در ارتباطات VOIP

در دستورالعمل‌های NIST، امواردی چون به سرقت رفتن تلفن همراه یا قرض دادن آن به شخص دیگر به عنوان ریسک‌های قابل قبول شناخته شده‌است، اما برخلاف توکن‌ها و نرم‌افزارهای تایید اعتبار رمزگذاری‌شده، پیام کوتاه یک نقطه ضعف دیگری دارد که قابل اعتماد بودن آنرا از بین میبرد، که آن هم سرویس‌های VOIP است.

پیام‌کوتاه در ارتباطات VOIP نا امن هستند.  به دلیل این که در برخی از سرویس‌های VOIP امکان ربوده شدن پیغام‌های کوتاه فراهم است، متخصصان NIST به ارائه‌دهندگان نرم‌افزار توصیه می‌کنند پیش از این که توسط پیام کوتاه کد احراز هویت دوعاملی را ارسال کنند ابتدا بررسی کنند که ارتباط مبتنی برVOIP است یا خیر.

وجود نقاط ضعف در پروتکل‌های پیام کوتاه

پیام کوتاه ذاتا به عنوان یک پروتکل نا امن به حساب می‌آید. زیرا در چند ماه‌ گذشته محققان در زمینه‌ی امنیت اطلاعات از یک حمله‌ی دیگر خبر دادند که با تکیه بر نقطه ضعف در پروتکل پیام کوتاه، کاربران و گوشی‌های آنها را در معرض خطر قرار می‌دهد. هرچقدر این‌گونه تحقیقات بیشتر و بیشتر انجام شود، علاوه بر NIST، تولیدکنندگان نرم‌افزار، شرکت‌ها، و کاربران هم به یک روش احراز هویت امن‌تر روی خواهند آورد.

با این که دستوالعمل‌های جاری NIST همچنان در حال بحث و تبادل نظر است ولی تغریبا می‌توان مطمئن بود در نسخه‌های آینده‌ی سند راهنمای احراز هویت دیجیتال، راهکار احراز هویت مبتنی بر پیام کوتاه به عنوان یک راهکار ایمن توصیه نخواهد شد

اطلاعات زیست‌متری؛ راهکارهایی برای آینده احراز هویت

امروزه روشهای احراز هویت زیست‌متری (بیومتریک) در حال گسترش و محبوبیت هستند. در پیش‌نویس مستند DAG اعلام شده است که گسترش راهکارهای احراز هویت مبتنی بر عوامل زیست‌متری البته با رعایت یک شرط قابل قبول است.

متن دقیق آن در مستند فوق به شرح زیر است:

"‌بنابراین، استفاده از عوامل بیومتریک برای احراز هویت با رعایت دستورالعمل‌ها و الزامات زیر پشتیبانی می‌شود: عوامل بیومتریک باید با یک عامل احراز هویت دیگر همراه شوند (چیزی که تنها خود کاربر می‌داند و یا دارد)."

برای آشنایی بیشتر با مفهوم هویت مقاله "هویت‌نامه" را مطالعه کنید.

 

 

 

درباره آریس

آریس خدمات خود را در زمینه‌های مشاوره، طراحی و راه‌اندازی مراکز داده، تولید محصولات نرم‌افزاری مبتنی بر تکنولوژی‌های متن‌باز و مشاوره نرم‌افزار به مشتریان خود عرضه می‌دارد. امروزه شرکت آریس ارایه دهنده محصولات و خدمات مختلفی است و مشتریان آن را سازمان‌ها و شرکت‌های بزرگ و کوچک تشکیل می‌دهند. 

ارتباط با آریس

 تهران، یوسف آباد، بالاتر از میدان سلماس، خیابان۱۰/۱، پلاک ۵۰، واحد ۳

کد پستی ۱۴۱۳۷۶۳۱۶۵

  ۸۸۰۲۴۶۸۰ (۰۲۱)

  info@arissystem.com