امنیت بیشتر ایمیل‌ با توکن‌های U2F

یکشنبه ۵ دی ۱۳۹۵ برابر با ۲۵ دسامبر ۲۰۱۶


امنیت دنیای دیجیتال برای بسیاری از اهمیت ویژه‌ای برخوردار است. همین اهمیت در شکل‌های گوناگون شرکت‌های فعال در این عرصه را مجبور به بالابردن امنیت شبکه‌ها و برنامه‌های خود می‌کند.

یکی از مهم‌ترین نکات این دنیای دیجیتال که بخش بزرگی از زندگی روزانه ما شده، امنیت پست‌های الکترونیک ما یا همان ایمیل‌ است.

گوگل با آدرس جی‌میل به عنوان محبوب‌ترین شرکت ارائه دهند خدمات ایمیل از جمله شرکت‌هایی‌ست که همیشه در مورد امنیت کاربران خود اقدام کرده است. مهم‌ترین این اقدامات دو مرحله‌ای کردن ورود به سیستم است که حتی اگر رمز عبور خود را از دست بدهید بدون وارد کردن کدی که به موبایل شما ارسال می‌شود یا از آن پیشتر نسخه پشتیبان گرفته‌اید باز هم کسی نمی‌تواند وارد پست الکترونیک شما شود. شاید هنوز برخی باشند که این ورود دو مرحله‌ای را «آزاردهنده» یا «دست و پاگیر» بدانند اما وقتی به این موضوع توجه داشته باشیم که امنیت ما امنیت همه‌ی دوستان ماست شاید کمی جدی‌تر در مورد آن فکر کنیم.

با اینکه این ورود دو مرحله‌ای اهمیت دارد اما نباید از محدودیت‌های آن نیز غافل بود. در واقع اگر بر فرض شما ۱۰ کد پشتیبانی را برای گوشی خود نگرفته باشید و به هر دلیلی موبایل شما در دسترس نباشد ورود به ایمیل بسیار مشکل و در مواقعی غیرممکن است. به همین منظور شرکت گوگل راهی آسان‌تر برای این موضوع طراحی کرده و حالا شما می‌توانید با استفاده از (U2F (Universal 2nd Factor خیالتان را هم از امنیت و هم از دردسرهای احتمالی راحت کنید.

یک توکن مخصوص که برای ورود به پست الکترونیک در دستگاهی جدید کار همان کد دوم را می‌کند. البته باید گفت که این روش هنوز معمول نشده است. توجه داشته باشید که اطلاعات درون این توکن‌ها به صورت رمزگذاری شده هستند و برای ورود به آنها نیز شما نیاز به یک کد رمز دارید تا اگر بر فرض آن را گم کردید یا حتی به سرقت رفت کسی نتواند به راحتی از آنها استفاده کند.

وقتی شما می‌خواهید از یک دستگاه جدید برای ورود به پست الکترونیک خود استفاده کنید کافی‌ست این توکن را در دستگاه گذاشته و رمز ورودی خود را وارد کنید و کلید مخصوص را فشار دهید تا حتی در دورافتاده‌ترین نقاطی که اوپراتورهای موبایل سرویس‌دهی ندارند اما به هر شکلی اینترنت وجود دارد بتوانید از سرویس ایمیل خود استفاده کنید.

استاندارد ورود دو مرحله‌ای امروز توسط بسیاری از شرکت‌های بزرگ مورد استفاده قرار می‌گیرد و منحصر به یک سرویس ایمیل نیست. گوگل، پی‌پال، مستر کارد، ویزا، مایکروسافت و… و بسیاری از بانک‌ها امروز این استاندارد را تایید کرده و از آن استفاده می‌کنند. با این حساب می‌توان گفت به زودی U2F تبدیل به یک امر متداول در جهان خواهد شد.

از سوی دیگر این توکن‌های سخت افزاری بخشی از نرم افزارها هستند و به این شکل حتی به شما کمک می‌کنند تا از وارد کردن اطلاعات خود در سایت‌های جعلی جلوگیری کنید. در واقع شیوه‌ای که برخی از سایت‌ها برای به دست آوردن اطلاعات شما به کار می‌برند ارسال یک پیام با مضمون‌هایی همچون «ایمیل شما هک شده! سریع اطلاعات خود را وارد کنید تا ما آن را را به شما بازگردانیم» فرد را در یک محیط جعلی اما کاملا مشابه نسخه واقعی وارد می‌کنند. در این شرایط فرد به دست خود اطلاعات و حتی کد دوم خود را نیز وارد می‌کند. اما توکن‌های U2F این مشکل را نیز برطرف کرده و وبسایت‌های جعلی را نیز شناسایی می‌کنند و مانع از دست رفتن اطلاعات با شیوه‌ی موسوم به «فیشینگ» می‌شوند.

باید توجه داشت که برای امنیت بیشتر این توکن‌ها از همان سیستمی که در سیم کارت موبایل، چیپ‌های پاسپورت‌ها و کارت‌های شناسایی ارتش استفاده می‌شود بهره برده گرفته شده. به این معنی شما وقتی برای اولین بار آن را کدگذاری و تعریف می‌کنید اطلاعات موجود به هیچ‌ عنوان قابل کپی شدن یا انتقال یافتن نیست.

در حال حاضر این توکن‌ها تنها به روی وبسایت آمازون به فروش می‌رسند و به نظر می‌رسد به زودی به صورت فراگیر مورد فروش و استفاده قرار گیرند. باید توجه داشته باشیم که این توکن‌ها با «یواس‌بی‌»های معمولی فرق دارند و باید از مدل‌های مشخص آنها استفاده کرد. اما با توجه به آنچه در مورد امکان پیشرفت این فن‌آوری وجود دارد به همان میزان امکان باز شدن این استاندارد به شکل‌های دیگر و استفاده‌ از آن در فلش‌ها و یواس‌بی‌‌های معمولی نیز وجود دارد.

با اینکه این فن‌آوری ابتدا تنها به روی مرورگر گوگل کروم قابل دسترس بود اما دیگر مرورگرها نیز به تدریج در حال اضافه کردن افزونه‌های لازم برای بالابردن امنیت کاربران خود هستند. با این حال همچنان گوگل کروم بهترین و مطمئن‌ترین راه برای استفاده از توکن‌های U2F هستند. از سوی دیگر باید به بخشی از پیشرفت‌های این فن‌آوری اشاره کرد؛ این روزها توکن‌های مخصوص موبایل هم به بازار آمده و نسل جدید آنها حتی بلوتوث و NFC (ارتباط میدانی نزدیک) به صورت کارت‌های هوشمند نیز در حال پیدا کردن بازار خود هستند.

در تصویر زیر به راحتی می‌توانید مسیر کارکرد این توکن‌ها را مشاهده کنید.

وقتی دگمه مخصوص روی توکن را فشار می‌دهید یک پیام به مرورگر شما ارسال می‌شود، مرورگر این پیام را به همراه شناسه و رمز عبور برای سِروِر ارسال می‌کند. بعد از اینکه این دو در سِروِر تطبیق داده شدند هویت شما تایید می‌شود. در صورتی که بدون داشتن این توکن شما ابتدا شناسه و رمز عبور را به سرور می‌فرستید آنها برای احراز هویت به شما یک پیام روی موبایل (یا اپلیکیشن آن برنامه) می‌فرستند و بعد از وارد کردن آن پیام است که شما امکان ورود پیدا می‌کنید. البته این مسیر می‌تواند با اشکالاتی روبرو شود و اگر موبایل شما هک شده باشد یا سیستم مخابراتی تحت کنترل باشد امکان دستیابی طرف سوم به کد امنیتی نیز وجود دارد. در واقع آنچه در ایران ممکن است، همین مسیر دوم است. یعنی با قرار دادن دالان نظارتی به روی دریافتی پیامک‌ها تمام کدهای ارسالی شما قابل بازبینی هستند.

استفاده از توکن‌ها می‌تواند علاوه بر ساده کردن مسیر تایید هویت، راهی مطمئن‌تر برای حفاظت از ایمیل‌های شما باشد.

لینک کوتاه شده این نوشته:
https://kayhan.london/fa/?p=63113

دیدگاه خود را درباره این مطلب با ما و دیگران در میان بگذارید (لطفا کوتاه بنویسید):