آیا احراز هویت دو مرحله‌ای واقعاً یک روش امن است؟

احراز هویت دو مرحله‌ای ممکن است یک روش واقعاً امن برای محافظت از کاربر در برابر خطرات نباشد. براساس گزارش جدیدی که توسط محققان Fox-IT منتشر شده است، ظاهراً یک گروه هکر چینی با نام APT20 موفق شده‌اند این سیستم را دور بزنند. این گروه از طریق روشی که Fox-IT آن را Operation Wocao نامیده است، راهی برای دور زدن اقدامات امنیتی متداول بدون خاموش کردن هر هشداری پیدا کرده‌اند.

این گروه در ابتدا وب سرورها را هک می‌کرد، اما موضع تمرکز آنها تغییر کرد. آنها با استفاده از نرم‌افزار تولید توکن RSA SecurID از یک سیستم هک شده توانستند راهی برای کشف رمز دوم احراز هویت پیدا کنند. در واقع این گروه قادر بود با استفاده از سیستم، توکن‌هایی تولید کند که به نتیجه مطلوب برسد. سپس از این نتیجه برای گول زدن سیستم‌های دیگر جهت دسترسی استفاده می‌کردند. این به آنها اجازه می‌داد تا با دور زدن سیستم، نیازی به رمز اصلی پیدا نکنند.

کاربران چینی در معرض تهدیدی جدی‌تر

روش مورد استفاده هکرها ممکن است فقط با سیستم‌های خاصی کار کند اما می‌تواند در مقیاس گسترده‌تری نیز مورد استفاده قرار گیرد و این نگران‌کننده است. به‌طورکلی هکرها برای پیدا کردن راه نفوذ به روش‌های پیچیده یا کلیدهای خاص سیستمی نیاز دارند، اما روش جدید یک فرایند آسان به نظر می‌رسد. این برای کاربران چینی بزرگترین تهدید است، چراکه نه تنها APT20 یک گروه هک چینی است، بلکه ظاهراً همکاری نزدیک و مستقیمی هم با دولت چین دارد. آنها با روش مذکور می‌توانند تمرکز خود را بر روی سیستم‌های امنی که در VPNها در چین استفاده می‌شود بگذارند.

چین از آن دسته از کشورهایی است که دسترسی بسیاری از وبسایت‌ها را محدود کرده، از همین رو شهروندان این کشور برای دسترسی آزاد به اینترنت از سرویس‌های VPN استفاده می‌کنند که دولت ترجیح می‌دهد مردم به آنها دسترسی نداشته باشند. این روش ممکن است در اختیار دولت‌های دیگر نیز قرار بگیرد. اما در نهایت می‌تواند باعث ایجاد تغییرات در شیوه احراز هویت دو مرحله‌ای شود که در آن اطلاعات کاربران ایمن نگه داشته شود.

آیا راهی برای امن شدن احراز هویت دو مرحله‌ای وجود دارد؟

حالا با حقیقت تلخی روبه‌رو شدیم که حتی احراز هویت دو مرحله‌ای هم نمی‌تواند ما را امن نگه دارد. به نظر می‌رسد که هنوز هیچ راه‌حلی برای مشکل جدید کشف شده باشد وحتی محققان نیز راهکاری ارائه نداده‌اند. اما این بدان معنی نیست که مشکل احراز هویت دو مرحله‌ای غیرقابل حل شدن است. به‌عنوان یک راه‌حل سیستم احراز هویت می‌تواند منحصر به‌فردتر باشد و توکن‌های تولیدشده بین سیستم‌ها خاص‌تر باشد. به‌غیر از این شاید به روش‌های جدید دیگری برای محافظت از کاربران نیاز باشد، چرا که هنوز وسعت دقیق این مشکل مشخص نشده است، اما طبق گزارشات APT20 موفق به هک کردن سیستم‌های مختلف در حدود 10 کشور شده است.