استفاده از صدای محیط برای رمز عبور؛ ابتکار متخصصان سوئیسی

نویسنده:

۱۰:۵۵:۳۹

مجله اینترنتی فوت و فن
در چند سال گذشته کمپانی‌های بزرگ تکنولوژیک جهان برای ارتقاء امنیت کاربران و حراست از زندگی دیجیتال آنها در برابر حملات هکرها٬ امکان استفاده از پسوردهای دومرحله‌ای را فعال کرده‌اند.
با بهره‌گیری از پسوردهای دومرحله‌ای٬ هر بار که می‌خواهید با حساب کاربری‌تان وارد سرویسی نظیر جی‌میل٬ توییتر یا آی‌کلاود شوید٬ از طرف سرورها کد چهاررقمی تصادفی یکتایی به موبایل‌تان ارسال می‌شود که ورود به اکانت تنها با در اختیار داشتن و وارد کردن آن در کنار رمز عبور میسر خواهد بود.
ابداع پسوردهای دومرحله‌ای تحول مهمی در دنیای امنیت دیجیتال بود٬ اما در کنار همه مواهبش برای کاربران٬ مصائبی هم داشته و دارد؛ برای هر بار ورود به اکانت باید موبایل‌تان را در دست بگیرید٬ آن‌لاکش کنید٬ کد چهار رقمی را ببینید و بعد آن را در صفحه مرورگر یا اپلیکیشن وارد کنید. برای بسیاری از کاربران٬ این فرآیند عذاب‌آور به نظر می‌رسد و به همین خاطر از فعال کردن این سرویس چشم‌پوشی می‌کنند٬ در حالی که می‌دانند بدون آن تهدیدهای امنیتی بیشتری در کمین‌شان خواهد بود.
حالا تیمی از متخصصان امنیت در موسسه تکنولوژی فدرال سوئیس٬ می‌گویند روشی ابداع کرده‌اند که دردسرهای رایج پسوردهای دومرحله‌ای را ندارد٬ چون در مرحله دوم با دو بار شنود صدای محیط٬ هویت کاربر را احراز می‌کند. ابزاری که آنها طراحی کرده‌اند "ساوندپروف" (Sound-Proof) نام دارد. این گروه قرار است روز پنج‌شنبه (۲۰ اوت) نتایج پژوهش‌های خود را در قالب مقاله‌ای در کنفرانس امنیتی یوزنیکس (Usenix) ارائه کنند.
به این ترتیب وقتی می‌خواهید وارد سایت یا سرویسی شوید که امکان "ساوندپروف" روی آن فعال شده٬ سرور اپلیکیشنی را به صورت اتوماتیک روی موبایل‌تان فرا می‌خواند. سپس هم موبایل و هم مرورگرتان به صورت اتوماتیک چندثانیه‌ای از صدای محیط را شنود و ضبط می‌کنند٬ بدون این‌که نیاز به آن‌لاک کردن گوشی داشته باشید٬ یا حتی آن را از جیب‌تان خارج کنید.
ساوندپروف بر اساس صداهای شنود شده از محیط٬ دو امضای دیجیتال می‌سازد و آن را روی سرور آپلود می‌کند. در صورت مطابقت دو امضای دیجیتال٬ سرور فرض را بر این می‌گیرد که موبایل و کامپیوتر شما در همان اتاقی هستند که خودتان حضور دارید و به همین سادگی شما می‌توانید وارد اکانت‌تان شوید.
برای حراست از حریم خصوصی کاربران٬ ساوندپروف فایل‌های صدا را آپلود نمی‌کند و فقط امضاهای دیجیتال روی سرورهای آن آپلود می‌شود. برای صرفه‌جویی در مصرف باتری هم فرآیند ضبط تنها با دریافت تایید از سوی کاربر آغاز خواهد شد.
مبتکران و متخصصان ساوندپروف می‌گویند پژوهش‌های آنها نشان داده که اکثر کاربران ترجیح می‌دهند در شرایط برابر میان پسورد دومرحله‌ای و ساوندپروف٬ دومی را انتخاب کنند. برای استفاده از ساوندپروف٬ کاربر فقط اپلیکیشن آن را روی موبایلش نصب می‌کند و بقیه کارها به صورت اتوماتیک انجام خواهد شد.
با این حال٬ بدیهی است که این سیستم احراز هویت هم آسیب‌پذیری‌های خاص خودش را دارد: اول این‌که اگر کسی که پسورد شما را در اختیار دارد در همان فضایی باشد که شما هم در آن حضور دارید٬ به سادگی می‌تواند با استفاده از صدای محیط به اکانت‌تان دسترسی داشته باشد. این احتمال هم وجود دارد که هکر مشغول تماشای همان برنامه تلویزیونی یا شنیدن همان موسیقی ملایمی باشد که شما دارید می‌شنوید؛ باز هم راه برای او باز است تا بتواند خودش را به جای شما به ساوندپروف قالب کند.
اما طراحان آن می‌گویند حملاتی تا این اندازه هدفمند٬ چندان رایج نیستند و گذشته از آن استدلال آنها این است که بهره‌گیری از این روش بسیار بهتر و امن‌تر از آن است که اساسا امکان پسورد دومرحله‌ای را برای اکانت‌تان فعال نکنید.
اگر هنوز امکان پسورد دومرحله‌ای را برای اکانت‌هایتان فعال نکرده‌اید٬ همین حالا با خواندن این دو راهنمای ساده برای گوگل و توئیتر در صفحه "امنیت در فضای مجازی" دویچه‌وله٬ می‌توانید این سرویس مهم امنیتی را برای اکانت گوگل و توییتر خود فعال کنید.
برگرفته از
رمز عبور
لینک کوتاه

دیدگاه