احراز هویت مبتنی بر FIDO در فیس‌بوک

فیس‌بوک می‌خواهد در راستای فرآیند احراز هویت دو-مرحله‌ای از استاندارد جهانی احراز هویت دو-مرحله‌ای (U۲F) که بر روی FIDO میزبانی می‌شود استفاده کند. این استاندارد جدید با احراز هویت دو-مرحله‌ای فیس‌بوک که در حال حاضر وجود دارد و مبتنی بر پیام کوتاه است، جایگزین نمی‌شود و یک لایه‌ی امنیتی بیشتر برای کاربرانی که خیلی نگران امنیت خود هستند محسوب می‌شود.

مدت طولانی است که گذرواژه‌ها یک مشکل اساسی محسوب می‌شوند. گذرواژه‌ها خوب هستند ولی همواره توسط مشتریان و برخی وب‌گاه‌ها مورد سوءاستفاده قرار می‌گیرند. مشتریان معمولاً از گذرواژه‌های ضعیفی استفاده می‌کنند یا بدتر از همه، از یک گذرواژه بر روی چند وب‌گاه استفاده می‌کنند. از طرف دیگر وب‌گاه‌ها نیز گذرواژه‌های کاربران را به‌طور امن نگهداری نمی‌کنند و معمولاً آن را به شکل متنِ ساده یا درهم‌سازی‌شده با الگوریتم‌های ساده و ضعیف ذخیره می‌کنند. نتیجه این می‌شود که بر روی وب‌گاهی مانند فیس‌بوک که دارای ویژگی‌های امنیتی است، با استفاده از گذرواژه‌های کاربر، حساب‌ها در معرض خطر قرار می‌گیرند.

برای حل این مشکل، روش‌های احراز هویت دو-مرحله‌ای ظهور پیدا کردند که در آن کد یک‌بار مصرفی از طریق پیام کوتاه برای کاربر ارسال می‌شود. یک مهندس امنیت فیس‌بوک در پست وبلاگی خود می‌گوید: «معمولاً کاربران برای دریافت این کد از پیام کوتاه استفاده می‌کنند یا با استفاده از برنامه‌های تلفن همراه، این کد به‌طور مستقیم بر روی تلفن همراه کاربر تولید می‌شود. این روش‌ها معمولاً برای بسیاری از افراد به‌خوبی کار می‌کنند ولی پیام کوتاه همواره روش قابل اطمینانی نیست و داشتن یک پشتیبان از تلفن همراه همواره به درستی کار نخواهد کرد.»

مؤسسه فناوری NIST اخیراً نشان داد استفاده از احراز هویت دو-مرحله‌ای مبتنی بر پیام کوتاه، امن نیست. در این تحقیق عنوان شده اگر کاربر از طریق همان تلفن همراه که کد مرحله‌ی دوم را دریافت کرده، وارد حساب فیس‌بوک شود، این موضوع مشکل‌ساز خواهد شد.
کلیدهای احراز هویت که اخیراً معرفی شده، این مشکلات را نداشته و امنیت را افزایش می‌دهد. عامل دوم در داخل کلیدهای USB نگهداری شده و دیگر چیزی وجود نخواهد داشت تا کاربر آن را بخاطر داشته باشد یا بخواهد آن را تایپ کند.

محقق امنیت فیس‌بوک اعلام کرد این استاندارد جدید دارای ۳ مزیت ویژه است. یک اینکه این استاندارد کاربران را در برابر حملات فیشینگ ایمن نگه می‌دارد چرا که دیگر لازم نیست کاربر چیزی را تایپ کند و رمزنگاریِ اثبات‌شده از طریق سخت‌افزار ارائه خواهد شد. مهاجم برای نفوذ به حساب کاربر به گذرواژه و توکن فیزیکی نیاز خواهد داشت.

دوم اینکه این کلید قابلیت همکاری و تعامل با تمامی حساب‌هایی که از U۲F پشتیبانی می‌کنند را دارد. از جمله‌ی این حساب‌ها می‌توان گوگل و دراپ‌باکس را نام برد. به‌عبارت دیگر هر کاربری که در حال حاضر یک کلید U۲F دارد، می‌تواند به راحتی جزئیات ورود و تأیید حساب فیس‌بوک را نیز به این کلید اضافه کرده و از همان کلید استفاده کند.

سوم اینکه زمانی‌که شما می‌خواهید از روی رایانه‌ی رومیزی به فیس‌بوک متصل شوید، ورود به حساب کاربری بسیار آسان خواهد بود. همین که شما گذرواژه را وارد کردید بر روی کلید نیز کلیک می‌کنید و وارد حساب خود می‌شوید.
کلیدهای احراز هویت فیس‌بوک در حال حاضر تنها بر روی مرورگرهای وب کروم و اُپرا کار می‌کند و برنامه‌ی تلفن همراه فیس‌بوک از آن پشتیبانی نمی‌کند. کارشناس فیس‌بوک افزود: «اگر شما دستگاه اندرویدی با قابلیت NFC داشته باشید که بر روی آن آخرین نسخه‌های مرورگر کروم گوگل برای احراز هویت نصب شده باشد، شما می‌توانید از طریق وب‌گاه تلفن همراه فیس‌بوک با استفاده از کلیدهای NFC وارد حساب کاربری خود شوید.»

این ویژگی جدید توسط حوزه‌ی امنیت به خوبی مورد پذیرش قرار گرفته است. یک محقق امنیتی گفت: «افزودن کلیدهای سخت‌افزاری گام بزرگی بود که فیس‌بوک در راستای امنیت کاربران برداشته است. امیدوار هستیم که وب‌گاه‌های دیگر نیز دنباله‌روی فیس‌بوک باشند و از این کلیدهای سخت‌افزاری برای احراز هویت کاربران استفاده کنند. با این کار راه برای نفوذ به حساب‌های کاربران در وب‎گاه‌ها سخت‌تر خواهد شد.»

این حرکت باعث خواهد شد استقبال از اکوسیستم FIDO نیز افزایش یابد. مدیر اجرایی این شرکت افزود: «با استفاده‌ی فیس‌بوک از احراز هویت FIDO برای امنیت کاربران خود، استقبال و گرایش به سمت FIDO بیشتر خواهد شد. مشتریان می‌توانند کلیدهای امنیتی را از شرکت‌های FIDO خریداری کنند و از این کلید برای احراز هویت حساب‌هایی مانند فیس‌بوک، گوگل و سایر سرویس‌ها استفاده کنند.» قیمت این کلیدها بر روی وب‌گاه آمازون تقریباً ۸ تا ۵۰ دلار است.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap